Archives de catégorie : cyberattaque

cyberattaque, Cybersécurité

Cyberattaque dans les Hauts-de-Seine : la menace invisible qui paralyse les collectivités

Une attaque informatique « de grande ampleur » a paralysé les services numériques du conseil départemental des Hauts-de-Seine ce mardi matin, plongeant l’administration dans le flou technologique.

Ce mardi à 10 heures, le département des Hauts-de-Seine a annoncé sur ses réseaux sociaux être victime d’une cyberattaque d’envergure, touchant l’ensemble de ses systèmes d’information. Ce nouvel incident, qui s’ajoute à une série d’agressions informatiques subies par plusieurs collectivités locales de la région parisienne, souligne la vulnérabilité croissante des institutions publiques face à des menaces numériques toujours plus sophistiquées. Alors que les équipes techniques s’activent encore pour identifier l’origine et l’impact de l’attaque, une question se pose : les collectivités sont-elles suffisamment armées pour affronter ces assauts digitaux ?

Une administration à l’arrêt

Ce mardi matin, c’est par un message sobre mais alarmant que le conseil départemental des Hauts-de-Seine a informé ses administrés : ses services numériques ont été brutalement désactivés à la suite d’une cyberattaque. Dans un communiqué diffusé peu après, l’administration évoque une attaque « de grande ampleur » ayant contraint à couper « l’ensemble des systèmes d’information et des moyens de communication habituels » pour une durée encore indéterminée. La nature exacte de l’agression, ses auteurs potentiels et les failles exploitées n’ont pas été dévoilés, laissant place à une incertitude totale.

À 18 heures, soit huit heures après la révélation publique de l’attaque, la situation demeurait inchangée. « La phase de diagnostic est toujours en cours« , indiquait alors le service de communication du département. Derrière cette formule se cache une réalité : sans accès à ses outils numériques, une administration moderne voit la majorité de ses activités paralysée. De la gestion des dossiers à la communication avec les usagers, tout repose aujourd’hui sur l’informatique.

« L’ensemble des systèmes d’information et des moyens de communication habituels ont été désactivés pour une période indéterminée », précisait le conseil départemental dans un communiqué publié en milieu de journée.

Un contexte régional tendu

Loin d’être un cas isolé, cette cyberattaque s’inscrit dans une série noire qui frappe depuis plusieurs années les collectivités locales en Île-de-France. Le conseil départemental des Hauts-de-Seine avait déjà été confronté à une intrusion informatique en 2023. Cette attaque, bien que moins sévère selon les dires de l’époque, avait contraint l’institution à couper temporairement certains services, notamment téléphoniques. Les données personnelles n’avaient pas été compromises, assurait alors l’administration.

Mais d’autres collectivités voisines n’ont pas toujours eu cette chance. En novembre 2022, c’est le département de Seine-et-Marne qui voyait ses réseaux informatiques mis hors service à la suite d’une cyberattaque. Il lui avait fallu plusieurs semaines pour retrouver une activité normale. Plus récemment encore, la ville de Bois-Colombes a subi une attaque dans la nuit du 31 janvier au 1er février 2024. Les conséquences avaient été telles qu’un partenariat stratégique fut rapidement conclu entre la Métropole du Grand Paris et le campus Cyber de Puteaux, dans l’objectif de renforcer les défenses numériques des collectivités territoriales.

Un phénomène en pleine expansion

Loin d’être anecdotiques, ces attaques traduisent un phénomène de fond : la montée en puissance du cybercrime ciblant les entités publiques. Selon un rapport publié en février dernier, une commune sur dix en France affirme avoir été victime d’une cyberattaque au cours des douze derniers mois. Cette statistique, en forte progression par rapport aux années précédentes, illustre l’ampleur de la menace. Des villes comme Chaville ou Saint-Cloud, déjà touchées en 2022, en ont fait les frais.

Ce qui motive les cybercriminels n’est pas toujours clair. Il peut s’agir de rançongiciels, qui visent à extorquer de l’argent en échange de la restitution des données volées ou chiffrées. Mais dans certains cas, les motivations peuvent être politiques ou liées à l’espionnage. Quelle que soit la cause, le résultat est souvent le même : des semaines, voire des mois, de paralysie partielle des services, des dépenses imprévues et une perte de confiance des citoyens.

Une commune sur dix en France a été victime d’une cyberattaque au cours de l’année écoulée, selon une étude publiée en février.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Des réponses encore balbutiantes

Face à cette nouvelle donne, les collectivités locales cherchent à s’organiser. Le partenariat évoqué entre la Métropole du Grand Paris et le campus Cyber est un exemple de réaction institutionnelle à un risque devenu systémique. Ce campus, installé à Puteaux, se présente comme un centre névralgique de l’expertise en cybersécurité, rassemblant acteurs publics, entreprises privées et chercheurs.

Mais la tâche est immense. La majorité des collectivités locales ne disposent ni des ressources humaines ni des budgets pour assurer une cybersécurité de haut niveau. Le coût moyen d’une cyberattaque pour une collectivité territoriale peut s’élever à plusieurs centaines de milliers d’euros, sans compter les pertes indirectes liées à l’interruption des services publics. Pour les petites communes, souvent dépourvues de direction informatique propre, la prévention et la réponse aux attaques relèvent du casse-tête.

Le plan national de cybersécurité, lancé en 2021 par le gouvernement français, avait pour ambition d’accompagner les collectivités dans leur transformation numérique sécurisée. Pourtant, les résultats peinent à suivre. Beaucoup d’élus locaux pointent du doigt la complexité des dispositifs d’aides, jugés trop technocratiques. D’autres dénoncent un manque de formation et de sensibilisation à la sécurité numérique, aussi bien pour les agents publics que pour les élus.

Les cyberattaques n’épargnent plus aucune strate de l’administration. Et pourtant, dans bien des cas, les collectivités découvrent leur vulnérabilité une fois l’attaque survenue, jamais avant. Ce qui soulève une inquiétude légitime : combien d’entre elles sont actuellement infiltrées sans le savoir ? Combien de failles dorment encore dans les systèmes, prêtes à être exploitées ?

Le prix du numérique

L’attaque contre les Hauts-de-Seine met une nouvelle fois en lumière le paradoxe auquel sont confrontées les administrations publiques : la course à la numérisation des services, encouragée au nom de la modernité et de l’efficacité, s’accompagne de risques technologiques considérables. La dépendance croissante aux systèmes informatiques transforme chaque faille de sécurité en bombe à retardement.

La collectivité départementale s’efforce désormais de rétablir l’accès à ses applications et réseaux. Mais ce type d’accident, outre le coût financier qu’il engendre, produit un effet délétère sur la confiance du public. Dans un monde où la transparence, l’accessibilité et la réactivité sont devenues les maîtres mots de la gestion publique, un écran noir sur les systèmes numériques devient vite un symbole d’impuissance.

Alors que la cybersécurité ne cesse de gagner en importance, cette dernière attaque dans les Hauts-de-Seine vient rappeler que les collectivités locales, malgré leurs efforts, demeurent des cibles de choix. Et qu’à l’ère du tout numérique, la guerre invisible qui se joue dans les câbles et les serveurs pourrait bien devenir l’un des plus grands défis des administrations publiques françaises.

Rejoignez-nous sur notre news letter, sur WhatsApp et suivez notre veille sur Twitter/X, LinkedIn & YouTube.

cyberattaque, Entreprise

Cyberattaque chez Co-op : les révélations accablantes des pirates

Les pirates du groupe DragonForce affirment avoir volé les données de 20 millions de membres de la coopérative britannique Co-op, malgré les démentis initiaux de l’entreprise.

Alors que la cybersécurité est devenue un enjeu majeur pour les entreprises du monde entier, une nouvelle attaque d’envergure secoue le Royaume-Uni. Le géant britannique de la distribution, Co-op, a été victime d’un piratage informatique attribué au groupe DragonForce, un collectif notoire dans le milieu du rançongiciel. Ce dernier affirme avoir exfiltré d’importantes quantités de données sensibles, concernant à la fois des employés et des clients de l’entreprise. Malgré une communication initiale rassurante de la part de Co-op, les révélations faites à la BBC par les pirates eux-mêmes, accompagnées de preuves concrètes, jettent une lumière inquiétante sur l’ampleur réelle de la brèche.

DragonForce, connu pour ses opérations d’extorsion numérique, a contacté la BBC pour fournir des captures d’écran de son message initial envoyé au chef de la cybersécurité de Co-op. Ce message, daté du 25 avril, a été transmis via Microsoft Teams, une méthode de communication inhabituelle mais révélatrice du niveau d’infiltration atteint par le groupe. Dans un geste encore plus audacieux, les pirates ont ensuite tenté un appel direct au responsable de la sécurité de Co-op, cherchant vraisemblablement à forcer une négociation ou à démontrer leur contrôle sur les systèmes internes.

L’entreprise a dans un premier temps minimisé l’incident, déclarant qu’aucune donnée client ne semblait avoir été compromise. Mais quelques jours plus tard, face à l’accumulation de preuves, Co-op a dû reconnaître que des acteurs malveillants avaient bel et bien eu accès à des informations appartenant à des membres actuels et passés. Les pirates, quant à eux, affirment avoir mis la main sur les données de 20 millions de membres inscrits au programme de fidélité de Co-op — un chiffre que la société n’a pas confirmé, alimentant ainsi la confusion et les spéculations.

« Les pirates ont eu accès aux identifiants du personnel, à 10 000 dossiers clients, aux numéros de carte de membre, noms, adresses et coordonnées personnelles », rapporte la BBC.

Si l’on en croit les informations transmises par DragonForce, la portée de l’attaque dépasse de loin ce que l’on craignait. Les hackers disent avoir infiltré les équipes internes de l’entreprise, récupérant notamment les identifiants de connexion de plusieurs employés. Ils auraient aussi exfiltré au moins 10 000 dossiers clients contenant noms, adresses postales, adresses e-mail, numéros de téléphone et numéros de carte de membre Co-op. La BBC précise qu’elle a pu consulter un échantillon de ces données et qu’après vérification, celles-ci ont été détruites.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Co-op a toutefois tenu à rassurer ses membres : selon un porte-parole, les informations volées n’incluraient ni les mots de passe, ni les coordonnées bancaires, ni les données de carte de crédit. Les informations relatives aux transactions ou aux services souscrits par les clients seraient également épargnées. Un soulagement relatif pour les consommateurs, mais qui ne dissipe pas l’inquiétude sur la gestion de la crise par l’entreprise.

Cette affaire relance le débat sur la transparence des entreprises victimes de cyberattaques. Car si Co-op a fini par admettre l’intrusion, son refus de confirmer l’ampleur exacte du vol de données alimente les doutes. Pour les experts en cybersécurité, cette stratégie de communication minimaliste est risquée. Elle nuit à la confiance des clients et pourrait exposer l’entreprise à des sanctions réglementaires, notamment dans le cadre du RGPD européen, qui impose des délais stricts et des obligations de notification en cas de fuite de données personnelles.

DragonForce, qui a également revendiqué une attaque récente contre M&S et affirmé avoir tenté de pirater Harrods, fonctionne selon un modèle bien rodé. Le groupe diffuse ses outils via un réseau d’affiliés, en échange d’un pourcentage sur les rançons obtenues. Cette approche de la cybercriminalité, qui rappelle les logiques de start-up, lui permet de multiplier les attaques tout en diversifiant ses cibles. Les experts estiment que le groupe est constitué majoritairement d’adolescents anglophones, animés à la fois par des motivations financières et une forme de défi idéologique envers les grandes entreprises.

Les canaux de communication utilisés par DragonForce, notamment Telegram et Discord, jouent un rôle central dans leur stratégie. Ils y diffusent les preuves de leurs attaques, publient des listes de victimes et parfois même des données volées, exerçant ainsi une pression publique sur les organisations ciblées. Cette tactique s’avère redoutablement efficace : l’exposition médiatique incite certaines entreprises à céder au chantage pour éviter que leurs informations confidentielles ne soient divulguées sur Internet.

La question de savoir si Co-op a reçu une demande de rançon demeure floue. L’entreprise ne s’est pas exprimée sur ce point, mais le message envoyé via Microsoft Teams laisse penser que les pirates cherchaient à ouvrir un canal de négociation. Refuser de répondre publiquement à cette question pourrait s’expliquer par le souhait de ne pas encourager d’autres attaques similaires, ou par la simple volonté de limiter les retombées médiatiques.

Au-delà du cas Co-op, cette cyberattaque illustre une évolution préoccupante du paysage numérique. Les cybercriminels n’hésitent plus à cibler des structures de grande envergure, à compromettre leurs systèmes internes et à se servir des médias pour amplifier leur pouvoir de nuisance. Dans un contexte où les données personnelles constituent un actif stratégique, les entreprises doivent redoubler de vigilance, investir dans des dispositifs de protection plus robustes et surtout adopter une posture de transparence active dès qu’une faille est détectée.

D’un point de vue juridique, le vol présumé de données de millions de clients pourrait entraîner des poursuites et des sanctions. Si le chiffre de 20 millions de personnes concernées venait à être confirmé, il s’agirait d’une des violations de données les plus importantes qu’ait connues le Royaume-Uni ces dernières années. À l’échelle européenne, les conséquences seraient tout aussi significatives, notamment en matière de régulation et de cybersécurité.

Dans ce climat tendu, les entreprises sont appelées à repenser leurs protocoles de réponse aux incidents, à renforcer la formation de leurs employés et à mettre en place des dispositifs de surveillance avancés. La collaboration avec les autorités judiciaires et les experts en cybersécurité devient également essentielle pour contenir les dégâts, identifier les auteurs et prévenir de nouvelles intrusions.

La cyberattaque contre Co-op agit donc comme un électrochoc. Elle met en lumière les failles d’un système encore trop vulnérable face à des pirates toujours plus organisés, inventifs et audacieux. Elle rappelle également aux consommateurs l’importance de la vigilance numérique : changer régulièrement ses mots de passe, surveiller ses relevés bancaires et être attentif aux communications inhabituelles sont devenus des gestes de prudence élémentaires.

Alors que les menaces numériques s’intensifient et que les groupes comme DragonForce gagnent en influence, une question essentielle demeure : comment les entreprises peuvent-elles regagner la confiance du public et garantir la sécurité de nos données dans un monde de plus en plus connecté ?

Harrods a confirmé une cyberattaque

Après des incidents similaires subis par M&S et Co-op, ce qui en fait le troisième grand détaillant britannique ciblé en quelques jours. Le grand magasin de luxe Harrods a confirmé la cyberattaque. « Nous avons récemment été confrontés à des tentatives d’accès non autorisé à certains de nos systèmes », a pu lire DataSecuritybreach.fr dans un communiqué publié par l’entreprise. « Notre équipe de sécurité informatique expérimentée a immédiatement pris des mesures proactives pour assurer la sécurité des systèmes et, par conséquent, nous avons restreint l’accès à Internet sur nos sites aujourd’hui.« 

En réponse à l’attaque, l’entreprise a « restreint l’accès à Internet sur ses sites« , mais le site de Harrods est resté en ligne. Harrods n’a pas fourni de détails techniques sur les attaques, et il n’est pas clair s’il a subi une violation de données.

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

cyberattaque, Entreprise

Cyberattaque sur le bureau du procureur général de Virginie : le groupe Cloak revendique la responsabilité

Le groupe de ransomware Cloak a revendiqué la responsabilité de la cyberattaque qui a frappé le bureau du procureur général de Virginie en février dernier. L’attaque a forcé les autorités à désactiver les systèmes informatiques, perturbant le fonctionnement de l’institution et exposant potentiellement des données sensibles.

En février 2025, une cyberattaque sophistiquée a été détectée au sein du bureau du procureur général de Virginie, provoquant l’arrêt immédiat des systèmes informatiques internes, y compris les services de messagerie et de VPN. Face à l’ampleur de la faille, les responsables ont dû revenir temporairement à des procédures manuelles, utilisant des documents papier pour assurer la continuité du service. Steven Popps, procureur général adjoint en chef, a décrit l’attaque comme « particulièrement complexe », soulignant le niveau de sophistication des techniques employées par les assaillants. L’incident a été immédiatement signalé au FBI, à la police d’État de Virginie et à l’Agence des technologies de l’information de Virginie (VITA), qui ont ouvert une enquête pour évaluer l’ampleur des dégâts et identifier la source de l’attaque.

Le bureau du procureur général de Virginie est resté très discret sur la nature exacte de la brèche, refusant de divulguer des détails précis sur les systèmes compromis ou les types de données potentiellement volées. Cependant, le 20 mars 2025, le groupe Cloak a ajouté le bureau du procureur général de Virginie à la liste de ses victimes sur son site de fuite hébergé sur le dark web. Le groupe a déclaré que le délai de négociation avec les autorités avait expiré et a affirmé avoir volé 134 Go de données sensibles lors de l’attaque.

Des captures d’écran de certains fichiers volés avaient été publiées comme preuve initiale du piratage. Désormais, l’ensemble des 134 Go de données est accessible en téléchargement sur la plateforme de fuite du groupe. La divulgation de ces fichiers fait craindre une potentielle exposition de documents juridiques sensibles, de communications internes, et d’informations confidentielles concernant des enquêtes en cours. Cette fuite massive pourrait avoir des conséquences majeures sur le fonctionnement du bureau du procureur général, tout en compromettant la sécurité des affaires traitées par l’institution.

Cloak : un groupe de ransomware organisé et expérimenté

Le groupe Cloak est actif depuis au moins 2023. Selon un rapport de la société de cybersécurité Halcyon, le groupe aurait déjà ciblé plus d’une centaine d’organisations, principalement en Europe et en Asie. L’Allemagne figure parmi les cibles privilégiées du groupe, mais les attaques se sont également étendues à d’autres pays, touchant divers secteurs économiques, notamment la santé, l’immobilier, la construction, l’informatique, l’agroalimentaire et la production industrielle. Cette diversification des cibles témoigne de la capacité d’adaptation du groupe et de la sophistication de ses méthodes d’attaque.

Le mode opératoire de Cloak repose en grande partie sur l’acquisition d’accès réseau par l’intermédiaire de courtiers d’accès initiaux (Initial Access Brokers, IAB) ou par des techniques d’ingénierie sociale. Les méthodes employées incluent le hameçonnage (phishing), les publicités malveillantes (malvertising), les kits d’exploitation de vulnérabilités et les téléchargements furtifs (drive-by downloads) déguisés en mises à jour légitimes de logiciels, comme les installateurs de Microsoft Windows. Cette capacité à manipuler le comportement des utilisateurs par des techniques psychologiques et technologiques rend les attaques particulièrement difficiles à détecter avant qu’elles ne soient en cours d’exécution.

Cloak utilise une variante du ransomware ARCrypter, dérivée du code source du ransomware Babuk, qui avait fuité en 2021. Une fois le réseau infiltré, le ransomware chiffre les fichiers sensibles, rendant leur accès impossible sans une clé de déchiffrement. Les attaquants exigent ensuite une rançon, souvent en cryptomonnaie, en échange de cette clé. Si la victime refuse de payer ou tarde à réagir, Cloak menace de divulguer publiquement les données volées sur le dark web, comme ce fut le cas dans l’attaque contre le bureau du procureur général de Virginie.

Une attaque qui soulève des questions sur la sécurité des institutions publiques

L’attaque contre le bureau du procureur général de Virginie met en lumière la vulnérabilité des infrastructures informatiques des institutions publiques face à des menaces cyber de plus en plus agressives. Les institutions gouvernementales, souvent dotées de systèmes informatiques vieillissants et de protocoles de sécurité obsolètes, sans parler de la mise à la porte de milliers de fonctionnaires aux USA par l’administration TRUMP, constituent des cibles privilégiées pour les groupes de ransomware. La capacité des attaquants à paralyser les opérations critiques du bureau du procureur général démontre le niveau de préparation et de sophistication de Cloak.

Les conséquences potentielles de cette attaque sont multiples. Outre la compromission des dossiers juridiques en cours, le vol de données pourrait entraîner une manipulation de certaines affaires sensibles. Les communications internes du bureau, y compris les stratégies de défense et les éléments à charge dans des procédures judiciaires, pourraient également être utilisées comme levier par des acteurs malveillants.

Steven Popps, procureur général adjoint, a déclaré que le bureau s’efforce de restaurer ses systèmes et de renforcer ses mesures de sécurité. Les autorités de Virginie collaborent étroitement avec le FBI et la police d’État pour identifier les auteurs de l’attaque et évaluer l’ampleur des dommages causés. Cependant, dans la mesure où Cloak opère depuis des juridictions étrangères, les possibilités d’arrestation ou de sanction directe restent limitées.

Arnaque, cyberattaque

Rakuten face à une vague d’escroqueries par hameçonnage : les clients appelés à renforcer leur sécurité

Rakuten Securities a récemment alerté ses clients sur une augmentation inquiétante des escroqueries par hameçonnage ayant entraîné des connexions et des transactions non autorisées. L’entreprise exhorte ses clients à renforcer la sécurité de leurs comptes pour faire face à cette menace croissante.

Depuis la fin de l’année dernière, les cyberattaques ciblant le secteur financier se sont intensifiées, exposant les investisseurs à des risques accrus. Rakuten Securities, l’un des plus grands courtiers en ligne, a constaté une augmentation spectaculaire des cas d’hameçonnage (phishing) conduisant à des transactions boursières non autorisées. Les victimes se retrouvent souvent piégées après avoir reçu des messages frauduleux ressemblant à des communications officielles. Cette situation met en lumière les vulnérabilités du système financier numérique et la nécessité de renforcer les mesures de sécurité pour protéger les investisseurs.

Une montée en puissance des attaques ciblées

Le 21 mars 2025, Rakuten Securities a publié une déclaration officielle sur sa page d’accueil, attirant l’attention de ses clients sur la gravité de la situation. L’entreprise a signalé une hausse significative des demandes de renseignements concernant des connexions suspectes à des comptes de trading et des transactions effectuées sans l’autorisation des titulaires.

« Depuis la fin de l’année dernière, nous avons reçu de nombreuses demandes de renseignements de la part de clients concernant des connexions non autorisées« . Cette augmentation des signalements reflète une tendance inquiétante dans le secteur financier, où les attaques informatiques se professionnalisent et ciblent des comptes à fort potentiel de rendement.

Parmi les cas signalés, certains clients ont découvert que des actions chinoises avaient été achetées à leur insu. Cette situation laisse supposer une tentative de manipulation des cours boursiers par des criminels cherchant à exploiter les fluctuations de titres peu liquides. Ce type de fraude est particulièrement difficile à détecter, car il repose sur des transactions en apparence légitimes, dissimulées au sein de volumes de trading importants.

La stratégie des criminels : sophistication et adaptation

Les escroqueries par hameçonnage sont devenues de plus en plus sophistiquées. Les cybercriminels utilisent des méthodes avancées pour inciter les investisseurs à divulguer leurs identifiants de connexion. Des faux emails, des messages texte et des appels téléphoniques imitant les communications officielles de Rakuten Securities sont employés pour tromper les victimes.

Ces techniques d’hameçonnage ne se contentent plus de demander des identifiants de connexion. Elles exploitent également des méthodes d’ingénierie sociale pour obtenir des informations sensibles supplémentaires, comme les codes de vérification envoyés par SMS.

Les criminels s’adaptent rapidement aux nouvelles mesures de sécurité. Ils exploitent les failles comportementales des utilisateurs et utilisent l’intelligence artificielle pour personnaliser leurs attaques.

L’une des stratégies les plus fréquentes consiste à pousser la victime à télécharger une application ou un fichier infecté. Une fois installé, le logiciel malveillant permet aux attaquants d’intercepter les données de connexion en temps réel et de contourner les dispositifs de sécurité tels que l’authentification à deux facteurs (2FA).

Des transactions boursières suspectes : la menace d’une manipulation du marché

Le rapport de Rakuten Securities met en évidence une tendance inquiétante : les attaques ciblent non seulement des comptes individuels, mais également des portefeuilles d’actions spécifiques. Les actions chinoises semblent être une cible privilégiée des criminels.

En achetant des titres peu liquides à l’insu des investisseurs, les attaquants parviennent à influencer temporairement le cours de ces actions. En gonflant artificiellement la demande, ils provoquent une hausse des prix, leur permettant de vendre ensuite ces titres à profit avant que le marché ne corrige l’anomalie.

Cette tactique, connue sous le nom de « pump and dump« , est particulièrement redoutable dans un contexte de marché volatil. Les actions chinoises, souvent cotées à la fois sur les bourses asiatiques et internationales, offrent un terrain propice à ce type de manipulation. Les criminels peuvent ainsi exploiter les écarts de cotation entre différentes places boursières pour maximiser leurs profits.

Le fait que des actions chinoises soient spécifiquement ciblées suggère une coordination entre plusieurs acteurs criminels. Cela pourrait être le signe d’une tentative de manipulation de grande ampleur.

Une menace persistante dans le secteur financier

Les incidents signalés s’inscrivent dans une tendance plus large de cybercriminalité ciblant les institutions financières. Les services de courtage en ligne sont particulièrement vulnérables en raison du volume élevé de transactions et de la valeur des portefeuilles détenus par leurs clients.

Les plateformes de trading sont devenues une cible de choix pour les cybercriminels, attirés par la perspective de gains rapides et la possibilité de blanchir des fonds par le biais de transactions complexes. Les cryptomonnaies jouent également un rôle clé dans ces opérations, offrant aux criminels un moyen d’échapper aux contrôles traditionnels.

Dans un contexte de marché de plus en plus interconnecté, la question demeure : les plateformes de trading seront-elles capables de combler le fossé technologique face à des attaquants toujours plus sophistiqués ?

backdoor, cyberattaque

Chrome sous attaque : une faille critique exploitée dans une campagne de cyber espionnage

Une faille zero-day dans Google Chrome a été découverte par Kaspersky. Exploitée dans une campagne d’espionnage en cours, elle permet de contourner les protections de sécurité du navigateur.

Mi-mars 2025, une nouvelle offensive sophistiquée vient ébranler les défenses du navigateur le plus utilisé au monde. L’entreprise de cybersécurité Kaspersky a levé le voile sur une vulnérabilité critique dans Google Chrome, identifiée sous le nom de CVE-2025-2783. Cette faille, jusqu’alors inconnue, permettait aux attaquants de s’affranchir des mécanismes de protection de la sandbox, cette zone sécurisée censée contenir les menaces. Mais plus inquiétant encore : elle faisait déjà l’objet d’une exploitation active dans le cadre d’une opération d’espionnage ciblée.

Les chercheurs ont observé une vague d’infections débutant par des courriels d’hameçonnage savamment personnalisés. Une simple interaction — cliquer sur un lien — suffisait à déclencher l’enchaînement de l’attaque. Aucun téléchargement, aucune installation requise. En un clic, le système de la victime était compromis.

Baptisée « Operation ForumTroll« , cette campagne visait des profils bien définis : journalistes, chercheurs universitaires et membres d’institutions gouvernementales russes. Le subterfuge ? Des invitations à consulter le forum géopolitique « Primakov Readings« , un événement réel, dont les organisateurs n’avaient évidemment rien à voir avec l’affaire. Les liens piégés redirigeaient d’abord vers une version malveillante du site, avant de renvoyer — une fois l’exploit terminé — vers la véritable page. Discrétion assurée, détection contournée.

« Une sophistication rare, digne d’acteurs étatiques »

L’analyse du code malveillant laisse peu de place au doute : l’attaque ne visait pas à propager un rançongiciel ou à voler des données financières. Il s’agissait clairement d’un outil de surveillance avancé, typique d’une opération de cyber espionnage menée sur le long terme. Dans le jargon, on parle d’APT — Advanced Persistent Threat —, des menaces conçues par des groupes très organisés, souvent liés à des États.

« Cette vulnérabilité se distingue des dizaines de failles que nous avons découvertes au fil des ans« , souligne Boris Larin. Ce dernier insiste sur la capacité inédite de l’exploit à désactiver les barrières de la sandbox de Chrome sans laisser de trace visible. Une prouesse technique rare, nécessitant des moyens considérables. L’exploitation de la faille n’était qu’une pièce d’un puzzle plus vaste, impliquant au moins un autre exploit, encore non identifié, permettant l’exécution de code à distance (RCE).

L’un des aspects les plus troublants de cette attaque réside dans sa capacité à se fondre dans le décor numérique. Les liens malveillants étaient éphémères, générés de manière à ne rester actifs que quelques minutes après l’envoi du mail. Ce système rendait leur détection extrêmement difficile, même pour les logiciels de sécurité les plus performants. La charge utile (le malware) était livrée discrètement, sans déclencher d’alerte visible pour l’utilisateur.

Un correctif publié, mais l’enquête se poursuit

L’équipe de sécurité de Google a publié un correctif en date du 25 mars 2025, corrigeant la vulnérabilité CVE-2025-2783.

Ces attaques successives mettent en lumière une réalité préoccupante : les navigateurs web sont devenus l’un des vecteurs d’attaque privilégiés par les cybercriminels. Leur omniprésence sur les ordinateurs, combinée à leur accès aux données sensibles (identifiants, historique, sessions ouvertes), en fait des portes d’entrée idéales. Et bien que Google Chrome bénéficie d’un système de sécurité parmi les plus avancés, aucune solution n’est infaillible face aux menaces de niveau étatique.

L’apparition de failles zero-day — ces vulnérabilités inconnues des éditeurs et non encore corrigées — est particulièrement redoutée. Exploitées dans le silence, elles permettent des attaques fulgurantes, souvent indétectables jusqu’à ce qu’un expert lève le voile sur leur existence. Des 0day qui connaissent un vrai business, souvent orchestré dans l’ombre des claviers comme pour cette recherche d’un « jour zéro » pour Telegram pour 4 millions de dollars.

Les zero-days sont des armes numériques de haute précision. Lorsqu’elles sont déployées dans un contexte d’espionnage, elles ne visent pas nécessairement la quantité, mais la qualité des cibles. On cherche à infiltrer les bonnes personnes, pas les masses.

Un jeu d’échecs numérique aux ramifications géopolitiques

Si aucune attribution officielle n’a encore été formulée concernant l’Operation ForumTroll, les indices pointent vers un groupe disposant d’une expertise technique rare et d’un objectif clairement défini : surveiller certaines élites intellectuelles et administratives russes. Ce type de ciblage ciblé, couplé à une infrastructure très éphémère, est typique des opérations étatiques cherchant à éviter tout retentissement médiatique.

Dans le contexte actuel de tensions géopolitiques croissantes, l’usage de cyberattaques comme outils d’influence, de renseignement ou de déstabilisation est désormais monnaie courante. Les forums internationaux, les think tanks et les médias indépendants deviennent des cibles autant que des vecteurs d’information. Et dans ce paysage mouvant, chaque faille non corrigée devient une opportunité pour ceux qui savent la manier.

Alors que les failles zero-day deviennent des instruments d’espionnage de plus en plus perfectionnés, une question demeure : combien d’entre elles sommeillent encore dans le code de nos navigateurs préférés, prêtes à être exploitées dans l’ombre ?

cyberattaque, Piratage

Des milliers d’esclaves sauvées de camps de concentration dédiés aux escroquerie en ligne bloqués à la frontière thaïlandaise

Plus de 7 000 personnes, récemment libérées de camps de concentration spécialisé dans les escroqueries en ligne Birman, se retrouvent bloquées à la frontière thaïlandaise, incertaines de leur avenir. Ces individus, originaires de 29 pays, attendent leur rapatriement dans des conditions précaires.

Depuis plus d’une semaine, ces victimes du trafic humain, principalement issues de l’industrie des escroqueries en ligne, sont détenues dans un centre à la frontière thaïlandaise. Malgré quelques rapatriements récents, des milliers d’autres demeurent en attente, la Thaïlande exigeant des garanties de leurs pays d’origine pour les accueillir.

Jeudi, 84 Indonésiens secourus ont été autorisés à traverser la frontière depuis la ville de Myawaddy et seront rapatriés par avion à Jakarta vendredi, selon le ministère indonésien des Affaires étrangères. La semaine précédente, plus de 600 personnes avaient été rapatriées en Chine. Cependant, des milliers d’autres restent piégées dans l’incertitude, la Thaïlande souhaitant obtenir des garanties que leurs pays d’origine accepteront leur retour avant de les laisser entrer. Des esclaves obligé de produire des escroqueries en ligne par milliers comme le montrait ZATAZ en 2022.

L’essor des escroqueries en ligne en Asie du Sud-Est

Ces dernières années, la Birmanie, le Cambodge et le Laos sont devenus des centres névralgiques pour des gangs criminels transnationaux, principalement chinois, spécialisés dans les escroqueries aux investissements en cryptomonnaies. Ces gangs attirent des travailleurs avec de fausses offres d’emploi et les forcent à opérer dans des conditions proches de l’esclavage. Privés de leurs documents et sous surveillance constante, les travailleurs sont contraints de mener des arnaques en ligne ciblant des victimes dans le monde entier.

La Karen Border Guard Force (BGF), une milice birmane alliée à la junte militaire, a joué un rôle ambigu dans cette crise. Elle est accusée d’avoir facilité l’expansion de centres d’escroquerie, notamment à Shwe Kokko, tout en étant à l’origine de la libération récente de milliers de travailleurs. Cette action s’inscrit dans un contexte de pressions croissantes de la part des gouvernements thaïlandais et chinois pour démanteler ces réseaux criminels, notamment après un incident très médiatisé : l’enlèvement d’un acteur chinois en Thaïlande, qui avait été transféré de force au Myanmar.

Une crise humanitaire à la frontière thaïlandaise

La libération soudaine de milliers de travailleurs a engendré une crise humanitaire à la frontière thaïlandaise. Le gouvernement thaïlandais a indiqué que ces individus ne seraient autorisés à entrer sur le territoire que si leurs pays d’origine acceptaient officiellement de les rapatrier. Le vice-Premier ministre et ministre de la Défense, Phumtham Wechayachai, a exprimé son inquiétude quant à la gestion des détenus, soulignant que si la milice BGF les relâchait tous en même temps, cela pourrait provoquer un exode massif et incontrôlable.

« Si cela se produit, ils fuiront en masse comme un essaim d’abeilles« , a-t-il déclaré au journal thaïlandais The Nation. Il a exhorté le ministère des Affaires étrangères à conclure des accords de rapatriement rapidement, mais à ce jour, la plupart des détenus se trouvent toujours en Birmanie.

Les conditions de vie dans les camps sont difficiles. Selon la BBC, de nombreuses personnes secourues sont en mauvaise condition physique, souffrant de malnutrition et d’un accès insuffisant à la nourriture et aux soins médicaux.

Un avenir incertain pour des milliers de victimes

La diversité des nationalités des victimes complique leur rapatriement. Plus de 4 800 d’entre elles sont originaires de Chine, suivies par des citoyens vietnamiens, indiens et éthiopiens. Bien que certaines aient pu regagner leur pays, notamment les Indonésiens qui ont traversé la frontière avec la Thaïlande, des milliers d’autres restent en attente.

Le gouvernement thaïlandais a déjà pris des mesures drastiques pour contrer l’industrie des escroqueries en ligne en Birmanie. Plus tôt ce mois-ci, il a coupé l’électricité, le carburant et l’accès à Internet dans trois régions du Myanmar, suivant une visite du ministre adjoint chinois de la Sécurité publique, Liu Zhongyi, qui a exhorté Bangkok à faire davantage pour réprimer ces activités illicites.

Cependant, les gangs adaptent leurs stratégies pour contourner ces restrictions. Selon Wired, de nombreux sites frauduleux situés dans la région de Myawaddy utilisent désormais Starlink, le service Internet par satellite, pour maintenir leurs activités malgré les coupures de connexion imposées par la Thaïlande.

Le nombre de personnes victimes de trafic humain dans le cadre de ces opérations frauduleuses est estimé à plus de 100 000 au Myanmar. La Thaïlande, en tant que carrefour régional, joue un rôle clé dans la gestion de cette crise.

Cette situation met en évidence l’ampleur du trafic humain lié aux escroqueries en ligne et pose une question cruciale : la communauté internationale doit-elle intervenir pour assurer un rapatriement rapide et sécurisé de ces victimes, tout en renforçant la lutte contre ces réseaux criminels transnationaux ?

cyberattaque, Entreprise

Chronopost victime d’une cyberattaque : 210 000 clients compromis ?

Le 28 janvier 2025, Chronopost découvre une cyberattaque compromettant les données personnelles de 210 000 clients, exposant noms, adresses et signatures.

Le 28 janvier 2025, Chronopost, leader français de la livraison express, a été la cible d’une cyberattaque majeure. Cette intrusion aurait conduit à la fuite des données personnelles de 210 000 clients, incluant noms et adresses. Etonnamment, j’ai lu dans certains médias que le pirate avait eu accès aux signatures. Détail que le pirate n’a pas exprimé. Il a cependant indiqué dans sa petite annonce « Cette base de données contient des informations sur plus de 7,3 millions d’utilisateurs, comprenant à la fois des clients particuliers et des entreprises. » Les conséquences potentielles pour les clients sont préoccupantes et faciles à définir, notamment en matière de sécurité et de confidentialité. Le pirate, fan de Thorfinn de la saga manga Vinland ou encore de Jing (Arcane), connu sous le pseudonyme de akldvg/arkeliaad, n’est pas à son coup d’essai dans le vol de bases de données.

Le 29 janvier 2025, Chronopost détecte une intrusion dans son système informatique. Une détection assez facile. Il faut dire aussi que le pirate a diffusé une petite annonce vue par des centaines de personnes sur le forum Breached. Ce bad hacker indique avoir exfiltré les informations la veille, le 28 janvier.

Le cybercriminel aurait réussi à accéder aux données personnelles. Chronopost parle de 210 000 clients. Le pirate affiche, lui, l’exfiltration de 7 millions. Les informations compromises comprennent les noms, prénoms, adresses postales, numéros de téléphone et, dans certains cas, les signatures apposées lors des livraisons [ce que le pirate n’indiquait pas dans sa petite annonce].

Chronopost a rapidement informé les clients concernés et a renforcé la sécurité de ses systèmes pour prévenir de futures attaques. Chronopost a acheté la base de données au pirate ? Non, évidement ! L’échantillon diffusé par le pirate a permis à la société de retrouver la porte d’entrée et les données collectées par le malveillant.

Conséquences pour les clients

La fuite de ces données sensibles expose les clients à plusieurs risques. Elles peuvent être utilisées pour créer de faux documents ou accéder à des services en se faisant passer pour les victimes. Des messages frauduleux ciblés sont possible (Les phishing Chronopost sont déjà trés nombreux, NDR). Chronopost a annoncé travailler avec les autorités pour identifier les auteurs de l’attaque et sécuriser ses systèmes.

cyberattaque, Cybersécurité

La convention sur la cybercriminalité adoptée par l’onu

La Convention sur la cybercriminalité, approuvée par l’Assemblée générale des Nations unies après cinq années de négociations, marque un tournant majeur dans la coopération internationale. Adoptée par consensus, elle vise à mieux coordonner la lutte contre les délits informatiques. Désormais, les 193 États membres devront ratifier ce texte pour le rendre pleinement effectif.

Cette Convention, qui entrera en vigueur 90 jours après sa ratification par un nombre suffisant de pays, est conçue pour harmoniser les définitions d’infractions liées à la cybercriminalité et faciliter les enquêtes transfrontalières. Les délits informatiques, allant du vol de données à la fraude en ligne, pèsent déjà plusieurs trillions de dollars sur l’économie mondiale. L’accord propose un cadre inédit pour l’échange de preuves électroniques, la collaboration judiciaire et la mise en place de mécanismes de prévention. Les organisations internationales, dont le Bureau des Nations unies contre la drogue et le crime (UNODC), saluent cet effort historique, tout en reconnaissant les interrogations que suscite l’absence de garanties explicites sur la confidentialité et les libertés fondamentales. De grands acteurs de la technologie ainsi que des défenseurs des droits humains redoutent en effet des abus potentiels, en particulier si certains gouvernements utilisent ce traité pour renforcer leurs dispositifs de surveillance ou réprimer la société civile.

Un cadre juridique inédit

La Convention contre la cybercriminalité, élaborée à l’initiative de l’Assemblée générale de l’ONU, se veut la réponse la plus complète à ce jour face à la menace grandissante des crimes informatiques. Depuis plusieurs années, la complexité des enquêtes numériques pose de nombreux défis aux forces de l’ordre, qui peinent à appréhender des individus exploitant le caractère transfrontalier d’internet. Les États cherchaient un texte universel allant plus loin que la Convention de Budapest, jugée insuffisamment mondiale ou inadaptée pour ceux qui ne l’avaient pas signée.

Adoptée sans vote formel, la Convention actuelle reflète la volonté commune d’offrir un socle de règles partagées. Les gouvernements espèrent limiter l’existence de « paradis numériques » où les cybercriminels opèrent sans crainte, en profitant de législations nationales floues ou d’un manque de coopération internationale. Le nouveau traité définit ainsi une liste d’infractions — piratage de réseaux, phishing, diffusion de rançongiciels, blanchiment d’argent en ligne, entre autres — et suggère des standards minimaux pour l’échange de données entre autorités compétentes.

Le volet « coopération judiciaire » est au cœur de cet accord : les services d’enquête peuvent désormais réclamer de l’aide à leurs homologues étrangers afin d’obtenir des informations cruciales, comme l’identification de titulaires de comptes, l’accès aux adresses IP ou la récupération de données situées sur des serveurs hors de leurs frontières. Cette approche se veut rapide et efficace, dans un monde où chaque minute compte pour identifier les responsables de cyberattaques ou de fraudes en ligne.

Les négociateurs ont insisté sur des mécanismes devant garantir que l’entraide judiciaire respecte le droit interne de chaque pays et ne viole pas ses impératifs de sécurité nationale. Une clause permet à un État de refuser une demande de coopération s’il estime qu’elle contrevient à ses obligations constitutionnelles ou qu’elle risque de porter atteinte à ses intérêts fondamentaux. Pour les promoteurs de la Convention, ce dispositif constitue un garde-fou essentiel, même si les organisations de défense des libertés estiment qu’il pourrait se révéler insuffisant face à des usages abusifs.

L’UNODC, par la voix de sa directrice exécutive, Ghada Waly, a souligné l’importance de ce cadre mondial : les pays victimes de cyberattaques n’auront plus à se lancer dans des tractations longues et fastidieuses. L’idée est d’harmoniser le plus possible les incriminations, les procédures et la collecte de preuves, tout en proposant un accompagnement technique et logistique aux États qui manquent de ressources. Les Nations unies espèrent ainsi combler le déséquilibre qui rend certains territoires vulnérables, faute de moyens technologiques pour mettre en place des pare-feu, des logiciels de détection de malwares ou des équipes spécialisées en cyberenquête.

Les cybermenaces évoluent rapidement, et le traité inclut la possibilité de réviser régulièrement la liste des infractions couvertes, afin de tenir compte des nouvelles tendances criminelles. Avec l’essor fulgurant des ransomwares et la sophistication croissante des logiciels espions, les États se retrouvent parfois dépassés. Des groupes criminels organisés, voire des entités sponsorisées par certains régimes, orchestrent des attaques massives qui perturbent des secteurs entiers : hôpitaux, banques, infrastructures énergétiques ou systèmes gouvernementaux. Les experts soulignent que sans collaboration formalisée, les criminels exploitent les failles légales, passant d’une juridiction à l’autre pour brouiller les pistes.

Au-delà de la répression, le traité encourage des initiatives de prévention et d’éducation. Les gouvernements sont appelés à lancer des campagnes de sensibilisation, en expliquant aux citoyens comment repérer un mail suspect, protéger leurs mots de passe, sauvegarder leurs données et vérifier l’authenticité des sites web qu’ils consultent. Cet aspect préventif est jugé crucial pour réduire la surface d’attaque, car la vigilance des internautes et des entreprises demeure la première barrière contre les cyberfraudeurs.

La cérémonie de signature solennelle, prévue à Hanoi en 2025, symbolisera l’entrée dans une nouvelle ère. Une fois qu’un nombre suffisant d’États auront ratifié la Convention, ses dispositions deviendront juridiquement contraignantes pour tous les signataires, dans un délai de 90 jours. Les observateurs espèrent que cette dynamique poussera les pays à mettre à jour leurs lois internes, afin de mieux protéger leurs citoyens et de répondre efficacement aux requêtes étrangères.

Les partisans de cette Convention estiment qu’elle permettra de mieux repérer et poursuivre les individus qui se cachent derrière des attaques d’ampleur mondiale. Ils avancent que la collaboration formelle réduira les réticences politiques à transmettre des preuves, rendant plus complexes les stratégies d’anonymisation. Cependant, tout dépendra de la sincérité avec laquelle les gouvernements mettront en place ce nouveau cadre, et surtout de leur capacité à concilier lutte contre la criminalité et préservation des droits fondamentaux.

Des inquiétudes persistantes

Malgré la portée historique de ce traité, nombre d’organisations de la société civile et de groupes de défense des droits humains n’ont pas caché leur profonde préoccupation. Depuis la première ébauche de texte, en août 2023, plusieurs voix ont mis en garde contre des risques de dérive. Les critiques s’appuient sur le fait que la Convention n’inclut pas de langage clairement contraignant en matière de protection de la vie privée ou de liberté d’expression. Certains militants redoutent que des gouvernements autoritaires puissent la brandir pour renforcer leurs mécanismes de censure ou de surveillance.

Des sociétés technologiques majeures, regroupées au sein du Cybersecurity Tech Accord, ont également manifesté des réserves. Microsoft, Meta, Oracle ou encore Cisco craignent que la Convention ne serve à poursuivre des chercheurs en cybersécurité pour des motifs fallacieux. La ligne entre la découverte de vulnérabilités à des fins d’amélioration de la sécurité et l’intrusion illégale peut devenir floue si des gouvernements décident de qualifier la recherche de « piratage criminel ». Sans dispositions protectrices, cette inquiétude demeure vive dans l’industrie.

Les experts redoutent aussi que la Convention devienne un prétexte pour exiger l’accès à des données confidentielles, sans garanties suffisantes. Les plateformes hébergeant des services en ligne pourraient se retrouver contraintes de communiquer des informations sensibles à des autorités étrangères, y compris sur des utilisateurs innocents ou des opposants politiques. Le fait que le texte permette à un État de refuser une demande en cas de doute ne rassure qu’en partie. Dans la pratique, des pressions diplomatiques pourraient survenir, et certains pays pourraient accepter de transmettre des données pour maintenir de bonnes relations bilatérales.

Au sein des Nations unies, des responsables défendent la Convention en soulignant que de nombreux traités antérieurs contre la criminalité transnationale n’évoquaient pas non plus explicitement la question des droits humains, mais comprenaient des clauses générales renvoyant aux autres obligations internationales. Selon cette approche, les États demeurent liés par la Charte de l’ONU, la Déclaration universelle des droits de l’homme et les pactes relatifs aux droits civils et politiques. Ils estiment donc que la Convention cybercriminelle ne saurait justifier une violation flagrante de ces principes.

Certains gouvernements occidentaux se montrent partagés. L’administration américaine, après avoir hésité, a finalement soutenu le traité en arguant qu’il valait mieux participer à la rédaction pour en influencer le contenu et maintenir la possibilité d’amendements ultérieurs. Des parlementaires démocrates ont exprimé leurs réticences dans une lettre adressée à la Maison-Blanche, soulignant l’insuffisance de garanties portant sur la liberté d’expression et la nécessité de mieux encadrer l’intelligence artificielle pour éviter tout détournement répressif.

La question des responsabilités et des sanctions demeure cruciale. Comment faire en sorte qu’un État abuse de la Convention en toute impunité ? Les promoteurs du traité invoquent des mécanismes informels de pression diplomatique et l’attention des médias internationaux, qui pourraient dénoncer un usage disproportionné de l’accord à des fins de répression. Pourtant, l’absence d’une instance de surveillance indépendante dans ce dispositif préoccupe de nombreux militants, qui y voient la possibilité que des dérives passent sous silence.

Dans ce contexte, certaines organisations non gouvernementales prévoient de surveiller de près la mise en œuvre de la Convention. Elles entendent récolter des témoignages, compiler des données sur les demandes d’assistance transfrontalières et publier des rapports annuels pour mettre en lumière d’éventuels abus. Des initiatives similaires avaient été menées dans le passé autour de la Convention de Budapest, mais leur succès restait limité aux pays européens. Avec un texte désormais global, la tâche s’annonce plus complexe, puisqu’il faudra couvrir des juridictions très différentes.

Les inquiétudes se manifestent également sur la question du secret commercial et de la propriété intellectuelle. Dans un monde où la concurrence technologique est très forte, des entreprises craignent qu’un gouvernement exige, au nom de la lutte contre la cybercriminalité, l’accès à des codes sources, des algorithmes propriétaires ou des bases de données confidentielles. L’évolution rapide de l’intelligence artificielle soulève des enjeux inédits : un algorithme conçu pour la cybersécurité peut-il être considéré comme dangereux si un État estime qu’il facilite l’évasion numérique d’opposants ?

Les représentants onusiens ont tenté de rassurer en assurant que toute demande devrait être liée à une affaire criminelle précise, et que la Convention n’autorise pas la saisie de technologies ou de savoir-faire sans lien direct avec une enquête. Toutefois, l’expérience montre que la notion de « lien direct » reste sujette à interprétation. Lorsque la souveraineté et les intérêts nationaux s’en mêlent, la frontière entre un usage légitime du traité et une instrumentalisation politique peut se révéler ténue.

Malgré tout, le traité suscite un certain espoir : plusieurs pays d’Afrique, d’Asie ou d’Amérique latine ont indiqué leur volonté de se doter rapidement des outils nécessaires, tels que des laboratoires d’investigation numérique, des équipes spécialisées dans les rançongiciels ou la lutte contre l’exploitation en ligne. Certains États envisagent même des partenariats public-privé pour développer des centres de formation en cybersécurité. La Convention pourrait donc servir de catalyseur pour faire émerger un écosystème de compétences autour de la protection numérique, bénéfique au grand public comme au secteur économique.

Des perspectives d’avenir

Le véritable impact de la Convention contre la cybercriminalité dépendra de sa ratification et surtout de son application concrète. Chaque État devra transposer les dispositions dans son droit interne, mettre en place des procédures claires pour répondre aux demandes de coopération et garantir que les investigations menées sur son territoire respectent les principes fondamentaux de proportionnalité et de nécessité.

Les experts s’accordent à dire que la plus grande réussite de ce traité pourrait être sa capacité à renforcer la confiance internationale dans le cyberespace. En offrant un cadre de référence commun pour qualifier et poursuivre les délits informatiques, il peut réduire le risque de frictions politiques liées à des accusations mutuelles de piratage. Dans un monde où les tensions géopolitiques se cristallisent souvent autour de la question des intrusions numériques, l’existence de canaux de dialogue encadrés pourrait limiter les escalades et faciliter la diffusion d’informations fiables.

Les pays en développement, souvent en première ligne face à la cybercriminalité sans disposer des moyens nécessaires pour y faire face, aspirent à ce que la Convention leur apporte un véritable soutien technique. Les transferts de connaissances, la formation d’experts locaux, l’obtention de logiciels de détection ou de traçage des cyberattaques constituent autant d’éléments essentiels. L’ONU promet des programmes d’accompagnement, afin que le cyberespace ne demeure pas un terrain de jeu pour les seules économies puissantes.

La dimension économique ne saurait être négligée. Chaque année, les escroqueries, vols de données et sabotages informatiques pèsent lourdement sur les entreprises de toutes tailles. De grandes multinationales investissent déjà massivement dans la sécurité informatique, mais les PME et les infrastructures publiques sont plus vulnérables. En adoptant le traité, les gouvernements espèrent rassurer les investisseurs et les consommateurs, qui pourraient percevoir dans cette coordination internationale un gage de stabilité. Les interactions commerciales gagneraient en fluidité, sachant que le risque de fraude ou de vol de propriété intellectuelle est l’une des craintes majeures dans le commerce numérique transfrontalier.

Sur le plan diplomatique, la Convention ouvre une brèche pour des discussions plus approfondies sur la gouvernance d’internet. De nombreuses voix plaident pour un internet libre et ouvert, tandis que d’autres estiment nécessaire de renforcer les contrôles afin de lutter contre le cybercrime. Entre ces deux pôles, la Convention cherche un équilibre, mais il est probable que les négociations futures, ou les protocoles additionnels, réexaminent la question de la censure et de la surveillance. Certains estiment que seule une instance internationale permanente, chargée de superviser la bonne application du traité, pourrait répondre aux craintes de dérive.

L’harmonisation juridique doit aussi composer avec les spécificités culturelles et législatives. Les notions de diffamation, d’incitation à la haine ou même de pornographie diffèrent selon les pays. Certaines régulations, acceptables dans une société, pourraient être perçues comme liberticides ailleurs. Les ONG rappellent que, sans garde-fous, le champ du cybercrime pourrait s’étendre à des formes d’expression légitimes, visées par des gouvernements souhaitant étouffer la contestation.

Des entités comme Access Now, Privacy International ou Reporters sans frontières comptent poursuivre leur travail de plaidoyer, exigeant plus de transparence dans la mise en œuvre du traité. Par exemple, elles souhaitent que chaque demande d’information transfrontalière fasse l’objet d’un registre accessible à des organismes indépendants, chargés de vérifier si les enquêtes respectent les principes de droit. Une telle transparence diminuerait le risque de persécution politique ou religieuse déguisée en poursuite pour cybercrime.

L’innovation technologique, moteur de transformations rapides, risque de soulever de nouvelles questions quant à l’adaptabilité de la Convention. L’essor de l’intelligence artificielle générative, capable de créer du contenu trompeur ou de simuler des identités, pourrait conduire à la multiplication de fraudes sophistiquées. L’internet des objets (IoT) accroît la surface d’attaque, tandis que la 5G et la 6G offriront des débits plus élevés mais aussi des risques accrus si la sécurité n’est pas intégrée dès la conception des infrastructures. Les futurs protocoles additionnels, déjà évoqués dans l’architecture du traité, permettront d’ajuster en continu les champs d’action, selon les nouvelles menaces détectées.

La tenue de conférences internationales de suivi, tous les deux ou trois ans, est également prévue. Elles permettront aux parties signataires de partager leur retour d’expérience, d’évaluer l’efficacité des dispositions et, si nécessaire, de proposer des réformes. Les débats y seront certainement animés, car la cybercriminalité se retrouve à l’intersection de multiples problématiques : économie, droits humains, souveraineté, innovation, sécurité. Le succès de la Convention dépendra de la qualité du dialogue et de la volonté de parvenir à des compromis respectant à la fois la sécurité et la liberté.

La Russie, qui a introduit la résolution initiale en 2019, a promis de « coopérer pleinement » pour faire de la Convention un instrument efficace. Certains observateurs restent cependant prudents, rappelant que l’adoption du traité ne dissipe pas automatiquement les tensions géopolitiques. Les actions concrètes de chacun des 193 États membres détermineront la portée réelle de l’accord. Le texte consacre un certain nombre de principes, mais leur traduction dans la pratique requiert un effort continu, tant au niveau des gouvernements que des acteurs privés.

Enfin, le rôle des médias ne doit pas être négligé. Les journalistes spécialisés en cybersécurité, les magazines technologiques et les plateformes en ligne diffuseront régulièrement des analyses et des éclairages sur l’évolution de la Convention. L’opinion publique, de plus en plus sensible aux questions de vie privée et de sécurité, influencera l’acceptation ou la contestation de ce traité. Les États sauront qu’en cas d’abus, l’information risque de se propager très vite, exposant leur réputation à l’échelle mondiale.

Ainsi, la Convention sur la cybercriminalité présente un potentiel considérable pour endiguer la vague grandissante de délits informatiques. Elle apporte un cadre de travail commun, dessine une feuille de route pour la coopération judiciaire et promeut une éducation cybernétique plus développée. Toutefois, l’issue dépendra des choix politiques qui seront faits pour défendre les libertés individuelles, garantir la transparence et maintenir la confiance des citoyens dans un internet de plus en plus central dans la vie quotidienne.

La Convention sur la cybercriminalité, fruit d’un consensus international, marque une avancée significative dans la lutte contre les infractions numériques. En adoptant une approche coordonnée à l’échelle mondiale, les États espèrent tarir les réseaux de cybercriminels qui profitent de failles légales et de frontières peu adaptées à la réalité d’internet. L’harmonisation des législations, la facilitation de la coopération judiciaire et la mise en place de mécanismes de prévention sont autant d’éléments qui renforcent l’idée d’une réponse collective et cohérente.

Néanmoins, les préoccupations liées à la protection des droits fondamentaux et à la vie privée demeurent. L’absence de garde-fous explicites contre les dérives autoritaires ou les abus de surveillance interroge de nombreux observateurs. L’avenir du traité dépendra donc de la volonté réelle des gouvernements d’implémenter ses dispositions dans un esprit de transparence et de respect des libertés. Les mécanismes de contrôle, la pression diplomatique et l’implication des ONG seront essentiels pour éviter toute instrumentalisation.

Pour en savoir plus sur les risques et les opportunités liés à l’intelligence artificielle, abonnez-vous gratuitement à notre newsletter.

cyberattaque, Cybersécurité, Entreprise

Ransomware : Gueule de bois pour Stoli Group, le roi de la vodka

Stoli Group, célèbre fabricant de vodka, attribue son dépôt de bilan à une attaque de ransomware en août, aggravant une situation financière déjà tendue.

Le fabricant de vodka Stoli Group, connu pour ses produits emblématiques comme la vodka Stoli, a révélé qu’une attaque de ransomware en août 2024 avait considérablement aggravé ses difficultés financières, conduisant deux de ses filiales américaines à déposer le bilan. L’incident a désactivé son système ERP, obligeant l’entreprise à passer à une gestion manuelle, perturbant ses opérations et compliquant sa relation avec ses créanciers.

Ce ransomware, bien qu’aucun groupe n’ait encore revendiqué l’attaque, s’inscrit dans un contexte de défis multiples pour Stoli : des batailles juridiques prolongées avec le gouvernement russe, des sanctions internationales et une baisse de la demande post-pandémie. En proie à une dette de 84 millions de dollars, l’entreprise lutte pour maintenir ses opérations, visant une restauration de ses systèmes au premier trimestre 2025. Cette affaire illustre l’impact dévastateur des cyberattaques sur les grandes entreprises et leur stabilité financière.

Une attaque de ransomware paralysante

En août 2024, Stoli Group a été victime d’une attaque de ransomware ayant perturbé l’ensemble de son infrastructure informatique, y compris son système de planification des ressources (ERP). Ce système était crucial pour les opérations globales, et sa désactivation a forcé l’entreprise à basculer vers des processus manuels pour gérer ses fonctions internes, notamment la comptabilité.

Les perturbations causées par cette attaque ont également compliqué la communication avec les créanciers, Stoli étant incapable de fournir des rapports financiers actualisés. Cette incapacité à répondre aux exigences des prêteurs a aggravé la situation financière, contribuant directement au dépôt de bilan de ses filiales américaines, Stoli Group USA et Kentucky Owl.

« L’attaque a provoqué des problèmes opérationnels importants dans toutes les sociétés du groupe Stoli, y compris Stoli USA et KO, en raison de la désactivation du système de planification des ressources de l’entreprise (ERP) du groupe Stoli et du passage forcé de la plupart des processus internes du groupe Stoli (y compris les fonctions comptables) à un mode de saisie manuelle.« 

Aucun groupe de ransomware n’a encore revendiqué l’attaque, et la société n’a pas précisé si une rançon a été versée. Stoli vise à restaurer ses systèmes d’ici le premier trimestre 2025, mais les pertes opérationnelles restent lourdes.

La branche américaine de la société a été créée en 2013 et distribue tous ses produits aux États-Unis. En plus de la vodka homonyme Stoli, la société possède plusieurs autres marques internationales d’alcool.

Un contexte économique et juridique déjà tendu

L’impact du ransomware s’ajoute à une série de défis majeurs pour Stoli Group, dont des batailles juridiques prolongées avec le gouvernement russe. Depuis un décret de Vladimir Poutine en 2000 cherchant à renationaliser la marque, Stoli a été confrontée à une série de poursuites et de confiscations, culminant avec la saisie en 2022 de ses deux dernières distilleries en Russie, d’une valeur estimée à 100 millions de dollars.

En juillet 2024, un gouvernement local russe a qualifié Stoli d’« extrémiste », citant son soutien aux réfugiés ukrainiens. Ces mesures, combinées aux coûts juridiques globaux et à la perte d’actifs, ont mis une pression énorme sur les finances de l’entreprise.

La pandémie de COVID-19 et l’inflation ont également joué un rôle. Une baisse de la demande d’alcool, combinée à une hausse des coûts opérationnels, a entraîné une érosion des marges bénéficiaires, exacerbant les défis financiers.

Ransomware : une menace pour la stabilité des entreprises

L’attaque contre Stoli n’est pas un cas isolé. Les cyberattaques par ransomware continuent de causer des pertes massives aux entreprises dans divers secteurs. En 2023, la Brunswick Corporation a estimé les pertes liées à un ransomware à 85 millions de dollars, tandis qu’un libraire canadien a déclaré des pertes de 50 millions de dollars dues à une attaque ayant paralysé ses opérations pendant des semaines.

L’impact des ransomwares va au-delà des pertes financières immédiates, affectant la réputation des entreprises, leur relation avec les créanciers et leur capacité à maintenir des opérations normales. Applied Materials, fournisseur pour l’industrie des semi-conducteurs, a rapporté des pertes potentielles de 250 millions de dollars à cause d’une attaque contre l’un de ses fournisseurs.

Pour Stoli, cette attaque de ransomware a agi comme un catalyseur, accélérant un dépôt de bilan rendu inévitable par des pressions économiques, juridiques et opérationnelles multiples. Ces incidents soulignent la nécessité pour les entreprises de renforcer leurs défenses cybernétiques et de planifier des réponses rapides aux attaques.

L’attaque de ransomware contre Stoli Group illustre l’impact dévastateur des cyberattaques sur les grandes entreprises. Elle montre comment ces incidents, combinés à des pressions économiques et juridiques, peuvent pousser des organisations autrefois solides à la faillite.

En France, même constat pour l’opérateur Octave placé en redressement à la suite d’une cyberattaque. Une attaque informatique qui a mis au tapis l’entreprise, mais aussi et surtout de nombreuses entreprises partenaires, et leur boutique en ligne, obligées de ressortir, crayon et papier en magasin physique. Certaines boutiques ont été relancée… 3 mois aprés l’attaque !

Abonnez-vous à la newsletter de ZATAZ.COM et rejoignez notre groupe WhatsApp pour rester informé des dernières actualités et des meilleures pratiques en matière de cybersécurité.

cyberattaque, Cybersécurité

Cyberattaque chez Blue Yonder : le groupe Termite revendique le vol de 680 Go de données sensibles

Blue Yonder, géant des logiciels détenu par Panasonic, subit une cyberattaque majeure. Le gang Termite revendique 680 Go de données volées et plusieurs victimes mondiales.

Blue Yonder, fournisseur de solutions logicielles pour plus de 3 000 grandes entreprises dans 76 pays, est au cœur d’une cyberattaque revendiquée par le groupe Termite. Ce gang de ransomware, actif depuis avril, affirme avoir volé 680 Go de données, incluant des emails, documents d’assurance et informations sensibles d’entreprise. L’attaque, révélée le 21 novembre juste avant Thanksgiving, a provoqué des perturbations majeures dans les systèmes de ses clients, parmi lesquels des supermarchés, des fabricants et des entreprises comme Starbucks.

Blue Yonder, acquis par Panasonic en 2021 pour 8,5 milliards de dollars, a déclaré que plusieurs systèmes clients ont été rétablis et travaille en collaboration avec des experts en cybersécurité pour renforcer ses défenses. Cependant, cette attaque met en lumière la persistance des groupes de ransomware comme Termite, liés à la famille Babuk, et leur capacité à cibler des infrastructures critiques dans le monde entier.

Blue Yonder, une cible de choix pour le groupe termite

Blue Yonder, spécialiste des logiciels de gestion de la chaîne d’approvisionnement, est une cible stratégique. Ses solutions, utilisées par plus de 3 000 entreprises dans 76 pays, jouent un rôle clé dans la logistique, la livraison et les retours. L’impact d’une attaque sur une telle organisation dépasse ses propres systèmes, affectant directement les opérations de ses clients, dont des supermarchés et des géants comme Starbucks.

Le 21 novembre 2024, juste avant Thanksgiving, Blue Yonder a révélé qu’une cyberattaque avait compromis ses systèmes. Le gang Termite a revendiqué cette attaque, affirmant avoir volé 680 Go de données, incluant des emails, des documents financiers et des informations sensibles d’entreprise. Les déclarations de Termite soulignent leur audace, d’autant plus qu’ils ont déjà revendiqué des attaques contre des entités gouvernementales, comme celle de l’île de La Réunion.

Blue Yonder a confirmé que plusieurs clients touchés ont pu être remis en ligne, dont BIC, Starbucks et Morrisons, mais n’a pas précisé si une rançon avait été exigée. Cette attaque montre à quel point les infrastructures critiques restent vulnérables aux groupes de ransomware, qui évoluent et adaptent constamment leurs outils pour contourner les défenses.

Sainsbury’s, l’une des plus grandes chaînes de supermarchés du Royaume-Uni, a déclaré que ses services avaient été rétablis depuis qu’elle a été touchée par l’attaque par ransomware. Une autre grande chaîne de supermarchés britannique, Morrisons, a expliqué que l’attaque avait eu un impact sur les systèmes de gestion des entrepôts de l’entreprise pour les produits frais et les fruits et légumes.

Termite, un groupe de ransomware en pleine expansion

Le gang Termite, actif depuis avril 2024, a multiplié les attaques contre des cibles variées, allant d’entreprises privées à des institutions gouvernementales. Leur revendication de l’attaque contre Blue Yonder n’est pas un cas isolé : ils ont également pris pour cible l’administration de La Réunion et de nombreuses autres victimes à travers le monde, souvent sans confirmation officielle des entités touchées.

Selon les experts en cybersécurité, le code utilisé par Termite présente des similitudes avec celui de Babuk, un groupe de ransomware bien connu. Cependant, des analyses récentes menées par Trend Micro montrent que leur malware comporte encore des erreurs, ce qui suggère que le groupe est en phase d’apprentissage et d’évolution.

Les groupes comme Termite exploitent la cybercriminalité non seulement pour le gain financier, mais aussi pour semer la peur et la confusion parmi leurs victimes. Ces attaques mettent en évidence la nécessité pour les entreprises de renforcer leur cybersécurité et de collaborer avec des experts pour se protéger contre des groupes toujours plus sophistiqués. Termine est le groupe qui a attaqué le Département de La Réunion / Mayotte.

Impacts et enseignements pour les entreprises

Cette attaque rappelle l’importance cruciale de la cybersécurité pour les grandes entreprises. En 2021 déjà, Blue Yonder avait été victime d’un ransomware, montrant que les cybercriminels ciblent régulièrement les organisations qui gèrent des données sensibles ou des infrastructures critiques.

Depuis son acquisition par Panasonic en 2021 pour 8,5 milliards de dollars, Blue Yonder a renforcé sa présence sur le marché mondial. Cependant, ces gains attirent également l’attention des cybercriminels. Les conséquences d’une telle attaque peuvent être dévastatrices : perturbation des chaînes d’approvisionnement, perte de données critiques, atteinte à la réputation et, potentiellement, des coûts importants liés au paiement d’une rançon ou à la récupération des systèmes.

Les experts insistent sur l’importance d’un plan de réponse aux incidents, de la formation du personnel et de la collaboration avec des partenaires en cybersécurité pour prévenir les attaques futures. Le cas de Termite montre également que les groupes de ransomware deviennent de plus en plus agressifs et ne se limitent plus à demander une rançon, mais cherchent à maximiser leurs gains en exploitant les données volées.

Pour suivre les dernières actualités sur la cybersécurité et apprendre comment protéger votre entreprise, abonnez-vous à notre newsletter  et rejoignez notre groupe WhatsApp. Informez-vous pour anticiper les menaces et renforcer vos défenses numériques !

cyberattaque, Cybersécurité

Les cybercriminels de RansomHub utilisent TDSSKiller pour contourner les systèmes de sécurité

Les attaques par ransomware continuent d’évoluer avec l’ingéniosité des cybercriminels, et les méthodes de contournement des systèmes de sécurité se sophistiquent. RansomHub, un groupe de pirates notoire, exploite un outil légitime de Kaspersky Lab, TDSSKiller, pour désactiver les services de détection et de réponse des points finaux (EDR) sur les systèmes qu’ils ciblent.

Ce détournement des outils de cybersécurité souligne un défi majeur dans la lutte contre les ransomwares : l’utilisation d’outils authentiques et signés pour masquer des intentions malveillantes.

TDSSKiller, développé par Kaspersky Lab, est à la base un logiciel de sécurité conçu pour détecter et éliminer les rootkits et bootkits, des types de malwares difficiles à identifier et à éliminer. Ces programmes malveillants peuvent contourner les mesures de sécurité traditionnelles et s’intégrer profondément dans le système, ce qui rend leur élimination complexe.

Cependant, comme le rapporte Bleeping Computer, RansomHub a détourné l’utilisation de cet outil pour interagir avec les services au niveau du noyau du système infecté, désactivant ainsi les services anti-malware tels que MBAMService de Malwarebytes. Ce processus se fait via un script de ligne de commande ou un fichier batch, ce qui permet aux cybercriminels de désactiver les mécanismes de défense critiques et de s’assurer que leur présence sur le système reste inaperçue.

Comment RansomHub utilise LaZagne pour l’exfiltration des informations d’identification

Après avoir désactivé les systèmes de défense via TDSSKiller, les pirates de RansomHub passent à la collecte d’informations d’identification. Ils exploitent l’outil LaZagne, un autre programme légitime, pour extraire les informations de connexion stockées dans les bases de données d’applications. Cet outil peut accéder à des identifiants provenant de navigateurs, de clients de messagerie, de bases de données ou encore de logiciels de gestion de mots de passe.

Une fois les informations d’identification récupérées, les pirates peuvent se déplacer latéralement dans le réseau, escaladant leurs privilèges pour prendre le contrôle de nouveaux systèmes et y installer d’autres malwares ou finaliser une attaque de ransomware. Malwarebytes a enquêté sur une attaque où LaZagne avait généré 60 fichiers contenant des données volées, preuve de l’étendue des informations que ces cybercriminels peuvent exfiltrer.

Les implications pour les entreprises : vigilance et renforcement des défenses

L’utilisation d’outils légitimes dans des attaques malveillantes est particulièrement problématique pour les équipes de sécurité. TDSSKiller est signé avec un certificat valide, ce qui rend sa détection par des logiciels de sécurité standard difficile. Les solutions de sécurité doivent donc être adaptées pour reconnaître des comportements suspects, même s’ils émanent d’outils légitimes. Cela inclut l’analyse comportementale avancée et la mise en place de restrictions plus strictes quant à l’utilisation d’outils tels que TDSSKiller ou LaZagne dans des environnements sensibles. Malwarebytes a souligné que les attaquants de RansomHub ont cherché à dissimuler leurs traces en supprimant des fichiers après avoir exfiltré des données d’identification, un comportement typique visant à éviter la détection post-incident.

backdoor, cyberattaque, Cybersécurité

Crise évitée de justesse : comment une cyberattaque sur Linux a failli bouleverser Internet

Les développeurs et les experts en sécurité informatique ont récemment été secoués par une tentative d’attaque contre la chaîne d’approvisionnement logicielle, ciblant l’utilitaire de compression XZ Utils, largement utilisé dans les systèmes d’exploitation Linux. Cette tentative d’infiltration a mis en lumière les vulnérabilités humaines qui sous-tendent les infrastructures de l’Internet.

La récente découverte d’une porte dérobée dans le logiciel XZ Utils, largement utilisé dans les systèmes d’exploitation Linux, a secoué la communauté open source. Ce logiciel, essentiel pour la compression de données, s’est retrouvé au cœur d’une attaque de chaîne d’approvisionnement qui aurait pu compromettre des millions de serveurs à travers le monde.

Cette opération de longue haleine semble être l’œuvre d’une agence de renseignement, bien que l’identité exacte des instigateurs reste inconnue. Le cas de Jia Tan est particulièrement préoccupant puisqu’il a profité de la vulnérabilité d’un développeur [CVE-2024-3094] surmené pour prendre le contrôle de XZ Utils.

L’affaire commence lorsque Andres Freund, un ingénieur chez Microsoft, débusque une anomalie dans un protocole réseau, menant à la découverte d’une des attaques de chaîne d’approvisionnement les plus élaborées à ce jour. Un développeur peu connu, Jia Tan, avait commencé dès février à intégrer discrètement un code malveillant dans XZ Utils. Profitant de la vulnérabilité humaine, notamment la fatigue du seul développeur mainteneur du projet, Tan réussit à s’implanter comme responsable du logiciel, augmentant ainsi ses capacités d’insertion de code malveillant.

Cette situation exposait une faille critique dans la gestion de projets open source : la dépendance excessive à des individus isolés pour la maintenance de logiciels cruciaux.

L’alerte a été donnée par l’Agence de cybersécurité et de sécurité des infrastructures, avec un avertissement spécifique de Red Hat. L’incident, originaire d’octobre 2021, a été découvert presque par hasard, soulignant l’importance de la vigilance et de la collaboration au sein de la communauté open source.

Ce cas rappelle que la sécurité des logiciels open source n’est pas seulement une question de technologie mais aussi de confiance et de collaboration humaine. Les contributions de Jia Tan à d’autres projets tels que libarchive, qui se sont retrouvées dans de nombreux dispositifs, soulèvent des questions sur l’ampleur de la menace.

Heureusement, l’incident a été découvert à temps, évitant une catastrophe majeure. Mais il sert de rappel alarmant que même les outils les plus fondamentaux et largement utilisés, comme XZ Utils, peuvent être des cibles de choix pour des opérations d’espionnage menées par des acteurs étatiques.

cyberattaque, Cybersécurité

Phishing : le bilan alarmant de la cybersécurité

Un acteur majeur dans la lutte contre les cybermenaces a récemment publié les résultats édifiants de sa deuxième édition du baromètre annuel de la cybersécurité. Cette étude, basée sur l’analyse de 5,9 milliards de courriels et représentant plus de 2 millions d’utilisateurs, dévoile un panorama complexe et inquiétant de la cybersécurité actuelle.

En 2023, 1,6 milliard de courriers indésirables ont été interceptés et 143 millions de tentatives de cyberattaques, principalement sous forme de phishing, ont été neutralisées par la société MailingBlack, mettant en lumière l’ingéniosité et la persévérance des cybercriminels. L’étude révèle que des marques de confiance telles que La Poste, WeTransfer, Amazon, Microsoft, et Google sont fréquemment imitées dans le but de leurrer les utilisateurs. 7,6 % des spams contiennent des cybermenaces. 77,5 % de ces assauts numériques se manifestent par un hameçonnage exploitant des biais cognitifs humains tels que le stress, la curiosité, et l’appât du gain pour piéger les employés.

Les petites et moyennes entreprises (PME), suivies des administrations publiques, figurent parmi les cibles privilégiées. Ces entités, souvent moins armées contre les cybermenaces, se retrouvent en première ligne face à des adversaires numériques de plus en plus sophistiqués. Le secteur du commerce se distingue particulièrement, victime de 82 % des attaques exploitant des macros malveillantes dans des documents Word ou Excel, par exemple.

Par ailleurs, les postes de direction et les fonctions marketing sont particulièrement visés, soulignant la stratégie des attaquants de cibler les maillons clés au sein des organisations pour maximiser leur impact. Les postes de direction sont visés, en moyenne, 25 fois par mois. Vient ensuite, les postes marketing, avec 21 tentatives. Les postes administratifs arrivent quant à eux en troisième position, avec 9 tentatives par mois.

Les biais cognitifs auxquels les collaborateurs sont le plus sensibles, sont aussi les plus triviaux : le stress, la curiosité et l’appât du gain. Les messages pour les piéger varient peu, ou pas. Ils restent cependant très efficace. Voici quelques exemples repérés par ZATAZ et MailingBlack.

Promotions et événements spéciaux : “Profitez de notre offre exclusive Black Friday ! Des surprises incroyables vous attendent” ;
Facturation et paiements : “Alerte de facture impayée !” ;
Offres d’entreprise et bien-être : “Améliorez le bien-être de votre équipe ! Découvrez nos solutions exclusives” ;
Logistique et livraison : “Alerte de colis en attente ! Confirmez vos détails de livraison immédiatement !” ;
Sécurité et authentification : “Action requise pour votre sécurité ! Veuillez confirmer votre numéro de téléphone pour protéger votre compte”.

cyberattaque, Entreprise

Santé : impossible de distribuer des médicaments à la suite d’une cyber attaque

Les opérateurs du ransomware « Blackcat » ont été identifiés comme responsables de la récente panne chez Change Healthcare, une division technologique du groupe UnitedHealth spécialisée dans le traitement des réclamations d’assurance et des paiements dans le secteur de la santé aux États-Unis. Cette cyberattaque a entraîné une perturbation nationale, interrompant la distribution des médicaments sur ordonnance pendant une durée de six jours.

Notre quotidien repose fortement sur la fiabilité des chaînes d’approvisionnement. Des attaques d’envergure comme celles qui ont touché Colonial Pipeline ou MoveIT, ainsi que celles visant des prestataires de services IT tels que Kaseya et Materna, démontrent, quelle que soit leur ampleur ou leur secteur, l’importance cruciale d’adopter une démarche collective pour renforcer la cyber-résilience des services essentiels tels que la santé, l’énergie, l’eau et les transports.

L’impact en cascade d’une compromission au sein de la chaîne d’approvisionnement [La Supply chain] peut être catastrophique. La cyber-résilience est la capacité de maintenir des opérations attendues face à des incidents cybernétiques, et pour les infrastructures essentielles, cela inclut la gestion des incidents externes.

Les entités appartenant aux infrastructures vitales doivent s’assurer qu’elles sont préparées à continuer leurs opérations malgré une attaque et évaluer régulièrement les risques liés à leur chaîne d’approvisionnement. Il est crucial d’analyser et de réévaluer les dépendances tierces. Notamment, un plan de réponse aux incidents devrait prévoir des actions à entreprendre en cas d’indisponibilité ou d’attaque externe affectant la supply chain.

Si une dépendance est critique, il est vital pour les équipes IT de consulter leurs homologues sur leurs pratiques pour assurer la continuité des opérations dans de telles situations. Ce dialogue ouvre la voie à des discussions plus poussées sur l’amélioration de la résilience globale des infrastructures critiques.

Une cyberattaque contre une organisation peut compromettre la capacité d’une autre à traiter ses données. La compromission d’une identité privilégiée dans une entreprise peut provoquer des incidents dans une autre. Les capacités à s’adapter, à anticiper et à récupérer – éléments clés de la résilience – doivent être envisagées au-delà des limites d’une seule entreprise, en identifiant et en gérant les dépendances externes. »

Le cas c’est vue aussi, dernièrement, quand Bank America a été obligé d’alerter ses clients à la suite d’une fuite de données chez son prestataire IMS. Bank of America est l’une des plus grandes banques des États-Unis avec 69 millions de clients aux États-Unis et dans plus de 35 pays à travers le monde. Selon des documents fournis au procureur général du Texas, des informations personnelles sur des clients ont été divulguées, notamment leurs noms, adresses, numéros de sécurité sociale, dates de naissance, ainsi que des données financières, notamment des numéros de compte et de carte bancaire. 57 028 clients auraient été impactés début novembre 2023.

« Il est peu probable que nous soyons en mesure de déterminer avec certitude quelles informations personnelles ont été consultées à la suite de cet incident. » indiquait alors IMS ! IMS avait été bloqué par Lockbit, le 4 novembre 2023, affichant la prise d’otage de plus de 2 000 systèmes de l’entreprise. [Avec Reuters]

Chiffrement, cyberattaque, ransomware

Un petit vaccin pour le ransomware Rhysida

Des chercheurs en Corée du Sud ont identifié une faille dans le ransomware Rhysida, permettant la création d’un outil de décryptage gratuit pour les fichiers Windows affectés. Toutefois, certains experts critiquent la divulgation de ce défaut.

Lancé mi-2023, le groupe de pirates Rhysida a ciblé des secteurs variés, dont l’éducation et la santé. La Bibliothèque nationale britannique figure parmi ses victimes notables, ayant subi une attaque à l’automne. L’Université Kookmin et la KISA ont révélé une vulnérabilité dans le générateur de nombres pseudo-aléatoires de Rhysida, exploitée pour générer des clés de déchiffrement uniques par attaque, permettant ainsi de concevoir un outil pour restaurer les données chiffrées sans frais.

Ils ont détaillé dans leur étude que Rhysida utilisait LibTomCrypt pour le chiffrement et traitait les données en parallèle pour une efficacité accrue. Le programme appliquait un chiffrement discontinu, une stratégie courante chez les ransomwares pour accélérer le processus tout en évitant la détection, en alternant entre chiffrement et non-chiffrement de segments de données. Le décryptage fut possible grâce à l’analyse du modèle de chiffrement et l’application sélective de la clé correcte.

Les chercheurs ont expliqué que Rhysida se servait d’un CSPRNG basé sur l’algorithme ChaCha20 pour créer des clés de chiffrement, utilisant une valeur initiale dérivée de l’heure système, rendant la graine prévisible. En exploitant cette faille, ils ont mis au point une méthode pour reconstruire l’état du CSPRNG en testant différentes valeurs initiales, permettant de prédire les nombres aléatoires et de restaurer les fichiers chiffrés sans la clé originale.

Leur outil de décryptage est disponible sur le site de la KISA, avec un rapport technique et des instructions d’utilisation.

Peu après cette révélation, Fabian Vosar a indiqué que d’autres avaient découvert cette vulnérabilité mais avaient choisi de ne pas la rendre publique. Avast (octobre 2023), le CERT français (juin 2023), et Vosar lui-même, en mai 2023, avaient identifié la faille, permettant le décryptage de nombreux systèmes. Vosar a précisé que cette faille ne s’applique qu’à la version Windows de Rhysida, et non aux versions ESXi ou PowerShell, avertissant que les créateurs de Rhysida pourraient rapidement corriger cette vulnérabilité, rendant la récupération de fichiers sans rançon de nouveau impossible.

cyberattaque, Cybersécurité

DES PME FRANÇAISES ADMETTENT AVOIR ÉTÉ TOUCHÉES PAR UNE VIOLATION DE LA SÉCURITÉ DE LEURS IMPRIMANTES.

L’augmentation des menaces de sécurité, telles que le phishing ou les ransomware, est une préoccupation très réelle pour les petites et moyennes entreprises (PME) d’Europe. D’autant plus que l’exploitation de nouvelles vulnérabilités fait des appareils en réseau, tels que les multifonctions et les imprimantes, des cibles de choix pour les atteintes à la sécurité informatique.

Une étude menée par Sharp Europe – L’un des principaux fournisseurs de produits et de services technologiques aux PME européennes, a révélé que près d’une PME française sur huit (12%) admet avoir été affectée par une violation de la sécurité de son imprimante. Près d’un tiers d’entre elles ont été touchées par des pertes de données (28%), des malware (31%), du phishing (32%) et des attaques de virus informatiques (29%).

Aujourd’hui, le paysage des menaces liées à l’impression continue de s’élargir avec les défis réels que pose le travail hybride, qu’il s’agisse de sécuriser les connexions réseau ou de se prémunir contre l’erreur humaine. Pourtant, seulement 3% des PME s’inquiètent du risque de sécurité des imprimantes. En fait, plus d’un tiers (38%) des petites entreprises françaises n’ont mis en place aucune mesure de sécurité informatique pour protéger les imprimantes.

L’étude paneuropéenne a interrogé 5 770 professionnels responsables de l’achat IT dans leurs PME, sur la confiance dans leurs capacités de sécurité informatique et les obstacles à l’investissement dans la sécurité informatique au cours des 12 prochains mois.

Manque de compréhension des employés en matière de sécurité informatique

L’étude révèle que le travail hybride est la deuxième raison (28%) pour laquelle les PME françaises s’inquiètent de plus en plus de la sécurité informatique. Plus d’un quart d’entre elles (26%) s’inquiètent également du manque de compréhension des employés en matière de sécurité informatique. Malgré ces inquiétudes, seul un peu plus d’un tiers (41%) couvre le travail hybride dans le cadre de sa formation actuelle à la sécurité informatique et moins d’un quart des PME sensibilisent leurs employés à la sécurité informatique des scanners (16%) et des imprimantes (19%).

Pour les petites entreprises qui ne disposent pas de ressources informatiques importantes, la réalité du paysage des menaces en constante évolution et les défis posés par le travail hybride peuvent sembler décourageants. Les PME peuvent commencer par mettre à jour les logiciels pour les scanners et les imprimantes, sauvegarder régulièrement les données et encourager une politique de sécurité cohérente au sein des équipes travaillant sur plusieurs sites afin de garantir leur protection. Demander l’avis d’un expert peut aider à s’assurer que les bonnes décisions en matière de sécurité informatique sont prises, qu’une vision holistique de la sécurité est adoptée et que les solutions sont toujours à jour.

cyberattaque, Cybersécurité

Aprés une cyber attaque, une entreprise débourse plus de 10 millions pour réparer !

Le fournisseur de cloud Rackspace Technology Inc. a dépensé 10,8 millions de dollars pour corriger les conséquences d’une cyberattaque à grande échelle survenue en décembre 2022.

Décembre 2022, les pirates informatiques du groupe spécialisé dans le chantage numérique Play s’attaquent à la société Rackspace Technology Inc., un spécialiste du cloud. L’entreprise a dépensé 10,8 millions de dollars pour corriger les conséquences de cette malveillance numérique.

Selon l’entreprise, la plupart des fonds ont été utilisés pour payer les services d’une société internationale de cybersécurité. En outre, l’argent a aussi été consacré au soutien juridique et aux salaires du personnel en charge d’aider les victimes impactés par ce ransomware.

A noter que des entreprises continuent de porter plainte contre les pirates et Rackstage à San Antonio, Los Angeles et New York. Le rapport fournit par Rackspace à la Securities and Exchange Administration des États-Unis (le gendarme de la bourse US) indique que malgré des poursuites judiciaires, l’entreprise ne subira pas de dommages financiers graves.

Cependant, il est actuellement impossible d’estimer avec précision les pertes potentielles. Les propriétaires s’attendent à ce qu’une part importante des coûts liés à l’incident soit couverte par une assurance cyber-risques.

En mai 2023, un tribunal s’est prononcé en faveur de Rackspace, rejetant un recours collectif intenté par 37 payeurs de divers États américains qui avaient perdu l’accès à leurs données lors de cette cyber attaque. Les pirates de Play ont utilisé une nouvelle méthode pour pénétrer dans le réseau Hosted Exchange. En exploitant la vulnérabilité sous l’identifiant CVE-2022-41080, ils ont eu accès à la correspondance électronique, aux calendriers, aux planificateurs, aux listes de tâches, au carnet d’adresses et à d’autres données dans les fichiers PST (Personal Storage Table) de leurs cibles.

À la suite de l’incident, la valeur boursière de Rackspace a chuté, signe d’une perte de confiance des investisseurs. Les prévisions financières à long terme sont devenues beaucoup moins optimistes.

cyberattaque, Cybersécurité

Une attaque utilisant le caractère RLO dans le nom de fichier

Les autorités États-Uniennes ont signalé une nouvelle réincarnation d’attaques utilisant le caractère Unicode RLO (Right-to-Left Override), qui permet de basculer l’écriture des noms de fichiers du mode standard de gauche à droite à l’écriture de droite à gauche.

Grâce à ce caractère Unicode illisible, l’extension du fichier peut être masquée de manière à ce que l’utilisateur, lisant de gauche à droite, pense avoir affaire à un certain type de fichier, mais si on le lit de droite à gauche, comme c’est le cas dans certaines langues arabes ou en hébreu, l’extension est fondamentalement différente. Dans l’histoire partagée par le chercheur Krebs, le fichier s’appelait lme.pdf et incitait le destinataire à résoudre des problèmes liés à ses déclarations fiscales. Cependant, en réalité, le nom du fichier contenait ce fameux caractère RLO, ce qui faisait que le fichier devait être lu de droite à gauche – fdp.eml.

Ainsi, la victime de l’attaque de phishing ne recevait pas un document électronique, mais un fichier de messagerie électronique se faisant passer pour un PDF. « L’e-mail est arrivé via Microsoft Office 365 avec tous les filtres anti-spam et anti-phishing activés, mais il n’a pas été intercepté », s’est plaint une victime potentielle de l’attaque auprès de Krebs. « Cependant, si vous envoyez cet e-mail via Mimecast, le programme est suffisamment intelligent pour reconnaître le caractère RLO et renommer le fichier en « ___fdp.eml« . Honnêtement, Microsoft a eu suffisamment de temps pour résoudre ce problème. »

Lorsque le fichier .eml est ouvert, une page Web s’affiche, imitant un avertissement de Microsoft concernant des messages indésirables en attente de récupération dans la boîte de réception de la victime. En cliquant sur le lien « Récupérer les messages », l’utilisateur est redirigé vers un lien marketing de LinkedIn (également propriété de Microsoft), qui est lui-même une redirection vers une ressource de phishing.

cyberattaque, Cybersécurité, loi

Cyberattaque contre la Commission électorale britannique : Une menace prévisible pour les démocraties modernes

La fragilité croissante des systèmes d’information dans les démocraties modernes a été mise en évidence une fois de plus alors que la Commission électorale britannique a récemment divulgué avoir été victime d’une cyberattaque complexe.

Cette intrusion compromettant les données de millions d’électeurs souligne l’importance de renforcer la cybersécurité pour préserver l’intégrité des processus démocratiques.

Le mardi 8 août, la Commission électorale britannique a révélé être victime d’une cyberattaque sophistiquée qui aurait compromis la sécurité des données de millions d’électeurs. Selon l’organisme de surveillance des élections au Royaume-Uni, des acteurs hostiles non spécifiés ont réussi à accéder aux copies des listes électorales, contenant des informations sensibles telles que les noms, adresses et statuts d’inscription des électeurs entre 2014 et 2022. Cette intrusion a également touché les e-mails et les systèmes de contrôle de la commission, demeurant indétectée jusqu’en octobre de l’année précédente.

Impact potentiel sur la démocratie

La gravité de cette violation de cybersécurité ne peut être sous-estimée. Bien que la Commission électorale affirme qu’aucune élection ni inscription n’a été directement impactée, les conséquences à plus long terme pourraient être préoccupantes. Les cybercriminels ayant désormais accès à une masse d’informations sur les électeurs, ils pourraient propager de la désinformation subtile auprès des 40 millions de citoyens concernés. Cette désinformation pourrait servir à renforcer certaines visions du monde et à semer la discorde. En altérant les données des électeurs ou même les votes eux-mêmes, ils pourraient potentiellement remettre en question l’authenticité et l’exactitude des processus démocratiques.

cyberattaque, Entreprise

Les attaques de messagerie professionnelle en hausse : Microsoft met en garde contre l’augmentation des attaques de type BEC

Microsoft a récemment signalé une augmentation alarmante des cyberattaques utilisant la technique baptisée Business Email Compromise (BEC). Cette méthode d’hameçonnage consiste en des attaquants se faisant passer pour des dirigeants ou des partenaires d’entreprises, cherchant à convaincre les employés de transférer de l’argent ou de divulguer des informations confidentielles.

Selon les données de Microsoft, le nombre d’attaques BEC (Business Email Compromise) a augmenté de 250 % en 2022 par rapport à l’année précédente. De plus, les attaquants ont développé des méthodes de tromperie de plus en plus complexes et sophistiquées. Par exemple, ils peuvent usurper des domaines ou des adresses e-mail pour donner l’illusion que leurs messages sont légitimes. Ils peuvent également compromettre de véritables comptes et envoyer des e-mails de phishing au nom des victimes.

Les petites et moyennes entreprises sont particulièrement ciblées par les attaques BEC, car elles ont souvent des mesures de cybersécurité moins avancées et un personnel moins formé. Microsoft estime que les dommages moyens causés par une attaque BEC réussie s’élèvent à environ 75 000 $.

Afin de se protéger contre les attaques BEC, Microsoft recommande aux entreprises d’utiliser des mesures telles que l’authentification multifacteur, le chiffrement des e-mails, la sensibilisation des employés à l’hygiène de la cybersécurité et l’authentification de domaine. Ces précautions peuvent contribuer à renforcer la sécurité des systèmes de messagerie professionnelle et à réduire les risques d’attaques BEC.

cyberattaque, Entreprise

Les sauvegardes, une source lucrative pour les cybercriminels

Les ransomwares se sont avérés être une source lucrative pour les cybercriminels, avec des sauvegardes souvent insuffisamment protégées pour éviter les dommages ou le versement d’une rançon. De plus, le paiement ne garantit pas toujours une récupération réussie des données.

D’après une enquête menée par Veeam et présentée dans le Ransomware Trends Report, 40% des entreprises mondiales adoptent une politique de non-paiement en cas d’attaque de ransomware. Cependant, plus de 80% finissent par payer la rançon demandée par les pirates informatiques suite à une attaque. L’étude a interrogé environ 1 200 organisations et analysé 3 000 cyberattaques survenues l’année dernière.

L’enquête a révélé des informations précieuses sur la récupération après une attaque de ransomware. Dans 59% des cas, l’entreprise concernée a pu récupérer ses données après avoir payé la rançon. Dans 4% des cas, aucune rançon n’a été exigée. Par ailleurs, 16% des entreprises ont réussi à récupérer leurs données cryptées sans payer de rançon.

Cependant, 21% des organisations qui ont payé une rançon n’ont pas réussi à récupérer leurs données. Selon Veeam, cela inclut des situations où la clé de déchiffrement n’a pas été fournie ou ne fonctionnait pas.

Une attaque paralyse également les applications

Il est important de noter que la récupération des données ou l’empêchement de leur propagation ne résout pas l’intégralité du problème. Souvent, une attaque paralyse également les applications et les services numériques, nécessitant des réparations approfondies et une meilleure mise en place de la sécurité après l’attaque.

Par exemple, après l’attaque par ransomware de décembre dernier, la ville d’Anvers n’a pu restaurer ses principaux services numériques qu’un mois et demi plus tard, et six mois après l’attaque, tout n’était toujours pas rétabli. L’administration communale a admis cette semaine à Data News que de nombreux processus étaient complexes et nécessitaient une révision pour prévenir de futures attaques.

Veeam a également souligné que dans 93% des attaques, les cybercriminels tentent également de compromettre les sauvegardes, rendant la récupération des données plus difficile sans payer de rançon. Dans 75% des cas, les criminels ont réussi à entraver la récupération des données. L’entreprise recommande donc d’utiliser des sauvegardes inaltérables et d’intégrer des ‘air gaps’ (trous d’air) pour séparer la sauvegarde d’Internet et la protéger contre les attaques de ransomware.

Assurance en cybersécurité

L’impact du succès des ransomwares se fait également sentir dans le secteur de l’assurance en cybersécurité. 21% des répondants à l’enquête ont indiqué que leur assurance n’incluait pas le risque de ransomware. Trois quarts des participants ont constaté une augmentation de leur prime d’assurance l’année dernière, 43% ont fait état d’exigences accrues de la part de l’assureur, tandis que 10% ont déclaré être moins couverts qu’auparavant.

Cette tendance souligne l’importance de mettre en place des mesures de sécurité robustes pour protéger les données et les systèmes d’information contre les attaques de ransomware. Les entreprises doivent également se préparer à faire face à des augmentations de primes d’assurance en cybersécurité et à des exigences plus strictes de la part des assureurs, car le risque de cyberattaques continue de croître.

En conclusion, bien que le paiement d’une rançon puisse parfois permettre de récupérer des données, les entreprises doivent prendre conscience que cela ne garantit pas une récupération complète et peut également encourager davantage d’activités criminelles. Par conséquent, des mesures préventives, telles que l’amélioration de la sécurité des sauvegardes et le renforcement de la protection contre les ransomwares, doivent être prioritaires pour les organisations.

cyberattaque, Cybersécurité

Des entreprises tardent à corriger la vulnérabilité GoAnywhere MFT même après les attaques du rançongiciel Cl0p

Des dizaines d’organisations sont toujours exposées à des cyberattaques via une vulnérabilité largement exploitée dans GoAnywhere MFT, un outil Web qui aide les organisations à transférer des fichiers.

Depuis février 2023, les groupes de rançongiciels Cl0p et Blackcat ont cyber attaqués des dizaines de grandes entreprises et gouvernements du monde via une vulnérabilité zero-day GoAnywhere (CVE-2023-0669).

Les gouvernements de Toronto et de Tasmanie ont été touchés par l’incident aux côtés de géants comme Proctor & Gamble, Virgin et Hitachi comme avait pu vous le révéler le blog dédié à l’actualité de la cybersécurité ZATAZ, à l’époque.

Un correctif pour la vulnérabilité avait été publié en février, ce qui n’a pas empêché Cl0p de compromettre plus de 130 organisations.

Il y a quelques jours, une société de cybersécurité a pris son abonnement chez Shodan est a regardé les machines encore connectées. Plus de 2 mois après la divulgation de ce 0Day, 179 hôtes affichaient encore des panneaux d’administration GoAnywhere MFT ! 30% d’entre eux montraient qu’ils n’étaient pas encore mis à jour.

cyberattaque, Cybersécurité

Une nouvelle vague de diffusion du malware Qbot cible les entreprises avec des PDF malveillants

Début avril, découverte d’une nouvelle diffusion massive des logiciels malveillants Qbot. Le pirate cible les entreprises via leurs employés via des PDF Piégés.

Des attaquants malveillants utilisent une méthode inédite pour diffuser Qbot, un cheval de Troie bancaire notoire qui s’attaque aux entreprises en leur volant des données sensibles telles que des mots de passe et des correspondances professionnelles. Les attaquants ont lancé une campagne de spams qui utilise des fichiers PDF piégés comme pièces jointes pour infiltrer les systèmes informatiques de l’entreprise. Des experts en cybersécurité ont détecté plus de 5 000 courriels contenant des pièces jointes indésirables au format PDF dans plusieurs pays depuis le début d’avril.

Les attaquants utilisent des techniques d’ingénierie sociale avancées pour intercepter des échanges professionnels existants et y insérer des fichiers PDF malveillants. Les destinataires des courriels sont incités à ouvrir ces fichiers pour des raisons plausibles, telles que la consultation de la documentation associée ou le calcul des coûts d’un contrat. Une stratégie classique mais qui semble toujours porter ses fruits.

PDF piégé

Le contenu du fichier PDF partagé est une image qui imite une notification de Microsoft Office 365 ou de Microsoft Azure. Si l’utilisateur clique sur « Ouvrir », l’archive malveillante se télécharge sur son ordinateur à partir d’un serveur distant compromis.

Qbot permet aux pirates de contrôler le système infecté à distance et d’installer des ransomwares ou d’autres chevaux de Troie sur d’autres appareils du réseau. Les experts recommandent aux entreprises d’être vigilantes et de vérifier attentivement les signaux d’alerte tels que l’orthographe de l’adresse électronique de l’expéditeur, les pièces jointes suspectes et les erreurs grammaticales.

Qbot est un cheval de Troie bancaire notoire qui évolue dans le cadre d’un réseau de botnets. C’est un trojan capable de collecter des données telles que les mots de passe et les correspondances professionnelles des personnes ciblées. Cette interception permet aux pirates d’écrire des courriels aux contenus plausibles, car existant.

Depuis le début du mois d’avril, les chercheurs de Kaspersky ont observé un pic d’activité provoqué par une campagne de spam utilisant le schéma décrit plus haut, avec des pièces jointes au format PDF. On date le début de cette nouvelle vague à la soirée du 4 avril. Les courriers sont écrits en anglais, en allemand, en italien et en français.

cyberattaque, Cybersécurité

Le Pentagone, la CIA, l’OSINT et les fuites

Le Pentagone est confronté à une fuite de données militaires sensibles, mettant en lumière la rivalité entre le Pentagone, la CIA, les espions et les pirates informatiques pour la collecte d’informations.

Le Pentagone est en train de se préparer à mener des campagnes de propagande sur Internet en utilisant des vidéos deepfake, selon des documents fédéraux de marchés publics. Le Commandement des opérations spéciales des États-Unis, qui est responsable de certaines des opérations militaires les plus secrètes du pays, veut affiner sa propagande offensive en espionnant apparemment son public cible via leurs appareils connectés à Internet. Le document mis à jour sur les marchés publics montre que l’armée américaine veut intensifier ces efforts de tromperie en ligne en utilisant des vidéos deepfake.

Le Pentagone a déjà utilisé des tactiques « d’opérations psychologiques » dans le passé, comme en décembre 2022, lorsqu’un réseau de faux comptes Twitter a été créé pour diffuser de fausses nouvelles douteuses. Bien que l’opération sur Twitter n’ait pas utilisé de deepfake, les entrepreneurs du Pentagone avaient utilisé des avatars créés à l’aide d’apprentissage automatique pour donner aux faux comptes une certaine dose de réalisme.

La fuite de données du Pentagone

Le Pentagone fait face à une fuite de données militaires sensibles qui pose un risque « très grave » pour la sécurité nationale des Etats-Unis. Cette fuite de documents classifiés américains, notamment liés à l’Ukraine et qui semblent authentiques pour la plupart, est considérée comme la plus importante depuis l’affaire Snowden en 2013 indique le New York Times. Les documents contiennent des analyses détaillées sur la guerre en Ukraine, qui donnent une idée de l’étendue de la pénétration américaine des plans militaires russes, mais aussi des interceptions de communications, parfois au détriment de pays alliés des États-Unis comme Israël et la Corée du Sud. Le Service Veille ZATAZ a pu retrouver certains documents sur les forums 4chan (documents ont été détruits depuis, NDR) ou encore sur Telegram.

Un flot régulier de photographies de documents classifiés a été découvert sur des réseaux sociaux, bien que certains aient pu circuler en ligne pendant des semaines avant d’attirer l’attention. Les autorités ont ouvert une enquête pour déterminer l’origine de cette fuite de données.

La CIA, l’OSINT et la concurrence avec le Pentagone

La stratégie nationale de renseignement de 2019 souligne que l’incapacité de suivre rapidement les évolutions technologiques et les normes de l’industrie peut affecter l’avantage concurrentiel des services de renseignements de l’Oncle sam (IC). Cependant, la stratégie ne fournit pas de définition précise de cet avantage concurrentiel. Il s’agit de la capacité de collecter et d’analyser des informations que personne d’autre ne peut obtenir ou traiter. Cette définition est issue de l’Executive Order 12333, qui régit la pratique du renseignement aux États-Unis.

L’EO 12333 énonce l’objectif principal de l’IC, qui consiste à fournir des informations précises et opportunes au président et au Conseil de sécurité nationale pour fonder les décisions concernant la conduite et le développement de la politique étrangère, de défense et économique, et la protection des intérêts nationaux des États-Unis contre les menaces étrangères à la sécurité. Cette collecte doit être conforme à la Constitution et à la loi applicable, respectueuse des principes sur lesquels les États-Unis ont été fondés et poursuivie d’une manière vigoureuse, innovante et responsable.

L’IC a commencé à s’intéresser à l’Open Source Intelligence (OSINT) pour combler une lacune que personne d’autre ne pouvait. Le Foreign Broadcast Information Service (FBIS), créé en 1941, était le moyen le plus rapide, le moins cher et le plus fiable d’obtenir des informations générales et des renseignements concernant un pays particulier. Cependant, au fil des décennies, la demande croissante de l’ensemble du gouvernement et du milieu universitaire, des scandales et des coupes budgétaires, ainsi qu’une portée de mission sinueuse et gonflante ont compliqué la mission de l’IC.

En 2023, le gouvernement américain a perdu le monopole qu’il avait autrefois sur la collecte et la transmission d’informations diffusées librement, rapidement et à moindre coût. Cependant, lorsqu’il s’agit de comprendre les plans et les intentions de l’adversaire, il n’y a pas d’alternative à l’infiltration humaine ou technique que seul l’IC est équipé et autorisé à effectuer. La directrice du renseignement national (DNI) a admis que les États-Unis avaient obtenu des détails extraordinaires sur les plans secrets du Kremlin pour une guerre qu’ils continuaient de nier avoir l’intention.

Un secret est quelque chose de concret qui peut être dérobé par un espion ou discerné par un capteur technique. Un mystère est une énigme abstraite dont personne ne peut être sûr de la réponse

Par conséquent, lorsque l’IC considère l’OSINT en tant que fonction principale, il doit adopter une approche « d’abord, ne pas nuire » à sa mission la plus unique et exclusive, compte tenu des coûts d’opportunité substantiels en jeu. Les décideurs peuvent aspirer à un IC capable de garder une longueur d’avance sur l’adversaire, tout en étant capable de « battre la presse ». Même s’il ne réussit que périodiquement, il vaut mieux poursuivre vigoureusement le premier que de réussir catastrophiquement le second.

Dans la communauté du renseignement américain, l’utilisation des sources ouvertes est vue différemment, mais le navire amiral concernant le renseignement de l’Oncle Sam est la CIA. Au sein de l’agence se trouve le Bureau de la gestion des données ouvertes, qui mise sur un développement massif de cette direction dans des conditions de réalités technologiques et cognitives changeantes.

Récemment, Randy Nixon, un ancien du service analytique de la CIA, a pris la tête de l’OROD, ce qui s’inscrit dans les préférences de l’équipe Biden – promouvoir la direction analytique du renseignement. De plus, Nixon était auparavant responsable du partenariat avec le secteur privé au sein de l’UCCI de la CIA et a dirigé, par exemple, le programme Digital Hammer.

Le Pentagone ne reste pas non plus immobile dans la lutte pour le leadership dans l’OSINT. L’Agence nationale de renseignement géospatial, qui relève du Pentagone, renforce activement les possibilités de renseignement géospatial et d’OSINT.

Cependant, les possibilités d’OSINT sont évaluées à la Maison Blanche et la CIA considère l’utilisation de l’OSINT en tant qu’outil efficace non seulement de collecte et d’analyse d’informations, mais aussi d’influence, y compris politique, comme prioritaire. La concurrence entre la CIA et le Pentagone dans ce domaine prometteur se poursuit, avec des développements massifs de part et d’autre.

Il est à noter que d’ici juin 2028, le Pentagone aura son propre cloud « souverain », le Joint Warfighter. Ce cloud sera conçu pour fournir un accès à des données non classifiées, secrètes et top secrètes au personnel militaire du monde entier. Il devrait servir de colonne vertébrale aux opérations de guerre modernes du Pentagone, qui s’appuieront fortement sur des avions sans pilote et des satellites de communication spatiale, mais auront toujours besoin d’un moyen de transmettre rapidement les renseignements de ces plates-formes aux troupes au sol. Google, Oracle, Microsoft et Amazon se partagent un contrat de 9 milliards de dollars du Pentagone pour construire son réseau de cloud computing.

cyberattaque, Entreprise

CommonMagic et PowerMagic voleurs de données

Des chercheurs ont découvert une nouvelle campagne d’espionnage ciblant les agences gouvernementales et les organisations opérant dans les territoires ukrainiens occupés par la Russie.

Qui sont les pirates cachées derrière des cyber attaques visant les entreprises et les agences gouvernementales basées sur les territoires Ukrainiens occupés par la Russie ? Alliés de l’Ukraine ? Espion Chinois ? « Simple » malveillant à la recherche de données à revendre ? Les pirates ont utilisé des souches de logiciels malveillants jusqu’alors inconnues, appelées CommonMagic et PowerMagic, pour dérober des données sur les appareils de leurs cibles.

La campagne a débuté en septembre 2021. Selon des chercheurs locaux, elle continue encore aujourd’hui et cible principalement les régions de Donetsk, Lougansk et de Crimée. Des régions ukrainiennes annexées par la Russie en 2014. Des agences gouvernementales, ainsi que des organisations agricoles et de transport, ont été visées par des courriels piégés. La première pensée est de ce dire qu’étant donné le conflit militaire dans cette région, il est probable que cela fasse partie d’une cyberguerre. Mais qui ? C’est une autre question.

Rien de sophistiqué, mais efficace

Les logiciels malveillants et les techniques utilisées ne sont pas particulièrement sophistiqués. En octobre, des logiciels malveillants avaient déjà été installés sur les machines des victimes, indiquant que certaines attaques avaient réussi. Les pirates ont distribué des logiciels malveillants via des e-mails d’hameçonnage (phishing) contenant un lien vers une archive .zip hébergée sur un serveur Web. Bref, du grand classique. L’archive contenait un document déguisé en décret officiel du gouvernement Russe et un fichier .lnk malveillant qui, une fois ouvert, exécutait le logiciel pirate et infectait l’ordinateur.

Au début de l’attaque, les pirates ont utilisé une porte dérobée basée sur PowerShell nommée PowerMagic. Toutes les victimes de PowerMagic ont également été infectées par CommonMagic, un logiciel malveillant plus complexe et inédit. Les attaquants ont probablement utilisé la porte dérobée PowerMagic pour installer CommonMagic sur les appareils ciblés. Le groupe derrière cette attaque est inconnu, mais ses objectifs sont clairs : voler des données. Une fois le réseau infiltré, les pirates peuvent extraire des documents et faire une sauvegarde des données affichées à l’écran de l’ordinateur de la victime toutes les trois secondes.

Guerre 3.0

Au cours des dernières années, plusieurs virus informatiques ont ciblé la Russie et l’Ukraine, deux pays souvent associés aux cyberattaques. Ces attaques ont été menées par des groupes de cybercriminels, des gouvernements étrangers et même des groupes terroristes.

Depuis des années, les cyber attaques visant l’Ukraine se sont enchaînées. En 2017, un virus informatique appelé NotPetya a infecté des milliers d’ordinateurs en Ukraine avant de se propager à travers le monde. Bien que NotPetya ait été conçu pour ressembler à un ransomware, il a rapidement été découvert que son véritable objectif était de causer des dommages permanents aux systèmes infectés. Le virus a effacé les disques durs des ordinateurs infectés, causant des dommages considérables aux entreprises touchées. Les dommages causés par NotPetya ont été estimés à plusieurs milliards de dollars, faisant de cette attaque l’une des plus coûteuses de l’histoire.

Toujours en 2017, un virus informatique appelé Bad Rabbit a infecté des milliers d’ordinateurs en Russie et en Ukraine. Le virus a été distribué via des sites web compromis, et il a été conçu pour se propager rapidement à travers les réseaux d’ordinateurs. Bien que le virus ait été conçu pour ressembler à un ransomware, il a été découvert que son véritable objectif était de voler des données sensibles des ordinateurs infectés.

En 2015, un groupe de hackers appelé Sandworm a lancé une attaque contre le réseau électrique ukrainien. Les hackers ont utilisé un virus informatique appelé BlackEnergy pour prendre le contrôle des ordinateurs du réseau électrique, coupant l’électricité dans plusieurs régions du pays. L’attaque a été considérée comme l’une des premières attaques réussies contre une infrastructure critique, et elle a soulevé des inquiétudes quant à la capacité des hackers à perturber les systèmes de contrôle industriels.

En 2014, un groupe de hackers appelé Dragonfly a lancé une série d’attaques contre les sociétés d’énergie en Europe et aux États-Unis. Le groupe a utilisé un virus informatique appelé Energetic Bear pour accéder aux systèmes des sociétés d’énergie, volant des données sensibles et prenant le contrôle de certains systèmes.

2017, un virus informatique appelé Bad Rabbit a infecté des milliers d’ordinateurs en Russie et en Ukraine. Le virus a été distribué via des sites web compromis, et il a été conçu pour se propager rapidement à travers les réseaux d’ordinateurs. Bien que le virus ait été conçu pour ressembler à un ransomware, il a été découvert que son véritable objectif était de voler des données sensibles des ordinateurs infectés.

cyberattaque, Justice, Sécurité

Le développeur de NetWire arrêté

En Croatie, le développeur de NetWire RAT, Mario Žanko, a été arrêté et l’infrastructure du malware a été saisie par les autorités.

Mario Žanko, 40 ans, est un informaticien recherché par le FBI depuis des années. Il faut dire aussi que son logiciel pas comme les autres a permis d’orchestrer des dizaines de milliers de piratages de part le monde. L’outil en question, un cheval de Troie baptisé NetWire RAT (Remote Access Trojan). Des centaines de pirates utilisent cet outil d’espionnage comme vous pourrez le lire plus bas.

L’opération internationale, à laquelle ont participé le FBI et les forces de l’ordre de nombreux pays, dont la Croatie, la Suisse et l’Australie, a conduit à l’arrestation du créateur du malware. Les autorités ont saisi son site web (World Wired Labs) ainsi que du serveur d’hébergement.

Vendu comme outil pour entreprise

En 2012, Netwire était vendu, comme je vous le montre dans ma capture écran datant de cette époque, comme un logiciel d’entreprise, ayant pour mission d’augmenter la productivité de la société acquéreuse. « NetWire fournit une collection intégrée d’utilitaires d’administration au sein d’une interface centralisée pour la gestion à distance des serveurs, postes de travail, ordinateurs de bureau et ordinateurs portables Windows, Linux et Solaris. Une interface intuitive et simple offre un accès simplifié aux versions personnalisées des utilitaires d’administration, dont beaucoup ont été considérablement améliorés pour offrir des performances supérieures, des fonctionnalités supplémentaires et une facilité d’utilisation. » dixit le service marketing de l’époque.

Seulement, l’outil va très vite être détourné. Il va devenir le cheval de Troie le moins cher du marché, et le plus utilisé. Les licences allaient de 10$ à 1200 dollars par mois, les pirates avaient en main un outil particulièrement efficace. Le mandat d’arrêt contre l’auteur du Netwire RAT a été émis le 3 mars 2023.

Quelques jour plus tard, dans le cadre d’une opération internationale coordonnée, le développeur a été arrêté en Croatie. Le FBI a confisqué le nom de domaine, la police suisse a saisi le serveur hébergeant le site.

La presse Croate a révélé que son auteur, Mario Žanko (40 ans), originaire de Sinja, passera les prochains jours en garde à vue à Remiteče, afin de ne pas influencer les potentiels témoins. Les enquêteurs ont trouvé plus de 650 000 dollars américains, et 268 615 euros sur des comptes bancaires.

L’enquête a débuté à l’automne 2020. Le FBI a acheté une licence NetWire et tiré les ficelles durant trois mois pour remonter à l’auteur. Pas bien compliqué, son adresse Gmail était accessible depuis 2012.

Des pirates Nigérians adeptes de Netwire

Cela peut paraître drôle et moins pathétique que ce à quoi nous sommes habitués. Mais des pirates nigérians ont été actifs dans des attaques visant des entreprises de transport en Amérique du Nord, en Europe et au Moyen-Orient. Les détails concernant les attaquants ont été révélés par les chercheurs de Proofpoint, qui ont étudié en profondeur les formes et les méthodes du groupe TA2541 pendant plusieurs années. Selon les experts, les pirates ciblent exclusivement les industries de l’aérospatiale, de l’aviation, de la défense, de la fabrication et du transport. Le groupe est actif depuis au moins 2017 et a utilisé des sujets liés à l’aviation, aux transports et aux voyages pour infecter des cibles avec divers chevaux de Troie d’accès à distance (RAT), dont Netwire.

Toujours la même méthode : des courriels de phishing contenant des pièces jointes Word activées par macro pour déployer des charges utiles malveillantes. Ils ont une tactique et s’y tiennent, et apparemment cela fonctionne puisque le groupe se comporte de la même manière depuis 5 ans.

Toutefois, dans les attaques récentes, le groupe a commencé à utiliser fréquemment des liens vers des services nuagiques (cloud), notamment Google Drive, OneDrive, GitHub, Pastetext et Sharetext. Les URL de Google Drive récemment découvertes ont conduit à un fichier VBS malveillant conçu pour recevoir des charges utiles provenant d’autres plateformes. Les attaques utilisent également des scripts PowerShell et Windows Management Instrumentation (WMI) pour interroger les produits de sécurité que l’attaquant tente de désactiver. TA2541 recueille également des informations sur le système avant d’installer des RAT et envoie généralement plus de 10 000 messages à la fois pendant l’attaque.

Les experts estiment que le groupe n’est pas très compétent, car il utilise des familles de logiciels malveillants populaires de 2017 accessibles au public. Mais récemment, les attaquants ont privilégié AsyncRAT, NetWire, Parallax et WSH RAT aux côtés de Revenge RAT, vjw0rm, Luminosity Link, njRAT.

L’objectif ultime des attaquants reste inconnu à l’heure actuelle.

cyberattaque, Cybersécurité

Medusa ransomware, le groupe de pirates aux dents longues

Le jeune groupe de hackers Medusa, spécialise de la prise d’otage d’entreprise, montre un appétit et des cibles de hauts niveaux !

Voilà qui est inquiétant, et étonnant. Le jeune groupe de pirates informatiques du nom de Medusa est apparu « publiquement » début janvier 2023.

Ce groupe de malveillants affiche déjà plus de 25 entreprises victimes, menacées et/ou dont les informations internes, sensibles ont été diffusées dans le darkweb et sur des messageries sécurisées.

Parmi les victimes, L’Institut des Technologie de l’Espace du Pakistan, l’Autorité des aéroports du Kenya, la Banque d’Afrique, l’entreprise indonésienne PetroChina, le Casino Eureka de Las Vegas, ou encore, Tonga Communication et, ce 7 mars, l’école publique de Minneapolis.

Les demandes de rançons peuvent dépasser plusieurs centaines de milliers de dollars. Ils diffusent les informations exfiltrées en cas de non paiement aprés un compte à rebours pouvant atteindre une dizaine de jours.

Pour la casino de Las Vegas, par exemple, plus de 12 ans de données internes, dont l’analyse des joueurs !

Les pirates informatiques de Medusa filment leurs infiltrations et les diffusent sur le web.

Chiffrement, cyberattaque

Ransomware : 4 entreprises sur 10 ne récupèrent pas toutes leurs données

Plus de 4 entreprises sur 10 ne récupèrent pas toutes leurs données après le versement d’une rançon. Plus d’un tiers des entreprises ayant payé une rançon ont été visées une seconde fois par des cybercriminels.

En complément de son Rapport 2022 sur la gestion des cyber risques, Hiscox, assureur spécialiste de la protection cyber pour les petites et moyennes entreprises, a dévoilé un nouveau focus dédié aux ransomwares. Pour rappel, le business des assurances cyber s’est vue renforcée, en décembre, avec la possibilité pour les entreprises impactées par un ransomware (ou une cyber attaque) d’être remboursée par leur assureur. L’assureur Hiscox met en évidence les limites du paiement des rançons par les entreprises : 59% des entreprises ayant payé une rançon à des cybercriminels n’ont pas réussi à récupérer toutes leurs données.

Les statistiques montrent que le paiement des rançons ne résout pas tous les problèmes. Il n’est, par exemple, souvent pas possible de restaurer pleinement son système informatique ou d’éviter une fuite des données. Le rapport montre qu’il est plus efficace d’investir dans la mise en œuvre d’une cyber défense solide – en maintenant les logiciels à jours, en organisant des formations internes régulières, en sauvegardant fréquemment ses données – ainsi que dans la préparation d’une réponse appropriée en cas d’attaque, plutôt que de payer systématiquement les cybercriminels.

Un chiffre est particulièrement éloquent : plus d’un quart (26%) des entreprises qui ont payé une rançon dans l’espoir de récupérer leurs données l’ont fait parce qu’elles n’avaient pas de sauvegardes.

Outre la perte de données, une part significative des entreprises ayant payé les rançons a été confrontée à d’autres problèmes :
43 % ont dû reconstruire leurs systèmes, alors même qu’elles avaient reçu la clé de déchiffrement
36 % ont subi une autre attaque par la suite
29 % ont vu leurs données divulguées
Dans 19 % des cas, le pirate a ensuite exigé plus d’argent
Dans 15 % des cas, la clé de déchiffrement n’a pas fonctionné
Plus d’un quart (26 %) a estimé que l’attaque avait eu un impact financier important, menaçant la solvabilité et la viabilité de leur entreprise.

cyberattaque, Cybersécurité

Défendre la liberté numérique en temps de cyberguerre

Au vu du contexte en Ukraine et de l’invasion Russe, nous sommes témoins en temps réel d’une cyberguerre totale qui se déroule sous nos yeux. Aujourd’hui en Europe, la cybersécurité et la liberté numérique sont, au sens propre, des questions de vie ou de mort… le champion des echecs Garry Kasparov donne son avis !

On me demande souvent, depuis l’invasion lancée par Poutine en Ukraine, comment j’avais compris qu’il allait lancer une guerre. La réponse est simple : je ne suis pas devin, je ne tire pas les cartes mais j’écoute attentivement ce que dit Poutine. Les dictateurs peuvent affabuler et mentir à leur guise sur le passé, mais ils sont plutôt honnêtes quand il est question de leurs plans d’avenir. Il y a quelques années durant un dîner chez l’auteur de l’article « Pourquoi j’aurais dû écouter Garry Kasparov quand il parlait de Poutine », j’avais expliqué que Poutine n’abandonnerait pas ses projets pour l’Ukraine, à moins qu’il ne soit arrêté avant. D’ailleurs, lorsque Poutine a nié l’existence de l’Ukraine en tant que pays, j’ai aussitôt tiré la sonnette d’alarme. Il s’agissait là clairement d’un appel à la guerre.

Pourquoi la Russie perd la cyberguerre

Nous savons que le Kremlin a lancé des dizaines de cyberattaques contre des cibles ukrainiennes depuis le début de cette nouvelle invasion, le 24 février. Mais malgré tous les plans et toutes les stratégies de Poutine, la Russie perd la cyberguerre en Ukraine. Pourquoi ?

L’une des raisons de cet échec est la force du peuple ukrainien : tout comme l’armée ukrainienne a gagné la bataille de Kiev et continue à lutter contre l’armée de conscrits de Poutine en rendant coup pour coup, les spécialistes ukrainiens en cybersécurité défendent le pays des attaques du Kremlin.

Cet échec russe s’explique également par le fait que les systèmes russes et ukrainiens étaient si imbriqués que chaque attaque contre l’Ukraine pouvait se retourner contre la Russie. Un détail que ZATAZ avait indiqué, en premier, dés le mois de février 2022, démontrant la faiblesse des russes sur les réseaux sociaux.

Enfin, cette guerre nous a montré la grande vulnérabilité des systèmes russes. Des individus ou des groupes tels que les Anonymous n’ont eu aucune difficulté à pirater des sites du gouvernement russe.

Nous pouvons en tirer une leçon importante : la guerre en Ukraine nous a montré que les forces de la démocratie sont plus fortes, plus perfectionnées et plus avancées que les forces de l’autoritarisme. Nous devons, à juste titre, nous inquiéter de ce mal, mais nous ne devons pas en avoir peur.

La guerre et la cyberguerre peuvent nous sembler abstraites, mais elles nous aident à nous rappeler l’importance de la cybersécurité dans notre vie quotidienne. En effet, nous avons tous fait l’expérience de cybermenaces. Vous avez déjà reçu un spam, vu de fausses informations débitées dans des commentaires Facebook ou Twitter par des bots ou aidé une personne âgée à éviter les pièges d’une tentative de phishing ? Alors, vous savez que la cybercriminalité ne cesse d’augmenter. Nos vies se passent de plus en plus en ligne. Les outils de l’autoritarisme et de l’exploitation sont de plus en plus perfectionnés. Nous avons donc besoin de technologies qui évoluent sans cesse pour protéger la démocratie et notre confidentialité en ligne. La meilleure défense contre les cyberattaques, c’est un bon moyen de dissuasion.

La liberté numérique diffère d’une nation à l’autre

La révolution numérique a vécu une accélération sans précèdent. La pandémie de COVID-19 nous a tous forcé, ainsi que les gouvernements et les pays, à nous adapter à une vie virtuelle et hybride. Dans la plupart des pays démocratiques, cette transition numérique a exposé les utilisateurs à plus d’escroqueries en ligne et à un risque plus grand de piratage. Mais dans des endroits où est encore en place le rideau de fer de l’autoritarisme, comme la Russie de Poutine ou le Myanmar de la junte militaire, la pandémie a offert l’occasion au totalitarisme de réprimer davantage les citoyens et de limiter encore leur liberté numérique.

Ces citoyens du monde entier, privés d’un accès libre à Internet, doivent trouver des moyens créatifs, peu fiables et risqués pour contourner les pares-feux et la censure de leurs gouvernements. Cependant, ce dont nous sommes témoins aujourd’hui en Russie est du jamais vu. La coupure d’Internet en Russie par Poutine est un exemple historique d’une nation entière qui disparait du réseau Internet mondial. Les utilisateurs en Russie seront donc plus vulnérables aux malwares que jamais auparavant. Cependant, il nous reste encore à découvrir toutes les conséquences que ce changement cataclysmique aura sur Internet.

backdoor, cyberattaque

Black Basta aurait des liens avec les pirates de FIN7

Des recherches sur le ransomware Black Basta démontreraient des preuves reliant le groupe de rançongiciels aux pirates informatiques FIN7, un groupe de hackers malveillants connu sous le nom de Carbanak.

Le ransomware Black Basta, apparu en avril 2022, a attaqué plus de 90 entreprises et organisations en septembre 2022. La rapidité et le volume des attaques prouvent que les acteurs à l’origine de Black Basta sont bien organisés et disposent de ressources importantes.

Pourtant, rien n’indique que ce ransomware ait tenté de recruter des affiliés ou de faire sa promotion en tant que RaaS sur les forums habituels du darknet. Cette posture a donné lieu à de nombreuses spéculations sur son origine, son identité et son fonctionnement.

Les chercheurs de la société SentinelLabs auraient remarqué des chevauchements entre des cas apparemment différents – estime qu’il est très probable que ce ransomware ait des liens avec FIN7. Plus précisément il semblerait que le développeur de ces outils d’évasion EDR est, ou ait été, un développeur de FIN7.

Les personnes à l’origine de Black Basta développent et maintiennent leur propre boîte à outils et excluent les affiliés ou ne collaborent qu’avec un ensemble limité d’affiliés de confiance, de la même manière que d’autres groupes de ransomware « privés » tels qu’avaient pu le faire Conti ou encore Evilcorp.

Ce qui n’a pas empêché ces deux entités malveillantes de disparaitre. Pour rappel, des membres du groupe CONTI feront cession aprés l’invasion Russe en Ukraine.

Parmi les outils « maison », WindefCheck.exe. Ecrit avec Visual Basic, la fonctionnalité principale repérée est d’afficher une fausse interface graphique de sécurité Windows et une icône de barre d’état système avec un état système « sain », même si Windows Defender et d’autres fonctionnalités du système sont désactivés.

Bilan, l’image permet de leurrer les utilisateurs de la machine infiltrée. Ces derniers ne voyant aucune alerte de sécurité concernant leur ordinateur.

cyberattaque, DDoS

Les attaques DDoS restent l’un des principaux types d’incidents identifiés en 2022

Selon le dernier Data Breach Investigations Report (DBIR) publié par Verizon, en 2022 les attaques DDoS restent l’un des principaux types d’incidents identifiés avec les attaques par botnets. Mirai, Emotet, LemonDuck sont autant de noms qui, hors contexte, pourraient faire sourire, mais qui, dans le monde de la cybersécurité, donnent du fil à retordre aux équipes informatiques des organisations du monde entier, et ce avec des méthodes d’attaques somme toute très simples.

Les cybercriminels se sont non seulement banalisés – aujourd’hui n’importe qui peut s’improviser hacker, grâce aux outils disponibles sur le darkweb – mais ils ont également amélioré leurs méthodes d’attaque, pour la plupart établies de longue date, en y apportant de nouvelles modifications et stratégies. C’est le cas des botnets, qui existent depuis les années 1980.

En effet, un rapide historique de ces réseaux de bots informatiques – des programmes connectés à internet qui communiquent avec d’autres programmes similaires pour l’exécution de certaines tâches –, met en évidence la manière dont, en l’espace de 20 ans, les pirates ont modifié leur façon de les utiliser.

Les premiers du genre ont été déployés sur des ordinateurs de type serveur. Par la suite, les attaquants ont commencé à créer des botnets capables de mener des attaques par déni de service distribué (DDoS) en compromettant des ordinateurs personnels (PC) ; ils continuent d’ailleurs aujourd’hui à les utiliser afin de créer des botnets et lancer des attaques DDoS.

« À l’heure actuelle, les botnets de l’internet des objets (IoT) sont monnaie courante, les cybercriminels lançant généralement des attaques DDoS par l’intermédiaire de dispositifs IoT, via une infrastructure commune de commande et de contrôle (C2). Ces botnets ont vu leur popularité monter en flèche après la fuite du code source du botnet IoT Mirai en 2016. » confirme Philippe Alcoy, de chez NETSCOUT.

La stratégie malveillante évolue

Cependant, les acteurs malveillants ont à nouveau modifié leur stratégie en augmentant la taille des botnets IoT et en intégrant des serveurs puissants dans des botnets plus importants. Les serveurs sont utilisés pour lancer des attaques DDoS ciblées contre des actifs de grande valeur. Toutefois, il est intéressant de remarquer que les attaquants font évoluer leur stratégie pour créer de puissants botnets Mirai.

De nouveaux botnets Mirai de type serveur sont désormais créés et utilisés pour lancer des attaques DDoS directes à fort impact. Ainsi, malgré un coût beaucoup plus élevé pour une organisation malveillante, les cybercriminels privilégieront une attaque DDoS directe par botnet, pour s’assurer de dommages de très grande envergure, comme l’ont démontrés deux des attaques de plus de 2,5 Tbps détectées au deuxième semestre 2021.

Si ce type d’attaque est coûteux, il est accessible à toute personne ayant les moyens de le provoquer, ce qui en fait un outil redoutable. Explication en vidéo.

Si différentes tendances fluctuent à travers le monde, les attaques DDoS par botnet ne doivent surtout pas être minimisées. Elles constituent bel et bien une menace de taille pour les entités gouvernementales, les établissements de santé et les entreprises, et ce sans distinction. De plus, si on remarque une sophistication des techniques d’attaque, il est intéressant de noter que les profils des acteurs malveillants sont variés et parfois loin de la professionnalisation ; d’où la nécessité d’anticiper tout type de menace afin de mieux s’en prémunir.

cyberattaque, Social engineering, Téléphonie

Une nouvelle version d’un logiciel espion visant les citoyens iraniens, Furball, caché dans une application de traduction

Une nouvelle version du malware Android FurBall utilisée dans une campagne « Domestic Kitten » impacte les citoyens iraniens. Et cela dure depuis 2016 !

Des chercheurs ont récemment identifié une nouvelle version du malware Android FurBall. Cette version est utilisée dans une campagne nommée Domestic Kitten. Le groupe de pirates APT-C-50 opère des actions de surveillance visant des smartphones de citoyens iraniens. Depuis juin 2021, le malware est diffusé sous couvert d’une application de traduction par l’intermédiaire d’une copie d’un site web iranien fournissant des articles, des revues et des livres traduits. La campagne Domestic Kitten remonte au moins à 2016 et est toujours active.

Cette version de FurBall possède les mêmes fonctionnalités de surveillance que les versions précédentes. Comme la fonctionnalité de cette variante n’a pas changé, l’objectif principal de cette mise à jour semble être d’échapper aux logiciels de sécurité. Ces modifications n’ont cependant eu aucun effet sur les solutions ESET, qui ont détecté cette menace sous le nom de Android/Spy.Agent.BWS. FurBall,. Ce malware Android utilisé depuis le début de ces campagnes, a été créé à partir du stalkerware commercial KidLogger.

L’échantillon analysé par l’éditeur d’antivirus ESET ne demande qu’une seule permission intrusive ; celle d’accéder aux contacts. La raison pourrait être son objectif d’éviter d’être détecté, mais d’un autre côté, nous pensons également qu’il pourrait s’agir de la phase préliminaire d’une attaque d’hameçonnage ciblé menée par SMS. Si l’auteur de la menace élargit les autorisations de l’application, il pourrait être également possible d’exfiltrer d’autres types de données à partir des téléphones concernés, comme les SMS, la géolocalisation de l’appareil, les appels téléphoniques et bien plus encore.

Cette application Android malveillante est diffusée via un faux site web imitant un site légitime qui propose des articles et des livres traduits de l’anglais au persan (download maghaleh). D’après les coordonnées du site web légitime, ce service est proposé depuis l’Iran, ce qui nous amène à penser avec quasi-certitude que le faux site web cible des citoyens iraniens. « Le but est de proposer une application Android à télécharger après avoir cliqué sur un bouton qui indique en persan « Télécharger l’application ». Le bouton porte le logo Google Play, mais cette application n’est pas disponible dans Google Play Store. Elle est téléchargée directement depuis le serveur de l’attaquant « déclare Luká tefanko, chercheur chez ESET.

APT, backdoor, cyberattaque

Cyber attaque : campagne de cyber-espionnage du groupe POLONIUM contre des cibles basées en Israël

Des pirates s’intéressant uniquement à des cibles israéliennes, POLONIUM, ont attaqué plus d’une douzaine d’organisations dans différents secteurs, tels que l’ingénierie, les technologies de l’information, le droit ou encore les communications, le marketing et le branding, les médias, les assurances et les services sociaux.

POLONIUM a ciblé plus d’une douzaine d’organisations en Israël depuis au moins septembre 2021, et les actions les plus récentes du groupe ont même été observées en septembre 2022. Les secteurs ciblés par ce groupe comprennent l’ingénierie, les technologies de l’information, le droit, les communications, le marketing et le branding, les médias, les assurances et les services sociaux.

POLONIUM est un groupe de cyber espionnage décrit par Microsoft pour la première fois en juin 2022. Selon Microsoft, le groupe est basé au Liban et coordonne ses activités avec d’autres acteurs affiliés au ministère iranien du Renseignement et de la Sécurité.

Selon ESET Research, POLONIUM est un acteur très actif qui dispose d’un vaste arsenal de malwares, et qui les modifie et en développe constamment de nouveaux. L’utilisation de services dans le Cloud tels que Dropbox, Mega et OneDrive pour les communications de commande et de contrôle (C&C) est une caractéristique commune à plusieurs des outils du groupe. Les renseignements et les signalements publics sur POLONIUM sont très rares et limités, probablement parce que les attaques du groupe sont très ciblées et que le vecteur d’infection initial n’est pas connu.

« Les nombreuses versions et modifications que POLONIUM a introduites dans ses outils personnalisés démontrent un effort continu visant le long terme pour espionner les cibles du groupe. ESET en déduit que ce groupe de pirates est intéressé par la collecte de données confidentielles auprès de ses cibles, et ne semble pas s’engager dans des actions de sabotage ou de ransomwares, » explique Matías Porolli, chercheur chez ESET qui a analysé la campagne.

La boîte à outils de POLONIUM se compose de sept portes dérobées personnalisées : CreepyDrive, qui détourne les services de OneDrive et Dropbox dans le Cloud pour les communications de C&C ; CreepySnail, qui exécute les commandes reçues depuis l’infrastructure des attaquants ; DeepCreep et MegaCreep, qui utilisent respectivement les services de stockage de fichiers Dropbox et Mega; et FlipCreep, TechnoCreep et PapaCreep, qui reçoivent des commandes depuis les serveurs des attaquants. Le groupe a également développé plusieurs modules personnalisés pour espionner ses cibles en prenant des captures d’écran, en enregistrant les frappes au clavier, en espionnant via la webcam, en ouvrant des shells inversés, en exfiltrant des fichiers, etc.

« La plupart des modules malveillants du groupe sont concis, avec des fonctionnalités limitées. Dans un cas, les attaquants ont utilisé un module pour effectuer des captures d’écran et dans un autre pour les transmettre au serveur de C&C. Dans le même ordre d’idée, ils aiment diviser le code de leurs portes dérobées, en répartissant la fonctionnalité malveillante dans plusieurs petites DLL. Espérant peut-être que les défenseurs ou les chercheurs n’observeront pas la chaîne d’attaque complète », termine Matias Porolli.

cyberattaque, santé

Les cyberattaques entraîneraient une augmentation des décès dans les hôpitaux

Les cyberattaques contre les établissements médicaux entraîneraient, selon des chercheurs, une probabilité d’augmentation du taux de mortalité des patients.

L’étude, menée par le Ponemon Institute, un groupe de réflexion à Washington, a interrogé plus de 600 professionnels des technologies de l’information de plus de 100 établissements de santé. Les résultats de l’étude fournissent la preuve la plus concrète à ce jour que le piratage persistant des centres médicaux américains entraîne une détérioration de la qualité des soins aux patients et une augmentation de la probabilité de leur décès.

Les deux tiers des personnes interrogées qui ont subi des attaques de rançongiciels ont déclaré que ces attaques perturbaient les soins aux patients. 59 % des personnes interrogées ont signalé une augmentation de la durée de séjour des patients à l’hôpital, ce qui a entraîné une surcharge des ressources. Près d’un quart ont déclaré que les attaques avaient entraîné une augmentation du nombre de décès dans leurs établissements.

Lors d’une attaque par rançongiciel, les pirates accèdent aux réseaux informatiques d’une organisation, les bloquent et exigent un paiement. Ces dernières années, ces piratages sont devenus un véritable désastre pour le secteur de la santé. Les hôpitaux ne signalent pas toujours les cas dont ils ont été victimes. Cependant, depuis 2018, le nombre d’attaques documentées a augmenté chaque année depuis 2018, atteignant 297 l’année dernière, selon une étude de Recorded Future.

Au cours des trois dernières années, plus de la moitié des organisations de soins de santé de l’enquête ont été infectées par des logiciels malveillants au cours des trois dernières années, selon une étude de Ponemon.

Les établissements de soins de santé vont des chaînes d’hôpitaux géants aux petites cliniques privées avec seulement quelques employés et peu ou pas de professionnels de l’informatique ou de la cybersécurité. Les dernières cyberattaques de Centres hospitaliers, en France, ont remis sur la table cette problématique sécuritaire.

Les grands réseaux hospitaliers peuvent avoir des spécialistes de la sécurité de l’information plus qualifiés, mais ces hôpitaux sont également des cibles plus importantes. Une attaque peut ralentir les soins aux patients dans des centaines d’hôpitaux à travers le pays, comme cela s’est produit lors de l’attaque de 2020 contre les services de santé universels.

« Mais il est clair depuis longtemps que les cyberattaques persistantes contre les hôpitaux font des ravages sur les patients »  indique Korman, vice-président de la société de cybersécurité Claroty.

« Nous savons que les retards d’assistance affectent le taux de mortalité, et nous savons que les cyberattaques causent des retards« , a déclaré le le Ponemon Institute.

cyberattaque, Social engineering

Le phishing, au plus haut depuis 2020

Les attaques par hameçonnage vocal hybride (téléphone et email) ont progressé de 625 % depuis le premier trimestre 2021. Plus de 58% des attaques de phishing destinées à dérober des identifiants visaient Office 365.

Les attaques basées sur la réponse ciblant les boîtes emails des entreprises viennent d’atteindre un niveau record depuis 2020, représentant à elles seules 41 % de la totalité des escroqueries par e-mail ciblant les salariés ayant eu lieu au cours du deuxième trimestre de cette année. Tel est le principal enseignement du dernier rapport trimestriel de la société HelpSystems. Entre avril à juin 2022 des centaines de milliers d’attaques par phishing et sur les réseaux sociaux visant les entreprises et leurs collaborateurs ont été repérées.

Les fraudes 419 toujours très présentes

La fraude 419 (scam 419 / arnaque nigériane) consiste en une attaque d’ingénierie sociale reposant sur la réponse des victimes à travers un canal de communication choisi. Phishing, vishing/smishing (ciblage par appel vocal ou SMS) et la fraude 419 ou “arnaque nigériane”. L’arnaque à l’amour, la plus connue, ou autres fausses ventes et propositions commerciales piégées.

Les escroqueries par fraude 419 ont représenté 54 % de toutes les menaces par e-mail basées sur la réponse au deuxième trimestre enregistrant une hausse de 3,4 % en part des signalements jusqu’à présent en 2022, et constituant régulièrement la majorité de ces attaques. La compromission des e-mails professionnels (BEC), qui permet aux acteurs de la menace de se faire passer pour une source de confiance, comme un salarié de l’entreprise ou un sous-traitant, s’est également intensifiée au cours de cette période, contribuant à 16 % du volume global des attaques. Si la part des attaques parmi les autres menaces de la catégorie « Response-Based » a baissé par rapport au premier trimestre, les attaques par vishing hybride (hameçonnage vocal amorcé par e-mail) ont pour leur part également progressé, atteignant un niveau record sur six trimestres, soit un bond de 625 % en volume par rapport à Q1 2021.

« Les attaques basées sur la réponse représentent toujours une part significative du volume de phishing, ce qui montre que les techniques d’ingénierie sociale continuent de se révéler efficaces pour les criminels », commente John Wilson, chercheur principal de l’unité Recherche sur les menaces de HelpSystems. « Nous constatons d’ailleurs que ces derniers continuent à perfectionner les leurres 419, de vishing et de BEC ; ils ne se réinventent pas, mais s’appuient majoritairement sur les nouvelles variantes des menaces d’ingénierie sociale ayant fait leurs preuves par le passé. »

Le site ZATAZ révélait, fin septembre, plusieurs fraudes aux paiements de loyer ou encore à la feuille d’imposition utilisant cette technique.

Autres enseignements clés de ce rapport

Le phishing ne cesse de progresser avec des attaques en croissance de 6 % par rapport au premier trimestre 2022. Au deuxième trimestre, les attaques sur les réseaux sociaux ont augmenté de 20 % par rapport au premier trimestre, avec une moyenne de près de 95 attaques par entreprise et par mois. Avec un bond de plus de 100 % des attaques au cours des 12 derniers mois, les plateformes sociales représentant les outils les plus accessibles pour escroquer le plus grand nombre de victimes.

Au deuxième trimestre, le cheval de Troie Emotet a officiellement regagné son statut de principale charge utile après avoir progressé de 30 % pour représenter près de la moitié de toutes les attaques par malware. Le nouveau venu, Bumblebee, s’établit à la troisième place, et serait potentiellement lié aux anciens payloads très prisés que sont Trickbot et BazaLoader.

Les attaques par vol d’informations d’identification visant les comptes Office 365 ont atteint un niveau record sur six trimestres en termes de part et de volume au cours de la période analysée. Plus de 58% de tous les liens de phishing destinés à dérober des identifiants visaient ceux liés à Office 365 (+ 17,7 % sur l’année).

cyberattaque, Cybersécurité, Téléphonie

190 applications totalisant plus de 4,8 millions de téléchargements piégées

Des découvrent que plus de 190 applications totalisant plus de 4,8 millions de téléchargements ont distribué le cheval de Troie Harly, alors que ces dernières étaient disponibles dans les magasins d’applications officiels. Ces applications en apparence légitimes ont permis à des cybercriminels d’inscrire des utilisateurs peu méfiants à des services payants sans leur consentement.

Des chercheurs scrutent en permanence le paysage des menaces mobiles afin de tenir les utilisateurs informés des tendances les plus significatives. Ils ont récemment découvert une campagne malveillante œuvrant via le Google Play Store, comptabilisant au total plus de 4,8 millions de téléchargements d’applications infectées. Au cours des deux dernières années, les cyberpirates ont imité plus de 190 applications légitimes, aussi bien des lampes de poche que des mini-jeux, pour distribuer le cheval de Troie Harly et abonner les utilisateurs affectés à des services payants sans leur consentement.

Dès que l’utilisateur lance l’application malveillante, le cheval de Troie peut entamer sa collecte d’informations sur son appareil et son réseau mobile. Le téléphone de l’utilisateur bascule vers un autre réseau mobile, puis le cheval de Troie demande au serveur C&C de configurer la liste des abonnements auxquels il faut s’inscrire. Le trojan ouvre alors le lien de l’abonnement dans une fenêtre invisible, saisit le numéro de téléphone de l’utilisateur identifié plus tôt, appuie sur les boutons requis et saisit le code de confirmation provenant d’un SMS. Résultat : l’utilisateur souscrit à des abonnements payants sans s’en rendre compte.

Autre caractéristique notable de Harly, il peut confirmer des abonnements même lorsqu’ils requièrent une vérification par appel téléphonique. Dans ce cas de figure, le cheval de Troie peut émettre un appel via un numéro spécifique et confirmer l’abonnement.

Même si les magasins officiels sont surveillés de près, les modérateurs ne peuvent pas toujours intercepter les applications indésirables avant qu’elles ne soient publiées. Il est d’autant plus difficile de reconnaître que ces applications représentent une menace potentielle car elles font effectivement ce qui est proposé dans leur description. Les avis des utilisateurs peuvent aider, mais ils peuvent aussi être exagérés et pas toujours fiables. C’est pourquoi nous recommandons vivement aux utilisateurs d’installer une solution de sécurité vérifiée qui empêchera le téléchargement de programmes dangereux« , commente Tatyana Shishkova, experte en sécurité chez Kaspersky.

cyberattaque, Cybersécurité

Cybersécurité dans le retail : comment se défendre ?

Tous les acteurs du retail sont aujourd’hui concernés par les cyberattaques. Qu’ils soient géants du e-commerce ou du commerce de proximité, ces acteurs détiennent une multitude de données sensibles, des noms et adresses aux habitudes de consommation, en passant par les numéros de cartes bancaires et autres informations personnelles identifiables – une mine d’or pour les cybercriminels. Mais, la bonne nouvelle, c’est qu’il existe des mesures pour renforcer leur sécurité.

Utiliser les nouvelles technologies

L’une des principales raisons pour lesquelles le secteur du retail est maintenant une cible privilégiée est la simplicité et la vulnérabilité de son infrastructure. Les systèmes de vente sont souvent créés en utilisant une combinaison de différentes technologies, certains dormants et d’autres en évolution perpétuelle. En général, cela signifie qu’ils utilisent à la fois une infrastructure existante et de nouvelles innovations numériques ou basées sur le cloud.

Le développement des technologies est en grande partie motivé par le désir et le besoin de fournir des expériences omnicanales aux consommateurs. Pour rester compétitifs, les détaillants doivent offrir une certaine flexibilité à leurs clients, impliquant ainsi de proposer différents moyens de paiement. Par conséquent, ils sont souvent réticents à l’idée de mettre à jour les systèmes. Après tout, aujourd’hui plus que jamais, chaque transaction compte, et les détaillants ne veulent pas être confrontés à des systèmes complexes ou à des obstacles qui pourraient empêcher ou ralentir les ventes.

Cependant, les commerçants ont tendance à vouloir améliorer leurs offres numériques et à entrer dans l’ère de l’e-commerce. La pandémie a certainement joué un rôle dans cette évolution, car de nombreux acteurs ont été contraints d’adopter des méthodes numériques pour poursuivre leurs activités. Mais si ces systèmes, anciens et nouveaux, répondent aux objectifs d’efficacité et d’évolutivité, ils présentent également de multiples failles potentiellement exploitables par les cybercriminels.

Retail : un champ d’activité d’envergure pour les cybercriminels

À quelle fréquence les cyberattaques affectent-elles réellement ce secteur ? Des études récentes font état d’une augmentation de la cybercriminalité, d’autant plus que de nombreux détaillants ont accéléré leur transformation numérique. En fait, les données montrent que 65% des entreprises ont signalé une hausse des cyberattaques depuis la pandémie. Ces attaques sont coûteuses autant d’un point de vue financier que de celui de la réputation.

Il existe également plusieurs autres raisons expliquant l’exposition de ce secteur aux attaques. Le turn-over y est traditionnellement plus élevé, mettant en exergue qu’en l’absence d’une gestion appropriée, le taux d’accès aux systèmes par des comptes privilégiés est également élevé.

La solution est simple : simplifier et renforcer la sécurité

Au vu des risques pris en matière de sécurité informatique il semble pertinent de mettre en place une plateforme de gestion des accès ou gestion des accès à privilège (PAM). En un mot, cela consiste à s’assurer que chaque brique a accès aux informations nécessaires pour effectuer ses tâches et non à l’intégralité des données de l’entreprise. Ceci dans l’objectif de protéger et de gérer au mieux la confidentialité.

De nombreux risques de cybersécurité inhérents au secteur sont liés à l’accès privilégié, et la mise en place d’un tel système permet d’ajouter rapidement et facilement une couche supplémentaire de protection. Ainsi, les attaques sont arrêtées avant qu’elles ne puissent causer des dommages ou se propager à l’ensemble de l’entreprise. En effet, le système PAM n’accorde jamais à ces utilisateurs un accès privilégié à toutes les parties du système.

Une solution PAM robuste sécurise également les composants machine-à-machine (M2M) au sein d’un système. Ainsi, même si un pirate prend d’une manière ou d’une autre le contrôle d’un appareil IoT dans un entrepôt automatisé, la solution PAM bloque l’accès à cet appareil. Par conséquent, le pirate ne peut pas l’utiliser comme point d’entrée. De plus, une solution PAM complète est capable de surveiller en temps réel toute l’activité des différentes sessions, et mettre automatiquement fin aux usages suspects ou simplement alerter l’administrateur.

Non seulement ce type de technologie renforce considérablement la sécurité, mais il permet à l’entreprise de rester en conformité. Le secteur du commerce est soumis à une grande variété de réglementations auxquelles les entreprises doivent se conformer (par exemple, PCI DSS, RGPD, NIST et SOX). En plus de la surveillance, le PAM enregistre également chaque session et la rend consultable, et accessible pour un audit potentiel. En outre, ces sessions enregistrées sont également utiles pour les audits de sécurité, ainsi que pour la formation des membres de l’équipe de sécurité.

La cybersécurité dans le secteur du commerce ne doit pas être compliquée mais intuitive, et les professionnels doivent faire des compromis entre les nouvelles et les anciennes technologies. Il est essentiel que nous commencions à discerner les risques, et à mettre en œuvre des technologies qui peuvent les limiter et combattre les menaces afin d’inverser la tendance. (par Etienne de la Fouchardière, expert Retail chez WALLIX)

backdoor, cyberattaque

Des pirates s’infiltrent dans plusieurs stations de radio ukrainiennes

La guerre de l’information n’est pas prête de s’arrêter entre hacktivistes Russes et hacktivistes Ukrainiens. Des pirates diffusent de faux messages via des radios ukrainiennes.

Les assaillants ont répandu la nouvelle indiquant la présence du président Vladimir Zelensky à l’hôpital, en soins intensifs. Plusieurs radios ont diffusé le message quelques minutes. « Le président Zelensky est dans un état très grave et ses fonctions sont exercées par le président de la Verkhovna Rada« .

Il s’est avéré que les « nouvelles » concernant l’état de santé grave de Zelensky étaient fausses. Les stations de radio ont par la suite démenti ces informations, citant des pirates anonymes qui ont piraté les ondes et répandu la désinformation.

En mars 2022, une fausse vidéo du président ukrainien avait été diffusée via une chaîne locale préalablement piratée. La deepfake annonçait la capitulation de l’Ukraine face à la Russie.

cyberattaque, Entreprise

Piratage de la plateforme marketing Eskimi

Un pirate informatique propose à la vente plus de 25 millions de données clients de la plateforme marketing Eskimi.

Fin 2020, la plateforme AdTech Eskimi subissait une violation de données qui a exposé 26 millions d’enregistrements liées aux informations personnelles des utilisateurs de cette entreprise spécialisée dans le marketing digital.

Dans les données, 1,2 millions d’adresses électroniques uniques. Les données comprennent des noms d’utilisateur, des dates de naissance, des sexes et des mots de passe stockés sous forme de hachages MD5 non salés.

Pourquoi en parler deux ans plus tard ? Fin mai, un pirate a mis en vente la BDD. Deux mois plus tard, la base de données exfiltrée a été mise en accès libre dans plusieurs espaces du darkweb.

cyberattaque, Cybersécurité

Piratage de la police de Shanghai

Des pirates affirment avoir volé les données personnelles de plus d’un milliard de personnes domiciliées en Chine suite au piratage d’une base de données de la police de Shanghai. Possible ?

Lors d’une fuite de données de cette ampleur il est pratiquement impossible de vérifier la véracité de chaque entrée. Toutefois, sur la base d’un échantillon de données, les premiers rapports indiquent que la fuite est plutôt crédible. On ne sait toujours pas si les données proviennent d’une seule base de données, de bases de données liées ou de bases de données sans rapport entre elles, ce qui signifie que le nombre de citoyens concernés pourrait bien être inférieur au nombre de données communiquées.

 Le prix relativement faible proposé par les pirates pourrait sembler significatif, sauf que de nombreux pirates, depuis le lancement de la guerre lancée par la Russie à l’encontre de son voisin l’Ukraine, fait ressortir des fuites et des failles  gardées secrètes depuis des semaines, certaines mêmes depuis des mois. Les pirates ont besoin de liquidité. Les Sécurité du système d’information (SI) non maitrisés deviennent de vraies mines d’or pour les pirates !

Les données sont proposées pour 10 bitcoins (200 000 dollars), ce qui laisse penser que le pirate cherche peut-être à vendre les données à plusieurs acheteurs et donc de manière non exclusive. Certains pirates que j’ai pu rencontrer me disaient « nous préférons vendre à un petit montant 10 fois aujourd’hui, qu’espérer une grosse somme demain« . Effectivement, 10 fois 200 000 aujourd’hui et mieux qu’espérer tomber sur le bon acheteur à 2 millions demain !

« La valeur des données personnelles varie également d’un citoyen à l’autre, en grande partie en fonction de la possibilité de monétiser les données par le biais de l’usurpation d’identité ou de fraude, les nations occidentales telles que le Royaume-Uni et les États-Unis exigeant généralement un prix plus élevé. »  explique Toby Lewis, Global Head of Threat Analysis de Dartrace.

Il est intéressant de noter que les organes de censure chinois s’empressent de mettre fin à toute discussion sur cette fuite qui pourrait discréditer le gouvernement, dans la mesure où ce dernier est considéré comme la source présumée de la fuite. Cela peut être une indication de la véracité de l’affirmation, mais il peut s’agir simplement d’une tentative d’étouffer des rumeurs potentiellement dommageables.

cyberattaque, Cybersécurité, Mise à jour

Patch Tuesday Juillet 2022

Microsoft corrige 84 vulnérabilités dont 4 critiques, ainsi que 2 concernant Microsoft Edge (basé sur Chromium). Adobe publie 4 avis de sécurité et corrige 27 vulnérabilités dont 18 critiques.

Microsoft a corrigé en ce mois de juillet 2022 pas moins de 84 vulnérabilités. Quatre sont classées comme critiques car facilitant une exécution de code à distance (RCE).

La mise à jour cumulative de Windows dans le cadre du Patch Tuesday de ce mois comprend le correctif pour une vulnérabilité Zero-Day (CVE-2022-22047) activement exploitée. Le 06 juillet 2022, Microsoft a également publié deux mises à jour de sécurité pour Microsoft Edge (sur Chromium) .

Microsoft a corrigé plusieurs failles dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), d’élévation de privilèges, de divulgation d’informations, d’exécution de code à distance (RCE), de contournement des fonctions de sécurité et de falsification ainsi que dans Microsoft Edge (sur Chromium).

De nombreuses vulnérabilités corrigées ce mois-ci sont associées à une exécution de code à distance, mais aucune exploitation active (en mode aveugle) n’est signalée, à l’exception de la CVE-2022-22047, une vulnérabilité d’élévation de privilèges dans le composant CSRSS de Windows.

Classement des vulnérabilités corrigées par Microsoft en juillet 2022

Déni de Service

5

Importante

5

Élévation de privilèges

50

Importante

50

Divulgation d’informations

11

Importante

11

Microsoft Edge (basé sur Chromium)

2

N/A

2

Exécution de code à distance

12

Critique

4

Importante

8

Contournement des fonctions de sécurité

4

Importante

4

Falsification

2

Importante

2

CVE-2022-22047 Vulnérabilité d’élévation de privilèges dans le composant CSRSS Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,8/10. Élévation de privilèges – Important – L’attaquant qui parvient à exploiter cette vulnérabilité peut obtenir des privilèges SYSTEM (Article 5015874). Évaluation d’exploitabilité : Exploitation détectée

Zoom sur les vulnérabilités Microsoft critiques et importantes

L’avis de sécurité du mois concerne de nombreuses familles de produits Microsoft, dont Azure, le navigateur, les mises à jour de sécurité étendue (ESU), Microsoft Dynamics, Microsoft Office, System Center et Windows. Au total 63 produits/versions Microsoft sont concernés. Les téléchargements concernent Monthly Rollup (Déploiement mensuel), Security Only (Sécurité uniquement) et Security Update (Mise à jour de sécurité).

CVE-2022-30221 | Vulnérabilité d’exécution de code à distance dans le composant graphique de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Pour l’exploiter, l’attaquant doit d’abord convaincre l’utilisateur ciblé de se connecter à un serveur RDP malveillant. Au moment de la connexion, le serveur malveillant exécutera du code sur le système de l’utilisateur ciblé. Seuls Windows 7 Service Pack 1 et Windows Server 2008 R2 Service Pack 1 sont affectés par cette vulnérabilité si RDP 8.0 ou RDP 8.1 est installé. Si aucune de ces deux versions de RDP n’est installée sur Windows 7 SP1 ou Windows Server 2008 R2 SP1, vous n’êtes pas concernés par cette vulnérabilité. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-22029 | Vulnérabilité d’exécution de code à distance dans le système de fichiers réseau (NFS) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10. Cette vulnérabilité peut être exploitée sur le réseau en lançant un appel malveillant et non authentifié auprès d’un service NFS pour déclencher une exécution de code à distance (RCE). Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit s’investir dans des tentatives d’exploitation répétées dans le temps en envoyant des données en mode permanent ou intermittent. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-22038 | Vulnérabilité d’exécution de code à distance au niveau du runtime d’appel de procédure à distance (RPC)

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10. Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit s’investir dans des tentatives d’exploitation répétées dans le temps en envoyant des données de manière permanente ou intermittenteÉvaluation d’exploitabilité : Exploitation moins probable

CVE-2022-22039 | Vulnérabilité d’exécution de code à distance dans le système de fichiers réseau (NFS) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,5/10. Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit gagner une situation de course. Cette vulnérabilité peut être exploitée sur le réseau en lançant un appel malveillant et non authentifié auprès d’un service NFS pour déclencher une exécution de code à distance (RCE). Évaluation d’exploitabilité : Exploitation moins probable

Autres vulnérabilités Microsoft majeures

Début juillet, Microsoft a publié des correctifs pour les vulnérabilités CVE-2022-2294 et CVE-2022-2295 dans Microsoft Edge (sur Chromium). La vulnérabilité attribuée à chacune de ces CVE est présente dans le logiciel Open Source (OSS) Chromium utilisé par Microsoft Edge. Elle est décrite dans le guide des mises à jour de sécurité pour signaler que la toute dernière version de Microsoft Edge (sur Chromium) n’est plus vulnérable. Pour plus d’information cf Security Update Guide Supports CVEs Assigned by Industry Partners

cyberattaque, Cybersécurité

Les pirates russes APT29 utilisent les services de stockage en ligne, DropBox et Google Drive

Dans le monde entier, des entreprises font confiance à des services de stockage tels que DropBox et Google Drive pour leurs opérations quotidiennes. Cette confiance est pourtant mise à mal par des acteurs malveillants qui, comme le montrent les dernières recherches, redoublent d’ingéniosité pour exploiter la situation au profit d’attaques extrêmement difficiles à détecter et à prévenir.

Les dernières campagnes orchestrées au moyen d’une menace persistante avancée (APT), que l’Unit 42 connait et suit sous le nom de Cloaked Ursa (également appelée APT29, Nobelium ou Cozy Bear) ont donné à voir un niveau de sophistication inédit ainsi que des capacités à s’immiscer rapidement dans des services populaires de stockage sur le cloud afin d’échapper à la détection.

Ce groupe n’en est d’ailleurs pas à son coup d’essai dans le détournement de services cloud légitimes et fiables. Au fil de leurs recherches, les spécialistes ont découvert que leurs deux campagnes les plus récentes exploitaient pour la première fois les services de stockage Google Drive.

La réplication des données opérée sur le cloud Google Drive, à laquelle s’ajoute la confiance de millions de clients à travers le monde, rend les opérations de ce malware particulièrement inquiétantes. En effet, lorsque l’utilisation de services fiables est associée au chiffrement, comme c’est le cas ici, il devient bien plus difficile pour les entreprises de détecter les activités malveillantes en lien avec la campagne.

Cloaked Ursa

Depuis longtemps, le secteur de la cybersécurité considère la menace Cloaked Ursa comme affiliée au gouvernement russe. Ce lien expliquerait notamment la mission historique du groupe, qui remonte aux campagnes de malware lancées en 2008 contre la Tchétchénie et d’anciens pays du bloc soviétique. Un autre des faits d’armes plus récents attribués au groupe est le piratage du Comité national démocrate (DNC) des États-Unis, en 2016, de même que la cyberattaque SolarWinds de 2020 qui a compromis toute une chaîne d’approvisionnement.

Plus précis quant à l’identification des auteurs de l’attaque, les États-Unis comme le Royaume-Uni ont publiquement pointé du doigt le Service des renseignements extérieurs de la Fédération de Russie (SVR), c’est-à-dire les activités d’espionnage. Les dernières campagnes de cet acteur ont servi à faire croire qu’un rendez-vous se préparait avec un ambassadeur. L’Unit 42 pense que ces campagnes ciblaient des missions diplomatiques occidentales qui se sont déroulées entre mai et juin 2022. Les leurres inclus dans ces campagnes suggèrent qu’une ambassade étrangère au Portugal, ainsi qu’une ambassade étrangère au Brésil, ont été prises pour cible. Dans les deux cas, les documents de phishing contenaient un fichier HTML malveillant (EnvyScout) utilisé pour entreposer d’autres fichiers similaires dans le réseau ciblé, notamment un payload Cobalt Strike.

cyberattaque, Cybersécurité

Penser comme un attaquant pour contrer les nouvelles attaques DDoS

Le télétravail a considérablement changé les modes de fonctionnement en entreprise. En effet, selon l’Insee, 22 % des salariés français télétravaillent au moins une fois par semaine. Cette pratique élargit les modes de communications entre collaborateurs, rendant les environnements numériques de travail accessibles depuis n’importe quel appareil connecté, professionnel comme personnel. Cette accessibilité augmente la surface d’attaque et donc les possibilités de corruption des cybercriminels. Ces derniers s’appuient en effet désormais sur cette informatique de périphérie pour s’immiscer insidieusement dans les réseaux, soulignant ainsi la nécessité d’adapter les approches de protection des réseaux à ces nouvelles pratiques.

La part importante des salariés en télétravail nécessite des ajustements que l’informatique de périphérie est capable d’offrir. En revanche, cette dernière présente de nouvelles failles que les cybercriminels exploitent déjà dans les attaques par déni de service distribué (DDoS) : « L’adoption d’une architecture de périphérie – edge computing – qui rapproche le traitement et le stockage des données de leur source, permet entre autres aux entreprises d’accroître les performances de leur réseau, tout en réduisant la nécessité de renvoyer les données recueillies à la périphérie du réseau vers un datacenter. Ainsi, plus de la moitié des entreprises seraient susceptibles d’y recourir pour au moins six cas d’utilisation, d’ici fin 2023. Toutefois, si les entreprises se tournent de plus en plus vers la périphérie, les cyberattaquants s’y intéressent également de très près afin d’adapter leurs modes d’attaques aux pratiques en place. » explique Philippe Alcoy, de chez NETSCOUT

Par ailleurs, outre la lutte contre les attaques par déni de service distribué (DDoS) à la périphérie, il est également essentiel d’accorder une attention particulière aux attaques DDoS plus granulaires au niveau des applications, cibles de choix pour les cybercriminels qui peuvent bloquer les activités des utilisateurs par ce biais.

Il existe trois types d’attaques DDoS courantes de la couche applicative communément utilisées par les acteurs malveillants : Slowloris, Slow Post et les attaques par épuisement des tables d’état TCP.

Tout d’abord, Slowloris, une attaque de la couche applicative qui utilise des requêtes HTTP partielles pour ouvrir des connexions entre un seul ordinateur et un serveur web ciblé. Son objectif est de garder ces connexions ouvertes le plus longtemps possible afin de submerger et de ralentir la cible. Ensuite, avec l’attaque de type Slow Post, le cybercriminel envoie des en-têtes HTTP Post légitimes à un serveur web. Dans les en-têtes, les tailles du corps du message qui suivra sont correctement spécifiées. Cependant, le corps du message est envoyé à une vitesse très lente, avec pour but de ralentir le serveur. Enfin, les attaques par épuisement des tables d’état TCP cherchent à consommer les tables d’état de connexion présentes dans de nombreux composants d’infrastructure tels que les répartiteurs de charge, les pares-feux et les serveurs d’application eux-mêmes. Ces attaques peuvent même détruire des dispositifs de grande capacité permettant de maintenir l’état de millions de connexions.

Les attaques par déni de service distribué sont de plus en plus courantes et sophistiquées, surtout depuis les changements amenés par le travail en distanciel. Les réseaux, encore soumis à des zones d’ombres – en raison des multiples appareils, applications, accès et utilisateurs humains et machines qui y circulent – sont sujets à toujours plus de vulnérabilités. C’est pourquoi les équipes IT doivent rivaliser de précision et de réactivité afin de protéger au mieux la périphérie du réseau et ainsi garantir la disponibilité des applications critiques pour l’entreprise ; de même que les cybercriminels continuent de chercher à garder une longueur d’avance sur les entreprises, pour en dérober les informations et bloquer les accès, ces dernières doivent penser comme des attaquants et partir du principe qu’à chaque changement ou nouveauté, elles seront probablement ciblées. En anticipant ces potentielles attaques, elles seront ainsi plus à même de les contrer.

cyberattaque, Mise à jour, Securite informatique

Managed Detection & Response pour entreprise

L’entreprise F-Secure, nouvellement baptisée WithSecure, renforce les solutions cybersécurité à destination des entreprises hexagonales. Rencontre avec Benoit Meulin, consultant. Depuis maintenant 2 années chez WithSecure, après de nombreuses années passées dans la cyber, il a en charge du portfolio de la BU Solution créé, cette année, par le spécialiste des solutions de protection numérique.

Les besoins pour protéger les entreprises se sont accentués ?

Ces besoins sont en constante évolution et la pression ne cesse d’augmenter sur les entreprises. L’accélération est très importante. Nous avons fait le choix de mettre en place une organisation spécifique afin de suivre cette accélération et toujours mieux protéger nos clients.

WithSecure propose de nouveaux services. Pouvez-vous nous les présenter ?

Nous disposions d’une offre de Managed Detection & Response (MDR) bien implantée en France qui s’appelle COUNTERCEPT. Nous avons décidé de soutenir cette offre de protection par une offre de gestion de la surface d’attaque (EASM : Enterprise Attack Surface Management) qui permet aux clients de mieux appréhender et maîtriser leur surface d’attaque externe et donc de la réduire. Nous proposons également dans le prolongement de ces offres des accompagnements à la préparation des incidents cyber ainsi que des services d’Incident Response.

Quelles seraient les priorités à mettre en place, pour une entreprise souhaitant prendre à bras-le-corps sa cybersécurité ?

Il me semble que la première marche à passer est celle du choix d’un partenaire pour accompagner ce gain en maturité. Commencer par la mise en place d’un MDR permet d’acheter du temps et de la sérénité pour démarrer des chantiers plus structurant autour des aspects de gouvernance et gestion de risque, qui sont les piliers d’une démarche efficace et qui permet à terme de faire les bons choix stratégiques. Je le dis souvent mais mon client idéal est celui qui trois années après avoir souscrit à notre offre MDR nous dit qu’il n’a plus besoin de nous car il est à un niveau de maturité suffisant pour assurer sa propre défense.

Que faut-il craindre, demain, des pirates ?

Nous avons en face de nous une R&D motivée par des sujets aussi bien géopolitiques que financiers. Ces innovations couvrent bien des domaines, de la technique à la stratégie. Nous avons vu évoluer les approches des cybercriminels pour augmenter leurs chances de gain financier lors des attaques, par de la méthode et de la technologie : voler de la donnée (commerciale, R&D etc…) avant de la rendre inaccessible et demander une rançon par exemple. Les supports disponibles pour attaquer une organisation sont de plus en plus nombreux (applications, mobiles, cloud etc…) et une fois de plus, la créativité des attaquants ne doit en aucun cas être sous-estimée. Nous monitorons les évolutions des attaques constamment pour être au plus près de la menace.

Bref, être pro actifs devient indispensable, que ce soit à l’extérieur, mais aussi et surtout à l’intérieur de l’entreprise ?

Je ne serais pas de ces gens qui disent que la faiblesse est entre la chaise et le clavier. L’intérieur de l’entreprise est un des rideaux de défense qui doit être pris en compte, aussi bien au niveau des postes des utilisateurs que des utilisateurs eux-mêmes. Cela passe par des couches de protections technologiques comme par des mesures de sensibilisation et de formation des collaborateurs. Que l’attaquant soit interne ou externe, il finira par essayer de se faire passer pour quelqu’un de légitime sur le réseau et il faudra s’assurer qu’on l’attrape à ce moment là.

cyberattaque, Securite informatique

Augmentation de 550% du vishing, arnaque téléphonique

Les attaques par hameçonnage vocal (vishing ou voice phishing) auraient augmenté de près de 550 % au cours des douze derniers mois, selon le dernier rapport trimestriel sur les tendances en matière de menaces. Une hausse peu étonnante à la vue des méthodes pirates mises en place pour passer outre la double authentification.

Au cours du premier trimestre 2022, les sociétés Agara/Phishlabs ont détecté des centaines de milliers d’attaques phishing en provenance des réseaux sociaux, messageries électroniques ciblant un large éventail d’entreprises et de marques. Ce rapport analyse les principales tendances du paysage des menaces actuel.

Les attaques par vishing dépassent la compromission des e-mails

Depuis le troisième trimestre 2021, les attaques par vishing ont dépassé la compromission des e-mails professionnels, se positionnant comme deuxième source de menaces pesant sur les systèmes de messagerie électronique. À la fin de l’année, ces dernières représentaient plus d’une menace sur quatre, et cette tendance s’est poursuivie au premier trimestre 2022.

« Les campagnes de vishing hybride continuent de générer des chiffres stupéfiants, puisqu’elles constituent 26,1 % du volume total des attaques enregistrées jusqu’à présent en 2022 », indique John LaCour, de chez HelpSystems. « On assiste à une multiplication des acteurs de la menace qui délaissent les campagnes de phishing vocal standards pour lancer des attaques par e-mail malveillant en plusieurs étapes. Au cours de ces attaques, les hackers se servent d’un numéro de rappel inséré dans le corps de l’e-mail comme appât, puis s’appuient sur l’ingénierie sociale et l’usurpation d’identité pour inciter la victime à appeler et à interagir avec un faux représentant. »

Un chiffre qui pourrait étonner, mais qui pourtant montre l’évolution des pirates. Le blog ZATAZ, référence en matière des actualités liées à la lutte contre le cybercrime, révélait en 2021, une méthode pirate baptisée la méthode du « ALLO » qui consiste à appeler les victimes, par téléphone, pour leur soutirer les informations que les pirates informatiques ne possèdent pas déjà !

Autres enseignements de ce rapport

Les attaques par usurpation d’identité sur les réseaux sociaux sont en hausse. Depuis le deuxième trimestre 2021, le volume des usurpations d’identité ciblant les marques a bondi de 339 % et celui des usurpations d’identité de dirigeants de 273 %. D’après les résultats, les marques constituent des cibles faciles pour les cyber criminels, surtout lorsqu’elles sont associées à des opérations de contrefaçon de produits vendus au détail. Cependant, pour certaines attaques ciblées, des comptes sociaux de dirigeants sont utilisés pour renforcer le réalisme.

Les escroqueries par e-mail dont l’objectif est le vol d’identifiants restent le type de menaces par messagerie électronique le plus courant signalé par les collaborateurs, à hauteur de près de 59 % de tous les typologies de menaces rencontrées. Les vols d’identités ont augmenté de 6,9 % en volume par rapport au quatrième trimestre 2021.

Le paysage des malware est en constante évolution

Qbot a été une fois de plus le malware le plus usité par les acteurs de la menace pour servir leurs attaques par ransomware, mais Emotet a refait surface au premier trimestre prenant la première place du podium.

Alors que près de la moitié des sites d’hameçonnage s’appuient sur un outil ou un service gratuit, le premier trimestre 2022 a été le premier de cinq trimestres consécutifs où les services payants ou compromis (52 %) ont dépassé les solutions gratuites pour les mises en scène des sites de phishing.

« Comme la diversité des canaux numériques utilisés par les entreprises pour conduire leurs activités et communiquer avec les consommateurs se développe, les hackers disposent de multiples vecteurs pour conduire leurs exactions », ajoute John LaCour. « La plupart des attaques ne démarrent pas de zéro ; elles reposent sur la refonte de tactiques traditionnelles et l’intégration de multiples plateformes. Pour continuer à se protéger, les entreprises ne doivent plus uniquement se concentrer sur une protection périmétrique mais augmenter leur visibilité sur différents canaux externes, afin de recueillir des renseignements et de surveiller les menaces de manière proactive. En outre, les équipes de sécurité doivent investir dans des partenariats qui garantiront la prévention rapide et complète des attaques avant qu’elles n’entraînent des préjudices financiers et des atteintes à la réputation. »

cyberattaque

Patch Tuesday mars 2022

92 vulnérabilités dont 3 critiques chez Microsoft et 3 avis de sécurité et 6 vulnérabilités dont 5 critiques pour Adobe.

Ce mois, Microsoft a corrigé 92 vulnérabilités (dont 21 pour Microsoft Edge), 3 étant classées comme critiques car susceptibles de provoquer une vulnérabilité par exécution de code à distance (RCE). Ce Patch Tuesday comprend aussi des correctifs pour 3 vulnérabilités Zero-Day divulguées publiquement. Au moment de la publication de cet article, aucune des vulnérabilités figurant dans la liste publiée ce mois-ci n’est exploitée en mode aveugle.

Microsoft a corrigé différents problèmes dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), avec élévation de privilèges, de divulgation d’information, par exécution de code à distance (RCE), avec contournement des fonctions de sécurité et d’usurpation concernant notamment Edge–Chromium.

Vulnérabilités Microsoft importantes corrigées

L’avis de sécurité de ce mois concerne différents produits Microsoft, dont .NET et Visual Studio, Azure Site Recovery, Defender, Edge (basé sur Chromium), MS Exchange Server, HEIF Image Extension, HEVC Video Extension, Intune, les applications Microsoft 365, Office, Paint 3D, le service Bureau à distance (Remote Desktop), le serveur SMB et le système d’exploitation Windows.

CVE-2022-21990 et CVE-2022-23285 – Vulnérabilité par exécution de code à distance (RCE) sur le client Bureau à distance 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. S’il se connecte au service Bureau à distance, l’attaquant qui contrôle un serveur Bureau à distance peut lancer une exécution de code à distance (RCE) sur la machine cliente RDP lorsqu’un utilisateur ciblé se connecte au serveur rendu malveillant depuis un client de bureau à distance vulnérable. 

Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-23277 – Vulnérabilité par exécution de code à distance (RCE) sur le serveur Microsoft Exchange

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. L’attaquant qui exploite cette vulnérabilité peut cibler les comptes serveur via une exécution de code à distance (RCE) ou arbitraire. En tant qu’utilisateur authentifié, il peut tenter de déclencher du code malveillant au niveau du compte du serveur via un appel réseau.

Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-24469 – Vulnérabilité avec élévation de privilèges pour Azure Site Recovery

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10. Un attaquant peut appeler les API Azure Site Recovery fournies par le serveur de configuration et accéder dans la foulée aux données de configuration, y compris aux certificats associés aux systèmes protégés. À l’aide de ces API, l’attaquant peut également modifier/supprimer des données de configuration et ainsi impacter les opérations de récupération d’un site.

Évaluation d’exploitabilité :Exploitation moins probable.

CVE-2022-24508 – Vulnérabilité par exécution de code à distance (RCE) sur le client/serveur Windows SMBv3 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. En plus de publier une mise à jour pour cette vulnérabilité, Microsoft fournit une solution de contournement qui peut être utile selon votre situation. Dans tous les cas, Microsoft recommande fortement d’installer les mises à jour concernant cette vulnérabilité dès qu’elles seront disponibles, y compris si vous prévoyez de conserver cette solution de contournement. En effet, cette vulnérabilité est présente au sein d’une nouvelle fonctionnalité ajoutée à Windows 10 version 2004 ainsi que dans des versions plus récemment supportées de Windows. Les versions plus anciennes de Windows ne sont pas concernées.

Évaluation d’exploitabilité : Exploitation plus probable.

Vulnérabilités Adobe importantes corrigées 

Adobe a publié des mises à jour pour corriger 6 CVE affectant After Effects, Illustrator et Photoshop. Parmi ces 6 vulnérabilités, 5 sont classées critiques.

APSB22-14 : Mise à jour de sécurité disponible pour Adobe Photoshop

Cette mise à jour corrige une vulnérabilité classée comme importante. En cas d’exploitation réussie, une fuite de mémoire pourrait affecter l’utilisateur ciblé.

APSB22-15 : Mise à jour de sécurité disponible pour Adobe Illustrator.

Cette mise à jour corrige une vulnérabilité critique pouvant entraîner l’exécution de code arbitraire.

APSB22-17 : Mise à jour de sécurité disponible pour Adobe After Effects

Cette mise à jour corrige des vulnérabilités de sécurité classées comme critiques. En cas d’exploitation réussie, une exécution de code arbitraire pourrait affecter l’utilisateur concerné.

APT, cyberattaque

Echapper aux espions : comment éviter de devenir une victime ?

Nous pensons de manière générale qu’il est impossible de se protéger complètement des logiciels de surveillance professionnels. Les utilisateurs peuvent néanmoins prendre certaines mesures pour que les attaquants ne puissent pas les cibler aisément.

Pegasus, Chrysaor, Phantom et bien d’autres sont des logiciels dits de « surveillance légale », développés par des entreprises privées et largement déployés par le biais de divers exploits, dont plusieurs zero-days zero-click sur iOS. La version la plus ancienne de Pegasus a été identifiée par des chercheurs en 2016. Depuis lors, plus de 30 000 militants des droits de l’homme, journalistes et avocats à travers le monde pourraient avoir été ciblés à l’aide de Pegasus.

Conseils

Tout d’abord, il est important de redémarrer quotidiennement les appareils mobiles. Les redémarrages aident à « nettoyer » l’appareil, pour ainsi dire, ce qui signifie que les attaquants devront continuellement réinstaller Pegasus sur l’appareil, ce qui rend beaucoup plus probable la détection de l’infection par les solutions de sécurité.

Maintenez l’appareil mobile à jour et installez les derniers correctifs dès qu’ils sont disponibles. En fait, de nombreux kits d’exploitation ciblent des vulnérabilités déjà corrigées, mais ils restent dangereux pour les personnes qui utilisent des téléphones plus anciens et reportent les mises à jour.

Ne cliquez jamais sur les liens reçus par messages. Il s’agit d’un conseil simple mais efficace. Certains clients de Pegasus comptent davantage sur les exploits à 1 clic que sur ceux à zéro clic. Ceux-ci arrivent sous la forme d’un message, parfois par SMS, mais peuvent aussi se propager via d’autres messageries ou même par e-mail. Si vous recevez un SMS intéressant (ou par tout autre biais) avec un lien, ouvrez-le sur un ordinateur de bureau, de préférence en utilisant TOR Browser, ou mieux encore en utilisant un système d’exploitation non persistant sécurisé tel que Tails.

En outre, n’oubliez pas d’utiliser un autre navigateur web pour la recherche sur Internet. Certains exploits ne fonctionnent pas aussi bien sur les navigateurs alternatifs comme Firefox Focus par rapport aux navigateurs plus traditionnels comme Safari ou Google Chrome.

Utilisez systématiquement un VPN ; il est ainsi plus difficile pour les attaquants de cibler les utilisateurs en fonction de leur trafic internet. Lorsque vous souscrivez à un abonnement VPN, il y a quelques éléments à prendre en compte : recherchez des services établis qui existent depuis un certain temps, qui peuvent accepter le paiement avec des crypto-monnaies et qui ne vous demandent pas de fournir des informations d’enregistrement.

Installez une application de sécurité qui vérifie et prévient si l’appareil est soumis à un « jailbreak ». L’espionnage de votre téléphone peut débuter ainsi. Pour persister sur un appareil, les attaquants utilisant Pegasus auront souvent recours au jailbreak de l’appareil ciblé. Si un utilisateur a installé une solution de sécurité, il peut alors être alerté de l’attaque.

Si vous êtes un utilisateur iOS, déclenchez souvent des sysdiagnose et enregistrez-les dans des sauvegardes externes. Des analyses approfondies de l’objet malveillant peuvent vous aider à déterminer ultérieurement si vous avez été ciblé. Les experts de Kaspersky recommandent également aux utilisateurs iOS à risque de désactiver FaceTime et iMessage. Comme ils sont activés par défaut, il s’agit d’un mécanisme d’infection de premier plan pour les chaînes de zéro-clics et ce, depuis de nombreuses années.

En général, les attaques Pegasus sont très ciblées – ce qui signifie qu’elles n’infectent pas les gens en masse mais plutôt des catégories spécifiques. De nombreux journalistes, avocats et militants des droits de l’homme ont été identifiés comme des cibles de ces cyberattaques sophistiquées, mais ils ne sont pas toujours les plus équipés pour se défendre. C’est pourquoi, nous faisons de notre mieux pour fournir les meilleures techniques de protection contre les logiciels malveillants, les hackeurs et les menaces sophistiquées telles que celles-ci, afin de continuer à construire un monde plus sûr.

Troubler les assaillants

Changez d’appareil – si vous étiez sur iOS, essayez de passer à Android pendant un certain temps. Si vous étiez sur Android, passez à iOS. Cela pourrait dérouter les attaquants pendant un certain temps ; par exemple, certains acteurs malveillants sont connus pour avoir acheté des systèmes d’exploitation qui ne fonctionnent que sur certaines marques de téléphone et d’OS.

Procurez-vous un appareil secondaire, fonctionnant de préférence sous GrapheneOS, pour les communications sécurisées. Utilisez une carte SIM prépayée dans celui-ci, ou, ne vous connectez que par Wi-Fi et TOR en mode avion.

Évitez les messageries où vous devez fournir votre numéro de téléphone à vos contacts. Une fois qu’un attaquant a votre numéro de téléphone, il peut facilement vous cibler à travers plusieurs messageries différentes par ce biais – iMessage, WhatsApp, Signal, Telegram, ils sont tous liés à votre numéro de téléphone. Une nouvelle alternative pourrait être Session, qui achemine automatiquement vos messages à travers un réseau de type Onion et ne repose pas sur les numéros de téléphone.

« La sécurité n’est jamais une solution instantanée unique devenant une preuve fiable à 100 % ; considérez-la comme un cours d’eau qui coule et où vous devez ajuster votre navigation en fonction de la vitesse, des courants et des obstacles. » confirme Costin Raiu, responsable de l’équipe de recherche et d’analyse mondiale (GReAT) de Kaspersky.

cyberattaque, Securite informatique

326 millions de dollars volés en deux clics !

La plateforme cryptographique Wormhole qui permet d’envoyer des cryptos vers d’autres blockchains se voit voler 326 millions de dollars.

Un pirate informatique a trouvé un exploit qui lui a permis de libérer 120 000 ETH sans aucun investissement.

La plateforme a déjà offert au hacker une prime de 10 millions de dollars. Il semble que s’il accepte l’offre, il s’agirait d’un versement de prime record dans l’histoire.

En utilisant l’exploit, le pirate a volé 120 000 jetons Ether enveloppés sur la blockchain Solana. Sur ces 120 000 jetons, il en a converti 80 000 en Ethereum et laissé le reste sur la blockchain Solana.

Le pirate n’a pas encore répondu à la proposition de la société. La société d’analyse de blockchain Elliptic lui offre une prime de 10 millions de dollars dans le cadre d’un « accord whitehat ».

Mais vu qu’il a déjà récupéré une partie de la somme, et vendue le reste, 10 millions de dollars ne semblent pas l’intéresser ! (voir ici, et encore ici)

L’attaque Wormhole est désormais la deuxième plus grande cyberattaque contre les services DeFi, la plus importante a visé au mois d’août 2021 Poly Network, avec plus de 600 millions de dollars.

cyberattaque, Cybersécurité

Un ransomware attaque un partenaire d’Apple et de Tesla

Les pirates du groupe CONTI met à mal l’un des principaux contractants d’Apple et de Tesla. Preuve une fois de plus que sécurité, éducation et règles de sauvegardes sont indispensables pour la continuité de service.

L’un des plus puissants groupes de ransomware, le groupe Conti (plus de 300 victimes à son actif) a pris en otage et chiffré la société Delta Electronics. Une entreprise à l’envergure internationale. Delta Electronics est l’un des sous-traitant d’Apple et de Tesla. Delta développe une large gamme de solutions électroniques avec un chiffre d’affaires annuel de plus de 7,7 milliards de dollars (2016).

Basée à Taïwan, l’entreprise emploie plus de 83 000 personnes dans le monde. Le site web de l’entreprise est resté plusieurs jours en « Maintenance du système« . Pas moins de 1 500 serveurs et 12 000 PC (65 000 PC au total sur le réseau) ont été bloqués. Les pirates ont demandé une rançon de 15 millions de dollars.

Autant dire qu’un cloud sécurisé ne fait pas de mal dans une telle situation pour remettre en place l’ensemble de son infrastructure, sans perte de productivité et de contacts avec ses partenaires, clients, etc…

cyberattaque, Mise à jour

Patch Tuesday Janvier 2022

Microsoft a corrigé 126 vulnérabilités dont 9 sont classées comme critiques. Au moment de la publication de cette analyse aucune des 126 vulnérabilités n’est exploitée de manière active. Microsoft a  dans ses logiciels, dont des vulnérabilités exploitées par exécution de code à distance (RCE), des failles de sécurité facilitant une élévation de privilèges, l‘usurpation d’identité et de déni de service (DoS).

Vulnérabilités Microsoft critiques corrigées 

CVE-2022-21907 – Vulnérabilité par exécution de code à distance dans la pile du protocole HTTP 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10. Elle affecte les serveurs Windows configurés comme serveurs Web. Pour exploiter cette vulnérabilité, un attaquant non authentifié peut envoyer une requête fabriquée de toute pièce vers un serveur vulnérable en s’appuyant sur la pile du protocole HTTP pour traiter des paquets. Cette vulnérabilité est connue pour se propager sous la forme de vers. Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-21849 – Vulnérabilité par exécution de code à distance dans le composant IKE Extension de Windows 

Affichant un score de sévérité CVSSv3.1 de 9,8/10, cette vulnérabilité affecte les systèmes fonctionnant avec la version 2 du composant IKE (Internet Key Exchange). Même si pour l’instant peu d’informations sont disponibles sur cette vulnérabilité, un attaquant à distance peut déclencher plusieurs vulnérabilités lorsque le service IPSec est exécuté sur le système Windows, sans besoin d’être identifié. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-21846 – Vulnérabilité par exécution de code à distance sur Microsoft Exchange Server 

Cette vulnérabilité a été découverte et signalée à Microsoft par la NSA (National Security Agency). Elle affiche un score de sévérité CVSSv3.1 de 9,0/10. L’attaque associée à cette vulnérabilité se limite au niveau protocolaire à une topologie logiquement adjacente. Elle ne peut donc tout simplement pas être lancée sur Internet et doit plutôt s’appuyer sur un élément spécifiquement lié à la cible, par exemple un même réseau physique partagé (Bluetooth ou IEEE 802.11 notamment), un réseau logique (par ex. un sous-réseau IP local) ou depuis un domaine administratif sécurisé ou limité (par exemple MPLS, un VPN sécurisé vers une zone administrative du réseau). De nombreuses attaques exigeant des configurations de type Man-in-the-middle ou tributaires d’un ancrage dans un autre environnement fonctionnent de la sorte. Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-21837 – Vulnérabilité par exécution de code à distance sur Microsoft SharePoint Server 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,3/10. Un attaquant peut exploiter cette vulnérabilité pour accéder au domaine puis exécuter du code à distance sur le serveur SharePoint pour s’élever lui-même au rang d’administrateur SharePoint. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-21840 – Vulnérabilité par exécution de code à distance dans Microsoft Office 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Elle ne peut être exploitée que si l’utilisateur ciblé ouvre un fichier malveillant.

Dans un scénario d’attaque par email, l’attaquant exploitera la vulnérabilité en envoyant un fichier malveillant spécifique sur la messagerie de la cible avant de le convaincre de l’ouvrir. 

L’attaquant peut aussi héberger un site Web (ou utiliser un site Web compromis qui accepte ou héberge du contenu fourni par un utilisateur) qui contient un fichier malveillant personnalisé pour exploiter une vulnérabilité dans le cas d’une d’attaque via le Web. Évaluation d’exploitabilité :Exploitation moins probable

Adobe Patch Tuesday – Janvier 2022 

Adobe a publié des mises à jour pour corriger 41 CVE affectant Adobe Acrobat et Reader, Bridge, Illustrator, InCopy et InDesign. Parmi ces 41 vulnérabilités, 22 sont considérées comme critiques. Adobe a publié des mises à jour de sécurité pour Adobe Acrobat et Reader pour Windows et macOS qui permettent de corriger de nombreuses vulnérabilités critiques, importantes et modérées. L’exploitation réussie de ces vulnérabilités pourrait entraîner l’exécution de code arbitraire, une fuite de mémoire, un déni de service de type applicatif ainsi qu’un contournement des fonctions de sécurité et une élévation de privilèges.  

cyberattaque, DDoS

Le secteur industriel plus que jamais menacé

Cloudflare, spécialiste de la sécurité, la fiabilité et la performance d’internet, présente son rapport sur les attaques DDoS du 4ème trimestre 2021. Un palmarès qui souligne l’importance de la fortification des cyberattaques. La découverte, en décembre, de la vulnérabilité Log4, considérée comme l’une des plus importante et dangereuse en est la preuve.
  • Le secteur industriel plus que jamais menacé : Pour la première fois, l’industrie arrive en tête des secteurs les plus attaqués. Au dernier trimestre 2021, Cloudflare enregistrait une hausse de 641% du nombre d’attaques par rapport au trimestre précédent. Ces menaces viennent affaiblir un secteur déjà très affecté par la pénurie de matières premières et des difficultés de livraison qui l’empêchent de répondre à la demande croissante. En deuxième et troisième position, on retrouve respectivement les services aux entreprises et le secteur du gaming.
  • Les ransomwares continuent de progresser : Alors que le botnet Meris était en première ligne au trimestre précédent, la fin de l’année a vu le nombre de ransomwares augmenter de 175%. Dans une enquête réalisée par Cloudflare, 22% des répondants affirmaient avoir reçu une demande de rançon.
  • Une attaque de 2 Tbps déjouée : En novembre dernier, Cloudflare a subi une tentative d’attaque qui, à son plus haut pic, enregistrait de 2 Tbps. A ce jour, il s’agit de l’attaque la plus puissante ayant ciblée l’entreprise et ce, alors qu’elle n’a duré qu’une minute.

En savoir plus.

cyberattaque, Social engineering

Fraude au président : une arnaque qui profite de l’essor du télétravail

La fraude au président est devenue l’une des principales cyberattaques dans le monde. La fraude au président a profité de l’essor massif du télétravail en 2020 pour se développer.

Selon le baromètre 2020 “Etude sur la fraude” du cabinet Euler Hermes, la fraude au président est devenue l’une des principales cyberattaques dans le monde (la troisième d’après le cabinet). Cette escroquerie, qui a recours à l’usurpation d’identité des dirigeants d’entreprise, est en hausse notable et est mentionnée par 38% des entreprises ayant répondu à l’étude. Tout comme les rançongiciels, la fraude au président a profité de l’essor massif du télétravail en 2020 pour se développer. Si, dans le cas des rançongiciels, ce sont les technologies d’accès à distance qui ne sont pas adaptées au télétravail, ici c’est le manque d’interactions sociales en présentiel et de communication qui est l’une des causes majeures de la multiplication de ce type d’arnaque.

Comment se déroule une fraude au président ?

Dans le cadre de la fraude au président, un escroc qui a préalablement fait des recherches sur l’entreprise cible se fait passer pour le PDG ou pour un administrateur pour demander, par e-mail, au comptable de la société, un virement bancaire pour une opération confidentielle et urgente. Cet escroc usurpe ainsi l’identité d’une personne de confiance, via une adresse e-mail créée pour l’occasion, et s’adresse directement au bon interlocuteur (le comptable). Cette tâche apparaissant comme urgente, la personne contactée va parfois s’exécuter sans prendre le temps de la réflexion et, puisqu’il s’agit d’une opération confidentielle, elle n’en parlera pas à ses collègues et n’éveillera donc pas les soupçons. En décembre 2020, le CDER, l’une des associations de gestion et comptabilité les plus importantes en France, a subi une attaque de ce type avec un préjudice annoncé de 14,76 M€ (source : L’Union). La comptable de l’association a été licenciée pour faute grave pour avoir “contourné les procédures internes.

Suite à la pandémie et la mise en place du télétravail au sein des organisations, de nombreux collaborateurs travaillent depuis chez eux au moins une partie de la semaine. En conséquence, une forte diminution voire une absence d’interactions et de discussions de vive voix avec les dirigeants et administrateurs. Les échanges à distance se sont multipliés et les opérations qui avaient pour habitude d’être confirmées ou évoquées en présentiel ont fait place à des réponses par simples emails qui, dans le cas d’une fraude au président réussie, engendrent des dommages irréversibles”, explique Christophe Corne, de Systancia.

Quelques bonnes pratiques pour s’en prémunir

La gendarmerie nationale, la Direction Générale du Renseignement Intérieur, l’ANSSI, votre serviteur ne cessent d’expliquer comment ne pas se faire « filouter ». Seulement, rien de plus aveugle et sourde qu’une personne qui ne pense que cela n’arrive qu’aux autres. Le Service Veille de ZATAZ a d’ailleurs reçu, il y a quelques jours, un cadeau d’une société (qui en a profité pour souscrire un abonnement, merci 🙂 aprés que le SVZ a découvert des données internes qui servaient à la préparation d’une fraude au président. Les factures et les informations incluent dans l’ensemble des documents étaient exploités, au téléphone, par un/des escroc(s).

Plusieurs actions peuvent en effet être mises en place pour limiter drastiquement le risque qu’une telle arnaque aille à son terme. Dans un premier temps, il est indispensable de sensibiliser les comptables à ce type de fraude puisque ce sont eux qui sont spécifiquement visés. Deux éléments doivent les alerter : les caractères urgents et confidentiels de l’opération. En cas de doute, il conviendra alors de contacter le président par téléphone pour valider cette opération de vive voix.

Cependant, si ce type de vérification est faisable au sein des PMEs, lorsqu’il s’agit d’une grande entreprise, il est parfois plus compliqué d’obtenir une confirmation orale. C’est dans ce cas qu’une fonctionnalité telle que la séparation des tâches (SoD – Segregation of Duties) prend tout son sens.

Les virements bancaires étant, en tout état de cause, critiques pour toute organisation, ceux-ci doivent être soumis à un mécanisme de SoD pour tout virement non récurrent ainsi que lors de la mise en place d’un virement récurrent. La réalisation d’un virement bancaire par le comptable serait soumise à une validation électronique d’un administrateur de la société ou de tout autre personne habilitée à valider ce type d’opération. Ainsi, si le virement semble suspect, celui-ci sera investigué et stoppé avant même que le virement ne soit effectué.

La fraude au président, comme tout autres principales cybermenaces, doit être intégrée aux actions de sensibilisation à la cybersécurité dispensées par les organisations. Il s’agit là de la première barrière face aux cyberattaques et parfois la seule disponible, dès lors qu’une société ne dispose pas de solutions de cybersécurité adéquates face aux différentes menaces qui pèsent sur les systèmes d’information. Les collaborateurs sont en première ligne face aux cyberattaques et doivent donc être au cœur de la stratégie de sécurisation des systèmes. Un collaborateur formé et informé voit son statut passer de celui de faille à celui de maillon fort de l’organisation.

Banque, Bitcoin, cyberattaque

Des millions de dollars en cryptomonnaie volés ces dernières semaines !

Un commentaire

Les propositions frauduleuses de dons de Bitcoin, Ethereum, Dogecoin, Cardano, Ripple et Shiba Inu ont prolifère sur YouTube Live ces dernières semaines. Des pièges grossiers, mais qui fonctionnent.

On peut toujours s’étonner de certaines escroqueries comme le pseudos dons du cousin du frère de l’ami du facteur d’un milliardaire africain ou encore de cette superbe blonde/rousse/brune tombée amoureuse de vous en un e-mail. Mais dites vous que si des pirates continuent d’exploiter de gros hameçons, c’est qu’en face, chez les pigeons 2.0, ça mord à pleines dents dans l’arnaque.

Les mois d’octobre et novembre 2021 auront été les mois des escroqueries autours des cryptomonnaies (BTC, ETH, DOGE, ADA, XRP ou SHIB). Satnam Narang, ingénieur de recherche Tenable, s’est rendu compte, mais il n’est pas le seul, plusieurs lecteurs de ZATAZ.COM et DataSecurityBreach.fr ont aussi alerté sur le sujet, de l’impressionnant nombre de fausses vidéos sur Youtube concernant de « bonnes affaires » dans le petit monde des Bitcoin, Ethereum, Dogecoin, Cardano, Ripple et autre Shiba Inu.

En octobre 2021, et selon les adresses crypto analysées, les sommes engrangées représentaient plus de 8,9 millions de dollars.

Comment ça fonctionne ?

Les arnaqueurs utilisent des comptes YouTube préalablement piratés pour lancer des campagnes d’offres frauduleuses de Bitcoin, Ethereum, Dogecoin, et autres cryptomonnaies. Ils récupèrent des comptes par divers moyens : phishing, rachat de base de données. Pour vous donner une petite idée du problème, le Service Veille ZATAZ (SVZ) a référencé, depuis le 1er janvier 2021, pas moins de 10 milliards (oui, oui, 10 milliards) d’adresses électroniques diffusées dans des espaces pirates (Le Service Veille ZATAZ en cyber surveille plus de 40 000). Sur cette même période, le SVZ a référencé pas moins de 190 000 bases de données piratées et diffusées par des hackers malveillants. Des diffusions sous forme de mise en ligne gratuite ou payante. Bref, autant d’information pouvant être exploitées dans des escroqueries 2.0.

« Les arnaques aux Bitcoin, explique Satnam Narang, ont collecté 8,2 millions de dollars, avec un montant moyen de 1,6 million de dollars par campagne. » un joli pactole tout droit sorti de cette nouvelle génération d’internautes rêvant cryptomonnaie. A noter, d’ailleurs, que je croise énormément d’adolescents investissant quelques dizaines d’euros dans un miroir aux alouettes dont ils ne sortiront pas gagnants. Intéressant, l’arnaque autour du Bitcoin permet aux pirates de ramasser le plus d’argent. L’Ethereum ne représente que 400 000 dollars détournés. Les arnaques aux Shiba Inu est impacté au hauteur de 34 000 dollars, en moyenne, par campagne malveillante.

Fausses vidéos et influenceurs détournés

Les arnaqueurs le savent très biens. La grande majorité des utilisateurs sont des moutons qui accordent plus facilement leur confiance à des voix qui ont de l’influence. Bilan, ils créent de fausses vidéos mettant en scène les créateurs et cocréateurs des cryptomonnaies, des patrons d’entreprises … On y retrouve Michael Saylor, président-directeur général de MicroStrategy, Xavier Niel patron d’Iliade (Free), Vitalik Buterin, cocréateur de l’Ethereum ou encore Elon Musk (Tesla/SpaceX). Le point commun de toutes ces arnaques sur les fausses émissions YouTube Live, c’est que les utilisateurs sont renvoyés vers des sites externes qui proposent aux utilisateurs de doubler leur avoir en cryptomonnaie. Cette technique est la plus efficace dans les arnaques à la cryptomonnaie.

cyberattaque, VPN

45 millions de données de clients d’un VPN diffusées sur le web

Tout aurait pu se passer tranquillement entre un lanceur d’alerte et la société ActMobile. Une menace plus tard, et 45 millions de données sont diffusées sur Internet.

L’américain ActMobile est une société spécialisée dans les services VPN. Elle permet à ses clients de surfer de manière sécurisée, anonymat entre le client et les sites visités.

Un chercheur a expliqué, dernièrement, avoir trouvé un stockage ActMobile mal sécurisé, laissant ainsi la possibilité à qui sait chercher de mettre la main sur les données internes du service. ActMobile précise dans son mode d’emploi ne stocker aucune information sur ses clients.

Seulement, c’est mal connaître les pirates qui ont trouvé, eux aussi, le dit serveur fuiteur. Bilan, les informations copiées du cloud mal sécurisé ont été mis en ligne.

45 millions de lignes de logs avec, entre autres : IP du client ; IP du VPN utilisé ; nom de l’appareil ; version Android / iOS ; Etc. 1 577 970 courriels uniques dont 3 185 @yahoo.fr ; 8 797 @mail.ru ou encore 698 737 @gmail.com.

Le chiffre aurait pu être plus important, mais fort heureusement, le nom des utilisateurs et les adresses e-mails sont dorénavant hachés.

Base de données, cyberattaque

Piratage informatique : pendant ce temps, en Chine !

538 millions d’utilisateurs du site chinois Weibo à vendre dans le blackmarket.

Un pirate informatique que je baptiserai Торговец-изгой vient de proposer à la vente une base de données d’une taille non négligeable. Elle concerne les données des utilisateurs du site Weibo, un portail chinois.

Pour 150$ US, ce malveillant commercialise pas moins de 538 millions d’identifiants et les numéros de téléphones portables attenant. De quoi orchestrer quelques spams et autres phishing pour le blacknaute acquéreur.

backdoor, Chiffrement, cyberattaque

Faire face aux attaques de ransomware de type « Living Off the Land »

Les cyberattaques de type « living off the land » (ou LotL) constituent désormais l’une des menaces les plus redoutables pour les entreprises. La récente campagne de ransomware contre Kaseya n’est ainsi que le dernier exemple en date, dans lequel les cybercriminels ont utilisé les ressources technologiques de l’organisation contre elle. Ces types d’attaques procurent en effet aux cybercriminels deux leviers clés : l’accès et le temps.

Si ces attaques LotL ne se concluent pas toujours par un ransomware, les deux vont de plus en plus souvent de pair et sont aussi difficiles à évaluer qu’à prévenir. Une stratégie de protection efficace commence donc par une solide compréhension de ce qui constitue une attaque par ransomware LotL et des dommages qu’elle peut causer.

Dès 2017, les attaques de malwares sans fichier ont commencé à attirer l’attention du grand public après la divulgation de rapports faisant état d’infections de systèmes IT de plusieurs grandes organisations. Or, ces malwares sans fichier ont rendu possibles les attaques LotL. En éliminant la nécessité de stocker la charge utile malveillante dans un fichier, ou de l’installer directement sur une machine, les cybercriminels peuvent alors échapper aux antivirus, et aux autres outils traditionnels de sécurité des terminaux. Ils se déplacent ensuite latéralement dans l’environnement, en escaladant les privilèges et en dévoilant de nouveaux niveaux d’accès, jusqu’à ce qu’ils atteignent le but ultime : les systèmes, les applications et les bases de données contenant des actifs commerciaux essentiels, tels que les données clients, la propriété intellectuelle, les ressources humaines.

Malwares sans fichier

Pour se maintenir dans les systèmes sans être détectés, ces malwares sans fichier se font souvent passer pour un outil de confiance doté de privilèges et d’accès élevés. Cela permet aux attaquants de surveiller l’environnement, de récupérer des identifiants, en prenant tout le temps nécessaire. Il est extrêmement difficile d’identifier, et encore plus d’arrêter, ces attaques, surtout s’il s’agit d’un ransomware sophistiqué qui cible spécifiquement l’organisation. Pour y faire, il n’y a pas d’autre choix que de penser comme des attaquants, tout en gardant à l’esprit qu’une campagne n’est pas nécessairement identique à une autre. Le cheminement des attaques LotL n’est en effet pas linéaire. L’objectif est donc de déchiffrer l’environnement et de développer une approche fondée sur ce qui s’y trouve.

La plupart des attaques LotL suivent ainsi un schéma similaire : usurper des identités pour s’infiltrer dans un réseau d’entreprise, compromettre des systèmes, élever des privilèges et se déplacer latéralement jusqu’à obtenir l’accès aux systèmes sensibles nécessaires à l’exécution de l’attaque ou à la propagation du ransomware. Mais à chaque étape, il existe des possibilités divergentes qui rendent le suivi et l’anticipation de ces attaques très complexes. Les équipes IT doivent donc bénéficier des outils nécessaires pour décomposer les comportements et les indicateurs d’alerte à surveiller, lors des étapes critiques d’une attaque par ransomware LotL, et ce, afin d’accélérer la détection et de réduire l’exposition et les dommages.

Cependant, compte tenu du nombre de techniques éprouvées dont disposent les cybercriminels, il peut se révéler difficile de savoir comment traiter les points de vulnérabilité ou par où commencer. L’élaboration d’une stratégie de protection efficace contre les ransomwares exige des organisations qu’elles étudient les maillons de la chaîne d’attaque qui présentent les niveaux de risque les plus élevés et qu’elles les classent par ordre de priorité. Ainsi, une sécurisation des terminaux à plusieurs niveaux – combinant la défense par le moindre privilège, l’authentification forte des identités, la protection contre le vol d’informations d’identification, le contrôle des applications et le blocage des ransomwares – compliquera considérablement la tâche des hackers qui voudront s’introduire et maintenir leur présence. Car une fois qu’ils ont un pied dans le réseau informatique, il leur est facile de brouiller les pistes et d’intensifier leur action. (Par Ketty Cassamajor, Responsable Avant-Vente Europe du Sud chez CyberArk)

cyberattaque, Cybersécurité

Cyberattaques : l’immobilisation des entreprises coûte bien plus cher qu’on ne le pense

Il faudra s’y habituer, la digitalisation croissante amène avec elle son lot de problèmes et parmi ceux-ci se trouvent les cyberattaques. Leur puissance et leur structure varient selon la cible choisie mais la conséquence est identique pour toutes les victimes : une immobilisation totale ou partielle de l’appareil productif pour une durée indéterminée. S’en suit alors un véritable chemin de croix pour les structures qui cherchent à se remettre de ces attaques.

Cyberattaque : une méthodologie précise et difficilement détectable

A l’origine de telles attaques se trouve, encore et toujours, l’argent comme principale motivation. Qu’il soit réclamé via une demande de rançon ou obtenu par la revente de données entreprises, il est toujours au centre des préoccupations des hackers. Pour parvenir à leurs fins, ces derniers doivent donc déployer une stratégie qui nécessite parfois plusieurs mois de préparation selon la structure ciblée. Dans certains cas, les hackers cherchent à s’infiltrer très tôt et mettent leurs programmes en dormance via la technique de l’obfuscation. Ils peuvent ainsi effacer leurs traces et déclencher leur attaque quelques semaines/mois plus tard.

Au cœur de la méthodologie d’une cyberattaque, la première étape est celle de la reconnaissance, elle consiste à récupérer un maximum d’informations – mails, téléphones, noms – sur une ou plusieurs personnes de l’entreprise. Cette phase de social engineering permet de trouver un point d’entrée qui est, dans la majorité des cas, celui de l’email. Qu’il s’agisse d’employer la méthode du phishing, l’installation de malware ou en ayant recours aux arnaques au président, l’objectif, une fois à l’intérieur des systèmes d’informations, est d’effectuer des mouvements latéraux permettant aux hackers d’infiltrer et de toucher d’autres éléments du réseau de l’entreprise. L’attaque se déploie plus largement et capte ainsi davantage de données et paralyse les serveurs internes.

Une production durement et durablement touchée

L’un des premiers réflexes pour les entreprises est de couper leurs systèmes d’informations pour limiter la casse et éviter que l’attaque ne se propage davantage en interne. Un réflexe de survie qui leur permet d’organiser une riposte et d’accélérer le retour à une situation normale. Si les directions des systèmes d’information, pour les entreprises qui en disposent, sont sur le pied de guerre pour colmater les brèches, elles ne peuvent cependant que constater les dégâts causés.

Et ces derniers peuvent avoir un impact très important sur la production et la mener à son immobilisation pendant un certain temps. En témoigne la récente cyberattaque dont a été victime Colonial Pipeline, un important réseau d’oléoducs qui transporte près de 45% des carburants de la côte Est des Etats-Unis, et qui a provoqué un arrêt de l’approvisionnement durant plusieurs jours. Cela a généré des mouvements de panique au sein de la population qui ont eu pour conséquence des pénuries dans certaines stations essence. En fin de compte, la société a dû verser près de 4,4 millions de dollars de rançon aux hackers.

Des exemples comme celui-ci montrent qu’une immobilisation de la production, même de courte durée, peut entraîner de lourdes pertes financières pour les entreprises touchées par les cyberattaques ainsi que pour les acteurs de leur écosystème.

Prévention des cyberattaques : un défi humain

Dans un processus de retour à la normale, il est possible que certaines entreprises décident de payer immédiatement une rançon contrairement à d’autres qui tentent de contrer l’intrusion dans leur système d’information. Dans les deux cas, il n’est jamais tout à fait certain que ce type d’attaque ne se reproduise pas. Il est donc utile de s’assurer en interne qu’il existe une stratégie de prévention comme les plans de reprise d’activité (PRA) qui se déclenchent à la suite d’un sinistre. Cela revient également à investir dans des solutions de protection d’application ainsi que dans celles qui visent à détecter les attaques et à les bloquer en amont. En somme, Il ne s’agit pas de savoir si le système d’information sera touché, mais plutôt quand il le sera.

Malgré toutes les dispositions technologiques prises, de nouvelles attaques toujours plus puissantes et vicieuses parviendront à contourner les nombreux systèmes de sécurité mis en place par les entreprises. L’un des enjeux de ces prochaines années se situe donc au niveau de la prévention humaine. L’idée d’un firewall humain n’est possible que si les collaborateurs d’une entreprise sont formés à reconnaître les signes d’une cyberattaque. Cet aspect sera d’autant plus important que la transition digitale des entreprises s’est largement accélérée depuis la crise du Covid-19 et avec elle le nombre de cyberattaques qui a été multiplié par quatre entre 2019 et 2020 en France. Il est donc essentiel et urgent d’instaurer un système de responsabilité partagée qui permettra, à défaut d’atteindre le risque zéro, de préparer au mieux les entreprises à de futures attaques.

cyberattaque

Payer la rançon : le meilleur moyen d’être attaqué une seconde fois…

Les résultats d’une étude mondiale sur le ransomware menée en avril 2021 auprès de 1263 professionnels de la sécurité (aux États-Unis, en Allemagne, Espagne, Royaume-Uni, à Singapour et aux Émirats Arabes Unis, et comptant 150 professionnels français) affiche que la moitié des organisations interrogées au niveau mondial ont été victimes d’un ransomware lors des deux dernières années. L’étude démontre surtout que payer la rançon n’est pas la meilleure voie à suivre.

Dans la très grande majorité des cas, les entreprises ayant payé ont été attaquées une seconde fois : c’est le cas pour 60% des entreprises en France et 80% dans le monde.

Dans de nombreux cas les données ont tout de même été compromises, malgré le paiement : 53% des entreprises françaises estiment que leurs données ont été compromises, et sont donc toujours exposées, malgré le paiement de la rançon (45% au niveau mondial).

« Le paiement d’une rançon ne garantit en effet pas une reprise réussie. Et surtout cela ne fait qu’exacerber le problème en encourageant de nouvelles attaques. Il faut encourager les entreprises à prendre les devants sur la menace en sensibilisant et en s’équipant en solutions de sécurité axée sur la prévention » déclare Lior Div, directeur général et cofondateur de Cybereason.

Autre élément d’intérêt : les 3 pays (de l’étude) les plus ciblés par les ransomwares sont aussi ceux qui payent le moins les rançons !

Avec 70% d’entreprises ciblées au cours des 24 derniers mois, la France est bien plus ciblée par les ransomwares que les États-Unis par exemple, où environ 30% des entreprises ont dû affronter ces acteurs malveillants. L’Espagne (72%) et l’Allemagne (70%) sont les deux autres nations analysées dans le cadre de l’étude ayant été les plus ciblées.

En revanche, contrairement aux idées reçues, les pays les plus ciblés ne sont pas forcément ceux qui payent le plus : plus de 80% des entreprises américaines ont déclaré avoir accepté de payer la rançon, plus de 73% au Royaume-Uni, alors qu’elles sont moins de 50% en France (environ 43% en Espagne et 40% en Allemagne).

Les entreprises subissent des conséquences sur le long terme

  • 39% des organisations françaises ont fait état d’une perte significative de revenus à la suite d’une attaque par ransomware. Elles sont 44% au niveau mondial.
  • En France, 19% des organisations ont déclaré la démission de cadres dirigeants suite à une attaque (45% au Royaume-Unis et 50% aux Émirats arabes unis)
  • Pire, 22% des entreprises attaquées par rançongiciel ont été contraintes de cesser leur activité (c’est environ 26% au niveau mondial).

Le rapport complet mis à disposition de la presse par Cybereason révèle également dans quelles mesures les pertes subies par l’entreprise peuvent être couvertes par une cyberassurance, dans quelles mesures les organisations sont préparées à faire face aux menaces de ransomware avec des politiques de sécurité et des ressources adaptées, et des informations plus détaillées sur l’impact des attaques par ransomware par région, taille d’entreprise et secteur vertical.

En outre, le rapport fournit des données exploitables sur les types de solutions de sécurité que les organisations avaient en place avant une attaque, ainsi que sur les solutions les plus souvent mises en œuvre par les organisations après avoir subi une attaque par ransomware.

Cyber-attaque, cyberattaque, Cybersécurité

Les pirates ont eu accès à un code source de Rapid7 à la suite du piratage de Codecov

Comme a pu l’indiquer le spécialiste de la cybersécurité Rapid7, des pirates informatiques ont eu accès à une petite partie de ses référentiels de code source à la suite du piratage d’un outil de développement logiciel, Codecov.

« Des personnes non autorisées, en dehors de Rapid7, ont obtenu un accès à un petit sous-ensemble de nos référentiels de code source pour les outils internes de notre service Managed Detection and Response. Ces référentiels contenaient des informations d’identification internes. Des informations remplacées et des données liées aux alertes pour un sous-ensemble de nos clients » indique l’entreprise dans un communiqué de presse.

Le 15 avril 2021, le développeur d’outils d’audit logiciel, la startup Codecov, a averti les utilisateurs que son outil Bash Uploader avait été malmené. Une cyberattaque datant du 31 janvier 2021. Des inconnus avaient modifié l’outil de Rapid7 en y plaçant une porte cachée. Par cette méthode, les attaquants ont pu accéder aux réseaux de centaines de clients Codecov.

Les pirates ont réussi à accéder aux réseaux Codecov en raison d’une erreur de démarrage lors du processus de création d’image Docker, ce qui leur a permis d’extraire les informations d’identification nécessaires pour modifier le script Bash Uploader.

Les pirates ont apporté des « modifications périodiques non autorisées » au code, ce qui leur a permis d’envoyer des informations stockées dans les environnements d’intégration continue (CI) des utilisateurs du script à un serveur tiers.

Selon l’avis de Rapid7, il n’y avait aucune preuve que les malveillants aient pu accéder à d’autres systèmes ou environnements de production, ou que des modifications malveillantes avaient été apportées à ces référentiels.