Archives de catégorie : cyberattaque

cyberattaque, Piratage

Des milliers d’esclaves sauvées de camps de concentration dédiés aux escroquerie en ligne bloqués à la frontière thaïlandaise

Plus de 7 000 personnes, récemment libérées de camps de concentration spécialisé dans les escroqueries en ligne Birman, se retrouvent bloquées à la frontière thaïlandaise, incertaines de leur avenir. Ces individus, originaires de 29 pays, attendent leur rapatriement dans des conditions précaires.

Depuis plus d’une semaine, ces victimes du trafic humain, principalement issues de l’industrie des escroqueries en ligne, sont détenues dans un centre à la frontière thaïlandaise. Malgré quelques rapatriements récents, des milliers d’autres demeurent en attente, la Thaïlande exigeant des garanties de leurs pays d’origine pour les accueillir.

Jeudi, 84 Indonésiens secourus ont été autorisés à traverser la frontière depuis la ville de Myawaddy et seront rapatriés par avion à Jakarta vendredi, selon le ministère indonésien des Affaires étrangères. La semaine précédente, plus de 600 personnes avaient été rapatriées en Chine. Cependant, des milliers d’autres restent piégées dans l’incertitude, la Thaïlande souhaitant obtenir des garanties que leurs pays d’origine accepteront leur retour avant de les laisser entrer. Des esclaves obligé de produire des escroqueries en ligne par milliers comme le montrait ZATAZ en 2022.

L’essor des escroqueries en ligne en Asie du Sud-Est

Ces dernières années, la Birmanie, le Cambodge et le Laos sont devenus des centres névralgiques pour des gangs criminels transnationaux, principalement chinois, spécialisés dans les escroqueries aux investissements en cryptomonnaies. Ces gangs attirent des travailleurs avec de fausses offres d’emploi et les forcent à opérer dans des conditions proches de l’esclavage. Privés de leurs documents et sous surveillance constante, les travailleurs sont contraints de mener des arnaques en ligne ciblant des victimes dans le monde entier.

La Karen Border Guard Force (BGF), une milice birmane alliée à la junte militaire, a joué un rôle ambigu dans cette crise. Elle est accusée d’avoir facilité l’expansion de centres d’escroquerie, notamment à Shwe Kokko, tout en étant à l’origine de la libération récente de milliers de travailleurs. Cette action s’inscrit dans un contexte de pressions croissantes de la part des gouvernements thaïlandais et chinois pour démanteler ces réseaux criminels, notamment après un incident très médiatisé : l’enlèvement d’un acteur chinois en Thaïlande, qui avait été transféré de force au Myanmar.

Une crise humanitaire à la frontière thaïlandaise

La libération soudaine de milliers de travailleurs a engendré une crise humanitaire à la frontière thaïlandaise. Le gouvernement thaïlandais a indiqué que ces individus ne seraient autorisés à entrer sur le territoire que si leurs pays d’origine acceptaient officiellement de les rapatrier. Le vice-Premier ministre et ministre de la Défense, Phumtham Wechayachai, a exprimé son inquiétude quant à la gestion des détenus, soulignant que si la milice BGF les relâchait tous en même temps, cela pourrait provoquer un exode massif et incontrôlable.

« Si cela se produit, ils fuiront en masse comme un essaim d’abeilles« , a-t-il déclaré au journal thaïlandais The Nation. Il a exhorté le ministère des Affaires étrangères à conclure des accords de rapatriement rapidement, mais à ce jour, la plupart des détenus se trouvent toujours en Birmanie.

Les conditions de vie dans les camps sont difficiles. Selon la BBC, de nombreuses personnes secourues sont en mauvaise condition physique, souffrant de malnutrition et d’un accès insuffisant à la nourriture et aux soins médicaux.

Un avenir incertain pour des milliers de victimes

La diversité des nationalités des victimes complique leur rapatriement. Plus de 4 800 d’entre elles sont originaires de Chine, suivies par des citoyens vietnamiens, indiens et éthiopiens. Bien que certaines aient pu regagner leur pays, notamment les Indonésiens qui ont traversé la frontière avec la Thaïlande, des milliers d’autres restent en attente.

Le gouvernement thaïlandais a déjà pris des mesures drastiques pour contrer l’industrie des escroqueries en ligne en Birmanie. Plus tôt ce mois-ci, il a coupé l’électricité, le carburant et l’accès à Internet dans trois régions du Myanmar, suivant une visite du ministre adjoint chinois de la Sécurité publique, Liu Zhongyi, qui a exhorté Bangkok à faire davantage pour réprimer ces activités illicites.

Cependant, les gangs adaptent leurs stratégies pour contourner ces restrictions. Selon Wired, de nombreux sites frauduleux situés dans la région de Myawaddy utilisent désormais Starlink, le service Internet par satellite, pour maintenir leurs activités malgré les coupures de connexion imposées par la Thaïlande.

Le nombre de personnes victimes de trafic humain dans le cadre de ces opérations frauduleuses est estimé à plus de 100 000 au Myanmar. La Thaïlande, en tant que carrefour régional, joue un rôle clé dans la gestion de cette crise.

Cette situation met en évidence l’ampleur du trafic humain lié aux escroqueries en ligne et pose une question cruciale : la communauté internationale doit-elle intervenir pour assurer un rapatriement rapide et sécurisé de ces victimes, tout en renforçant la lutte contre ces réseaux criminels transnationaux ?

cyberattaque, Entreprise

Chronopost victime d’une cyberattaque : 210 000 clients compromis ?

Le 28 janvier 2025, Chronopost découvre une cyberattaque compromettant les données personnelles de 210 000 clients, exposant noms, adresses et signatures.

Le 28 janvier 2025, Chronopost, leader français de la livraison express, a été la cible d’une cyberattaque majeure. Cette intrusion aurait conduit à la fuite des données personnelles de 210 000 clients, incluant noms et adresses. Etonnamment, j’ai lu dans certains médias que le pirate avait eu accès aux signatures. Détail que le pirate n’a pas exprimé. Il a cependant indiqué dans sa petite annonce « Cette base de données contient des informations sur plus de 7,3 millions d’utilisateurs, comprenant à la fois des clients particuliers et des entreprises. » Les conséquences potentielles pour les clients sont préoccupantes et faciles à définir, notamment en matière de sécurité et de confidentialité. Le pirate, fan de Thorfinn de la saga manga Vinland ou encore de Jing (Arcane), connu sous le pseudonyme de akldvg/arkeliaad, n’est pas à son coup d’essai dans le vol de bases de données.

Le 29 janvier 2025, Chronopost détecte une intrusion dans son système informatique. Une détection assez facile. Il faut dire aussi que le pirate a diffusé une petite annonce vue par des centaines de personnes sur le forum Breached. Ce bad hacker indique avoir exfiltré les informations la veille, le 28 janvier.

Le cybercriminel aurait réussi à accéder aux données personnelles. Chronopost parle de 210 000 clients. Le pirate affiche, lui, l’exfiltration de 7 millions. Les informations compromises comprennent les noms, prénoms, adresses postales, numéros de téléphone et, dans certains cas, les signatures apposées lors des livraisons [ce que le pirate n’indiquait pas dans sa petite annonce].

Chronopost a rapidement informé les clients concernés et a renforcé la sécurité de ses systèmes pour prévenir de futures attaques. Chronopost a acheté la base de données au pirate ? Non, évidement ! L’échantillon diffusé par le pirate a permis à la société de retrouver la porte d’entrée et les données collectées par le malveillant.

Conséquences pour les clients

La fuite de ces données sensibles expose les clients à plusieurs risques. Elles peuvent être utilisées pour créer de faux documents ou accéder à des services en se faisant passer pour les victimes. Des messages frauduleux ciblés sont possible (Les phishing Chronopost sont déjà trés nombreux, NDR). Chronopost a annoncé travailler avec les autorités pour identifier les auteurs de l’attaque et sécuriser ses systèmes.

cyberattaque, Cybersécurité

La convention sur la cybercriminalité adoptée par l’onu

La Convention sur la cybercriminalité, approuvée par l’Assemblée générale des Nations unies après cinq années de négociations, marque un tournant majeur dans la coopération internationale. Adoptée par consensus, elle vise à mieux coordonner la lutte contre les délits informatiques. Désormais, les 193 États membres devront ratifier ce texte pour le rendre pleinement effectif.

Cette Convention, qui entrera en vigueur 90 jours après sa ratification par un nombre suffisant de pays, est conçue pour harmoniser les définitions d’infractions liées à la cybercriminalité et faciliter les enquêtes transfrontalières. Les délits informatiques, allant du vol de données à la fraude en ligne, pèsent déjà plusieurs trillions de dollars sur l’économie mondiale. L’accord propose un cadre inédit pour l’échange de preuves électroniques, la collaboration judiciaire et la mise en place de mécanismes de prévention. Les organisations internationales, dont le Bureau des Nations unies contre la drogue et le crime (UNODC), saluent cet effort historique, tout en reconnaissant les interrogations que suscite l’absence de garanties explicites sur la confidentialité et les libertés fondamentales. De grands acteurs de la technologie ainsi que des défenseurs des droits humains redoutent en effet des abus potentiels, en particulier si certains gouvernements utilisent ce traité pour renforcer leurs dispositifs de surveillance ou réprimer la société civile.

Un cadre juridique inédit

La Convention contre la cybercriminalité, élaborée à l’initiative de l’Assemblée générale de l’ONU, se veut la réponse la plus complète à ce jour face à la menace grandissante des crimes informatiques. Depuis plusieurs années, la complexité des enquêtes numériques pose de nombreux défis aux forces de l’ordre, qui peinent à appréhender des individus exploitant le caractère transfrontalier d’internet. Les États cherchaient un texte universel allant plus loin que la Convention de Budapest, jugée insuffisamment mondiale ou inadaptée pour ceux qui ne l’avaient pas signée.

Adoptée sans vote formel, la Convention actuelle reflète la volonté commune d’offrir un socle de règles partagées. Les gouvernements espèrent limiter l’existence de « paradis numériques » où les cybercriminels opèrent sans crainte, en profitant de législations nationales floues ou d’un manque de coopération internationale. Le nouveau traité définit ainsi une liste d’infractions — piratage de réseaux, phishing, diffusion de rançongiciels, blanchiment d’argent en ligne, entre autres — et suggère des standards minimaux pour l’échange de données entre autorités compétentes.

Le volet « coopération judiciaire » est au cœur de cet accord : les services d’enquête peuvent désormais réclamer de l’aide à leurs homologues étrangers afin d’obtenir des informations cruciales, comme l’identification de titulaires de comptes, l’accès aux adresses IP ou la récupération de données situées sur des serveurs hors de leurs frontières. Cette approche se veut rapide et efficace, dans un monde où chaque minute compte pour identifier les responsables de cyberattaques ou de fraudes en ligne.

Les négociateurs ont insisté sur des mécanismes devant garantir que l’entraide judiciaire respecte le droit interne de chaque pays et ne viole pas ses impératifs de sécurité nationale. Une clause permet à un État de refuser une demande de coopération s’il estime qu’elle contrevient à ses obligations constitutionnelles ou qu’elle risque de porter atteinte à ses intérêts fondamentaux. Pour les promoteurs de la Convention, ce dispositif constitue un garde-fou essentiel, même si les organisations de défense des libertés estiment qu’il pourrait se révéler insuffisant face à des usages abusifs.

L’UNODC, par la voix de sa directrice exécutive, Ghada Waly, a souligné l’importance de ce cadre mondial : les pays victimes de cyberattaques n’auront plus à se lancer dans des tractations longues et fastidieuses. L’idée est d’harmoniser le plus possible les incriminations, les procédures et la collecte de preuves, tout en proposant un accompagnement technique et logistique aux États qui manquent de ressources. Les Nations unies espèrent ainsi combler le déséquilibre qui rend certains territoires vulnérables, faute de moyens technologiques pour mettre en place des pare-feu, des logiciels de détection de malwares ou des équipes spécialisées en cyberenquête.

Les cybermenaces évoluent rapidement, et le traité inclut la possibilité de réviser régulièrement la liste des infractions couvertes, afin de tenir compte des nouvelles tendances criminelles. Avec l’essor fulgurant des ransomwares et la sophistication croissante des logiciels espions, les États se retrouvent parfois dépassés. Des groupes criminels organisés, voire des entités sponsorisées par certains régimes, orchestrent des attaques massives qui perturbent des secteurs entiers : hôpitaux, banques, infrastructures énergétiques ou systèmes gouvernementaux. Les experts soulignent que sans collaboration formalisée, les criminels exploitent les failles légales, passant d’une juridiction à l’autre pour brouiller les pistes.

Au-delà de la répression, le traité encourage des initiatives de prévention et d’éducation. Les gouvernements sont appelés à lancer des campagnes de sensibilisation, en expliquant aux citoyens comment repérer un mail suspect, protéger leurs mots de passe, sauvegarder leurs données et vérifier l’authenticité des sites web qu’ils consultent. Cet aspect préventif est jugé crucial pour réduire la surface d’attaque, car la vigilance des internautes et des entreprises demeure la première barrière contre les cyberfraudeurs.

La cérémonie de signature solennelle, prévue à Hanoi en 2025, symbolisera l’entrée dans une nouvelle ère. Une fois qu’un nombre suffisant d’États auront ratifié la Convention, ses dispositions deviendront juridiquement contraignantes pour tous les signataires, dans un délai de 90 jours. Les observateurs espèrent que cette dynamique poussera les pays à mettre à jour leurs lois internes, afin de mieux protéger leurs citoyens et de répondre efficacement aux requêtes étrangères.

Les partisans de cette Convention estiment qu’elle permettra de mieux repérer et poursuivre les individus qui se cachent derrière des attaques d’ampleur mondiale. Ils avancent que la collaboration formelle réduira les réticences politiques à transmettre des preuves, rendant plus complexes les stratégies d’anonymisation. Cependant, tout dépendra de la sincérité avec laquelle les gouvernements mettront en place ce nouveau cadre, et surtout de leur capacité à concilier lutte contre la criminalité et préservation des droits fondamentaux.

Des inquiétudes persistantes

Malgré la portée historique de ce traité, nombre d’organisations de la société civile et de groupes de défense des droits humains n’ont pas caché leur profonde préoccupation. Depuis la première ébauche de texte, en août 2023, plusieurs voix ont mis en garde contre des risques de dérive. Les critiques s’appuient sur le fait que la Convention n’inclut pas de langage clairement contraignant en matière de protection de la vie privée ou de liberté d’expression. Certains militants redoutent que des gouvernements autoritaires puissent la brandir pour renforcer leurs mécanismes de censure ou de surveillance.

Des sociétés technologiques majeures, regroupées au sein du Cybersecurity Tech Accord, ont également manifesté des réserves. Microsoft, Meta, Oracle ou encore Cisco craignent que la Convention ne serve à poursuivre des chercheurs en cybersécurité pour des motifs fallacieux. La ligne entre la découverte de vulnérabilités à des fins d’amélioration de la sécurité et l’intrusion illégale peut devenir floue si des gouvernements décident de qualifier la recherche de « piratage criminel ». Sans dispositions protectrices, cette inquiétude demeure vive dans l’industrie.

Les experts redoutent aussi que la Convention devienne un prétexte pour exiger l’accès à des données confidentielles, sans garanties suffisantes. Les plateformes hébergeant des services en ligne pourraient se retrouver contraintes de communiquer des informations sensibles à des autorités étrangères, y compris sur des utilisateurs innocents ou des opposants politiques. Le fait que le texte permette à un État de refuser une demande en cas de doute ne rassure qu’en partie. Dans la pratique, des pressions diplomatiques pourraient survenir, et certains pays pourraient accepter de transmettre des données pour maintenir de bonnes relations bilatérales.

Au sein des Nations unies, des responsables défendent la Convention en soulignant que de nombreux traités antérieurs contre la criminalité transnationale n’évoquaient pas non plus explicitement la question des droits humains, mais comprenaient des clauses générales renvoyant aux autres obligations internationales. Selon cette approche, les États demeurent liés par la Charte de l’ONU, la Déclaration universelle des droits de l’homme et les pactes relatifs aux droits civils et politiques. Ils estiment donc que la Convention cybercriminelle ne saurait justifier une violation flagrante de ces principes.

Certains gouvernements occidentaux se montrent partagés. L’administration américaine, après avoir hésité, a finalement soutenu le traité en arguant qu’il valait mieux participer à la rédaction pour en influencer le contenu et maintenir la possibilité d’amendements ultérieurs. Des parlementaires démocrates ont exprimé leurs réticences dans une lettre adressée à la Maison-Blanche, soulignant l’insuffisance de garanties portant sur la liberté d’expression et la nécessité de mieux encadrer l’intelligence artificielle pour éviter tout détournement répressif.

La question des responsabilités et des sanctions demeure cruciale. Comment faire en sorte qu’un État abuse de la Convention en toute impunité ? Les promoteurs du traité invoquent des mécanismes informels de pression diplomatique et l’attention des médias internationaux, qui pourraient dénoncer un usage disproportionné de l’accord à des fins de répression. Pourtant, l’absence d’une instance de surveillance indépendante dans ce dispositif préoccupe de nombreux militants, qui y voient la possibilité que des dérives passent sous silence.

Dans ce contexte, certaines organisations non gouvernementales prévoient de surveiller de près la mise en œuvre de la Convention. Elles entendent récolter des témoignages, compiler des données sur les demandes d’assistance transfrontalières et publier des rapports annuels pour mettre en lumière d’éventuels abus. Des initiatives similaires avaient été menées dans le passé autour de la Convention de Budapest, mais leur succès restait limité aux pays européens. Avec un texte désormais global, la tâche s’annonce plus complexe, puisqu’il faudra couvrir des juridictions très différentes.

Les inquiétudes se manifestent également sur la question du secret commercial et de la propriété intellectuelle. Dans un monde où la concurrence technologique est très forte, des entreprises craignent qu’un gouvernement exige, au nom de la lutte contre la cybercriminalité, l’accès à des codes sources, des algorithmes propriétaires ou des bases de données confidentielles. L’évolution rapide de l’intelligence artificielle soulève des enjeux inédits : un algorithme conçu pour la cybersécurité peut-il être considéré comme dangereux si un État estime qu’il facilite l’évasion numérique d’opposants ?

Les représentants onusiens ont tenté de rassurer en assurant que toute demande devrait être liée à une affaire criminelle précise, et que la Convention n’autorise pas la saisie de technologies ou de savoir-faire sans lien direct avec une enquête. Toutefois, l’expérience montre que la notion de « lien direct » reste sujette à interprétation. Lorsque la souveraineté et les intérêts nationaux s’en mêlent, la frontière entre un usage légitime du traité et une instrumentalisation politique peut se révéler ténue.

Malgré tout, le traité suscite un certain espoir : plusieurs pays d’Afrique, d’Asie ou d’Amérique latine ont indiqué leur volonté de se doter rapidement des outils nécessaires, tels que des laboratoires d’investigation numérique, des équipes spécialisées dans les rançongiciels ou la lutte contre l’exploitation en ligne. Certains États envisagent même des partenariats public-privé pour développer des centres de formation en cybersécurité. La Convention pourrait donc servir de catalyseur pour faire émerger un écosystème de compétences autour de la protection numérique, bénéfique au grand public comme au secteur économique.

Des perspectives d’avenir

Le véritable impact de la Convention contre la cybercriminalité dépendra de sa ratification et surtout de son application concrète. Chaque État devra transposer les dispositions dans son droit interne, mettre en place des procédures claires pour répondre aux demandes de coopération et garantir que les investigations menées sur son territoire respectent les principes fondamentaux de proportionnalité et de nécessité.

Les experts s’accordent à dire que la plus grande réussite de ce traité pourrait être sa capacité à renforcer la confiance internationale dans le cyberespace. En offrant un cadre de référence commun pour qualifier et poursuivre les délits informatiques, il peut réduire le risque de frictions politiques liées à des accusations mutuelles de piratage. Dans un monde où les tensions géopolitiques se cristallisent souvent autour de la question des intrusions numériques, l’existence de canaux de dialogue encadrés pourrait limiter les escalades et faciliter la diffusion d’informations fiables.

Les pays en développement, souvent en première ligne face à la cybercriminalité sans disposer des moyens nécessaires pour y faire face, aspirent à ce que la Convention leur apporte un véritable soutien technique. Les transferts de connaissances, la formation d’experts locaux, l’obtention de logiciels de détection ou de traçage des cyberattaques constituent autant d’éléments essentiels. L’ONU promet des programmes d’accompagnement, afin que le cyberespace ne demeure pas un terrain de jeu pour les seules économies puissantes.

La dimension économique ne saurait être négligée. Chaque année, les escroqueries, vols de données et sabotages informatiques pèsent lourdement sur les entreprises de toutes tailles. De grandes multinationales investissent déjà massivement dans la sécurité informatique, mais les PME et les infrastructures publiques sont plus vulnérables. En adoptant le traité, les gouvernements espèrent rassurer les investisseurs et les consommateurs, qui pourraient percevoir dans cette coordination internationale un gage de stabilité. Les interactions commerciales gagneraient en fluidité, sachant que le risque de fraude ou de vol de propriété intellectuelle est l’une des craintes majeures dans le commerce numérique transfrontalier.

Sur le plan diplomatique, la Convention ouvre une brèche pour des discussions plus approfondies sur la gouvernance d’internet. De nombreuses voix plaident pour un internet libre et ouvert, tandis que d’autres estiment nécessaire de renforcer les contrôles afin de lutter contre le cybercrime. Entre ces deux pôles, la Convention cherche un équilibre, mais il est probable que les négociations futures, ou les protocoles additionnels, réexaminent la question de la censure et de la surveillance. Certains estiment que seule une instance internationale permanente, chargée de superviser la bonne application du traité, pourrait répondre aux craintes de dérive.

L’harmonisation juridique doit aussi composer avec les spécificités culturelles et législatives. Les notions de diffamation, d’incitation à la haine ou même de pornographie diffèrent selon les pays. Certaines régulations, acceptables dans une société, pourraient être perçues comme liberticides ailleurs. Les ONG rappellent que, sans garde-fous, le champ du cybercrime pourrait s’étendre à des formes d’expression légitimes, visées par des gouvernements souhaitant étouffer la contestation.

Des entités comme Access Now, Privacy International ou Reporters sans frontières comptent poursuivre leur travail de plaidoyer, exigeant plus de transparence dans la mise en œuvre du traité. Par exemple, elles souhaitent que chaque demande d’information transfrontalière fasse l’objet d’un registre accessible à des organismes indépendants, chargés de vérifier si les enquêtes respectent les principes de droit. Une telle transparence diminuerait le risque de persécution politique ou religieuse déguisée en poursuite pour cybercrime.

L’innovation technologique, moteur de transformations rapides, risque de soulever de nouvelles questions quant à l’adaptabilité de la Convention. L’essor de l’intelligence artificielle générative, capable de créer du contenu trompeur ou de simuler des identités, pourrait conduire à la multiplication de fraudes sophistiquées. L’internet des objets (IoT) accroît la surface d’attaque, tandis que la 5G et la 6G offriront des débits plus élevés mais aussi des risques accrus si la sécurité n’est pas intégrée dès la conception des infrastructures. Les futurs protocoles additionnels, déjà évoqués dans l’architecture du traité, permettront d’ajuster en continu les champs d’action, selon les nouvelles menaces détectées.

La tenue de conférences internationales de suivi, tous les deux ou trois ans, est également prévue. Elles permettront aux parties signataires de partager leur retour d’expérience, d’évaluer l’efficacité des dispositions et, si nécessaire, de proposer des réformes. Les débats y seront certainement animés, car la cybercriminalité se retrouve à l’intersection de multiples problématiques : économie, droits humains, souveraineté, innovation, sécurité. Le succès de la Convention dépendra de la qualité du dialogue et de la volonté de parvenir à des compromis respectant à la fois la sécurité et la liberté.

La Russie, qui a introduit la résolution initiale en 2019, a promis de « coopérer pleinement » pour faire de la Convention un instrument efficace. Certains observateurs restent cependant prudents, rappelant que l’adoption du traité ne dissipe pas automatiquement les tensions géopolitiques. Les actions concrètes de chacun des 193 États membres détermineront la portée réelle de l’accord. Le texte consacre un certain nombre de principes, mais leur traduction dans la pratique requiert un effort continu, tant au niveau des gouvernements que des acteurs privés.

Enfin, le rôle des médias ne doit pas être négligé. Les journalistes spécialisés en cybersécurité, les magazines technologiques et les plateformes en ligne diffuseront régulièrement des analyses et des éclairages sur l’évolution de la Convention. L’opinion publique, de plus en plus sensible aux questions de vie privée et de sécurité, influencera l’acceptation ou la contestation de ce traité. Les États sauront qu’en cas d’abus, l’information risque de se propager très vite, exposant leur réputation à l’échelle mondiale.

Ainsi, la Convention sur la cybercriminalité présente un potentiel considérable pour endiguer la vague grandissante de délits informatiques. Elle apporte un cadre de travail commun, dessine une feuille de route pour la coopération judiciaire et promeut une éducation cybernétique plus développée. Toutefois, l’issue dépendra des choix politiques qui seront faits pour défendre les libertés individuelles, garantir la transparence et maintenir la confiance des citoyens dans un internet de plus en plus central dans la vie quotidienne.

La Convention sur la cybercriminalité, fruit d’un consensus international, marque une avancée significative dans la lutte contre les infractions numériques. En adoptant une approche coordonnée à l’échelle mondiale, les États espèrent tarir les réseaux de cybercriminels qui profitent de failles légales et de frontières peu adaptées à la réalité d’internet. L’harmonisation des législations, la facilitation de la coopération judiciaire et la mise en place de mécanismes de prévention sont autant d’éléments qui renforcent l’idée d’une réponse collective et cohérente.

Néanmoins, les préoccupations liées à la protection des droits fondamentaux et à la vie privée demeurent. L’absence de garde-fous explicites contre les dérives autoritaires ou les abus de surveillance interroge de nombreux observateurs. L’avenir du traité dépendra donc de la volonté réelle des gouvernements d’implémenter ses dispositions dans un esprit de transparence et de respect des libertés. Les mécanismes de contrôle, la pression diplomatique et l’implication des ONG seront essentiels pour éviter toute instrumentalisation.

Pour en savoir plus sur les risques et les opportunités liés à l’intelligence artificielle, abonnez-vous gratuitement à notre newsletter.

cyberattaque, Cybersécurité, Entreprise

Ransomware : Gueule de bois pour Stoli Group, le roi de la vodka

Stoli Group, célèbre fabricant de vodka, attribue son dépôt de bilan à une attaque de ransomware en août, aggravant une situation financière déjà tendue.

Le fabricant de vodka Stoli Group, connu pour ses produits emblématiques comme la vodka Stoli, a révélé qu’une attaque de ransomware en août 2024 avait considérablement aggravé ses difficultés financières, conduisant deux de ses filiales américaines à déposer le bilan. L’incident a désactivé son système ERP, obligeant l’entreprise à passer à une gestion manuelle, perturbant ses opérations et compliquant sa relation avec ses créanciers.

Ce ransomware, bien qu’aucun groupe n’ait encore revendiqué l’attaque, s’inscrit dans un contexte de défis multiples pour Stoli : des batailles juridiques prolongées avec le gouvernement russe, des sanctions internationales et une baisse de la demande post-pandémie. En proie à une dette de 84 millions de dollars, l’entreprise lutte pour maintenir ses opérations, visant une restauration de ses systèmes au premier trimestre 2025. Cette affaire illustre l’impact dévastateur des cyberattaques sur les grandes entreprises et leur stabilité financière.

Une attaque de ransomware paralysante

En août 2024, Stoli Group a été victime d’une attaque de ransomware ayant perturbé l’ensemble de son infrastructure informatique, y compris son système de planification des ressources (ERP). Ce système était crucial pour les opérations globales, et sa désactivation a forcé l’entreprise à basculer vers des processus manuels pour gérer ses fonctions internes, notamment la comptabilité.

Les perturbations causées par cette attaque ont également compliqué la communication avec les créanciers, Stoli étant incapable de fournir des rapports financiers actualisés. Cette incapacité à répondre aux exigences des prêteurs a aggravé la situation financière, contribuant directement au dépôt de bilan de ses filiales américaines, Stoli Group USA et Kentucky Owl.

« L’attaque a provoqué des problèmes opérationnels importants dans toutes les sociétés du groupe Stoli, y compris Stoli USA et KO, en raison de la désactivation du système de planification des ressources de l’entreprise (ERP) du groupe Stoli et du passage forcé de la plupart des processus internes du groupe Stoli (y compris les fonctions comptables) à un mode de saisie manuelle.« 

Aucun groupe de ransomware n’a encore revendiqué l’attaque, et la société n’a pas précisé si une rançon a été versée. Stoli vise à restaurer ses systèmes d’ici le premier trimestre 2025, mais les pertes opérationnelles restent lourdes.

La branche américaine de la société a été créée en 2013 et distribue tous ses produits aux États-Unis. En plus de la vodka homonyme Stoli, la société possède plusieurs autres marques internationales d’alcool.

Un contexte économique et juridique déjà tendu

L’impact du ransomware s’ajoute à une série de défis majeurs pour Stoli Group, dont des batailles juridiques prolongées avec le gouvernement russe. Depuis un décret de Vladimir Poutine en 2000 cherchant à renationaliser la marque, Stoli a été confrontée à une série de poursuites et de confiscations, culminant avec la saisie en 2022 de ses deux dernières distilleries en Russie, d’une valeur estimée à 100 millions de dollars.

En juillet 2024, un gouvernement local russe a qualifié Stoli d’« extrémiste », citant son soutien aux réfugiés ukrainiens. Ces mesures, combinées aux coûts juridiques globaux et à la perte d’actifs, ont mis une pression énorme sur les finances de l’entreprise.

La pandémie de COVID-19 et l’inflation ont également joué un rôle. Une baisse de la demande d’alcool, combinée à une hausse des coûts opérationnels, a entraîné une érosion des marges bénéficiaires, exacerbant les défis financiers.

Ransomware : une menace pour la stabilité des entreprises

L’attaque contre Stoli n’est pas un cas isolé. Les cyberattaques par ransomware continuent de causer des pertes massives aux entreprises dans divers secteurs. En 2023, la Brunswick Corporation a estimé les pertes liées à un ransomware à 85 millions de dollars, tandis qu’un libraire canadien a déclaré des pertes de 50 millions de dollars dues à une attaque ayant paralysé ses opérations pendant des semaines.

L’impact des ransomwares va au-delà des pertes financières immédiates, affectant la réputation des entreprises, leur relation avec les créanciers et leur capacité à maintenir des opérations normales. Applied Materials, fournisseur pour l’industrie des semi-conducteurs, a rapporté des pertes potentielles de 250 millions de dollars à cause d’une attaque contre l’un de ses fournisseurs.

Pour Stoli, cette attaque de ransomware a agi comme un catalyseur, accélérant un dépôt de bilan rendu inévitable par des pressions économiques, juridiques et opérationnelles multiples. Ces incidents soulignent la nécessité pour les entreprises de renforcer leurs défenses cybernétiques et de planifier des réponses rapides aux attaques.

L’attaque de ransomware contre Stoli Group illustre l’impact dévastateur des cyberattaques sur les grandes entreprises. Elle montre comment ces incidents, combinés à des pressions économiques et juridiques, peuvent pousser des organisations autrefois solides à la faillite.

En France, même constat pour l’opérateur Octave placé en redressement à la suite d’une cyberattaque. Une attaque informatique qui a mis au tapis l’entreprise, mais aussi et surtout de nombreuses entreprises partenaires, et leur boutique en ligne, obligées de ressortir, crayon et papier en magasin physique. Certaines boutiques ont été relancée… 3 mois aprés l’attaque !

Abonnez-vous à la newsletter de ZATAZ.COM et rejoignez notre groupe WhatsApp pour rester informé des dernières actualités et des meilleures pratiques en matière de cybersécurité.

cyberattaque, Cybersécurité

Cyberattaque chez Blue Yonder : le groupe Termite revendique le vol de 680 Go de données sensibles

Blue Yonder, géant des logiciels détenu par Panasonic, subit une cyberattaque majeure. Le gang Termite revendique 680 Go de données volées et plusieurs victimes mondiales.

Blue Yonder, fournisseur de solutions logicielles pour plus de 3 000 grandes entreprises dans 76 pays, est au cœur d’une cyberattaque revendiquée par le groupe Termite. Ce gang de ransomware, actif depuis avril, affirme avoir volé 680 Go de données, incluant des emails, documents d’assurance et informations sensibles d’entreprise. L’attaque, révélée le 21 novembre juste avant Thanksgiving, a provoqué des perturbations majeures dans les systèmes de ses clients, parmi lesquels des supermarchés, des fabricants et des entreprises comme Starbucks.

Blue Yonder, acquis par Panasonic en 2021 pour 8,5 milliards de dollars, a déclaré que plusieurs systèmes clients ont été rétablis et travaille en collaboration avec des experts en cybersécurité pour renforcer ses défenses. Cependant, cette attaque met en lumière la persistance des groupes de ransomware comme Termite, liés à la famille Babuk, et leur capacité à cibler des infrastructures critiques dans le monde entier.

Blue Yonder, une cible de choix pour le groupe termite

Blue Yonder, spécialiste des logiciels de gestion de la chaîne d’approvisionnement, est une cible stratégique. Ses solutions, utilisées par plus de 3 000 entreprises dans 76 pays, jouent un rôle clé dans la logistique, la livraison et les retours. L’impact d’une attaque sur une telle organisation dépasse ses propres systèmes, affectant directement les opérations de ses clients, dont des supermarchés et des géants comme Starbucks.

Le 21 novembre 2024, juste avant Thanksgiving, Blue Yonder a révélé qu’une cyberattaque avait compromis ses systèmes. Le gang Termite a revendiqué cette attaque, affirmant avoir volé 680 Go de données, incluant des emails, des documents financiers et des informations sensibles d’entreprise. Les déclarations de Termite soulignent leur audace, d’autant plus qu’ils ont déjà revendiqué des attaques contre des entités gouvernementales, comme celle de l’île de La Réunion.

Blue Yonder a confirmé que plusieurs clients touchés ont pu être remis en ligne, dont BIC, Starbucks et Morrisons, mais n’a pas précisé si une rançon avait été exigée. Cette attaque montre à quel point les infrastructures critiques restent vulnérables aux groupes de ransomware, qui évoluent et adaptent constamment leurs outils pour contourner les défenses.

Sainsbury’s, l’une des plus grandes chaînes de supermarchés du Royaume-Uni, a déclaré que ses services avaient été rétablis depuis qu’elle a été touchée par l’attaque par ransomware. Une autre grande chaîne de supermarchés britannique, Morrisons, a expliqué que l’attaque avait eu un impact sur les systèmes de gestion des entrepôts de l’entreprise pour les produits frais et les fruits et légumes.

Termite, un groupe de ransomware en pleine expansion

Le gang Termite, actif depuis avril 2024, a multiplié les attaques contre des cibles variées, allant d’entreprises privées à des institutions gouvernementales. Leur revendication de l’attaque contre Blue Yonder n’est pas un cas isolé : ils ont également pris pour cible l’administration de La Réunion et de nombreuses autres victimes à travers le monde, souvent sans confirmation officielle des entités touchées.

Selon les experts en cybersécurité, le code utilisé par Termite présente des similitudes avec celui de Babuk, un groupe de ransomware bien connu. Cependant, des analyses récentes menées par Trend Micro montrent que leur malware comporte encore des erreurs, ce qui suggère que le groupe est en phase d’apprentissage et d’évolution.

Les groupes comme Termite exploitent la cybercriminalité non seulement pour le gain financier, mais aussi pour semer la peur et la confusion parmi leurs victimes. Ces attaques mettent en évidence la nécessité pour les entreprises de renforcer leur cybersécurité et de collaborer avec des experts pour se protéger contre des groupes toujours plus sophistiqués. Termine est le groupe qui a attaqué le Département de La Réunion / Mayotte.

Impacts et enseignements pour les entreprises

Cette attaque rappelle l’importance cruciale de la cybersécurité pour les grandes entreprises. En 2021 déjà, Blue Yonder avait été victime d’un ransomware, montrant que les cybercriminels ciblent régulièrement les organisations qui gèrent des données sensibles ou des infrastructures critiques.

Depuis son acquisition par Panasonic en 2021 pour 8,5 milliards de dollars, Blue Yonder a renforcé sa présence sur le marché mondial. Cependant, ces gains attirent également l’attention des cybercriminels. Les conséquences d’une telle attaque peuvent être dévastatrices : perturbation des chaînes d’approvisionnement, perte de données critiques, atteinte à la réputation et, potentiellement, des coûts importants liés au paiement d’une rançon ou à la récupération des systèmes.

Les experts insistent sur l’importance d’un plan de réponse aux incidents, de la formation du personnel et de la collaboration avec des partenaires en cybersécurité pour prévenir les attaques futures. Le cas de Termite montre également que les groupes de ransomware deviennent de plus en plus agressifs et ne se limitent plus à demander une rançon, mais cherchent à maximiser leurs gains en exploitant les données volées.

Pour suivre les dernières actualités sur la cybersécurité et apprendre comment protéger votre entreprise, abonnez-vous à notre newsletter  et rejoignez notre groupe WhatsApp. Informez-vous pour anticiper les menaces et renforcer vos défenses numériques !

cyberattaque, Cybersécurité

Les cybercriminels de RansomHub utilisent TDSSKiller pour contourner les systèmes de sécurité

Les attaques par ransomware continuent d’évoluer avec l’ingéniosité des cybercriminels, et les méthodes de contournement des systèmes de sécurité se sophistiquent. RansomHub, un groupe de pirates notoire, exploite un outil légitime de Kaspersky Lab, TDSSKiller, pour désactiver les services de détection et de réponse des points finaux (EDR) sur les systèmes qu’ils ciblent.

Ce détournement des outils de cybersécurité souligne un défi majeur dans la lutte contre les ransomwares : l’utilisation d’outils authentiques et signés pour masquer des intentions malveillantes.

TDSSKiller, développé par Kaspersky Lab, est à la base un logiciel de sécurité conçu pour détecter et éliminer les rootkits et bootkits, des types de malwares difficiles à identifier et à éliminer. Ces programmes malveillants peuvent contourner les mesures de sécurité traditionnelles et s’intégrer profondément dans le système, ce qui rend leur élimination complexe.

Cependant, comme le rapporte Bleeping Computer, RansomHub a détourné l’utilisation de cet outil pour interagir avec les services au niveau du noyau du système infecté, désactivant ainsi les services anti-malware tels que MBAMService de Malwarebytes. Ce processus se fait via un script de ligne de commande ou un fichier batch, ce qui permet aux cybercriminels de désactiver les mécanismes de défense critiques et de s’assurer que leur présence sur le système reste inaperçue.

Comment RansomHub utilise LaZagne pour l’exfiltration des informations d’identification

Après avoir désactivé les systèmes de défense via TDSSKiller, les pirates de RansomHub passent à la collecte d’informations d’identification. Ils exploitent l’outil LaZagne, un autre programme légitime, pour extraire les informations de connexion stockées dans les bases de données d’applications. Cet outil peut accéder à des identifiants provenant de navigateurs, de clients de messagerie, de bases de données ou encore de logiciels de gestion de mots de passe.

Une fois les informations d’identification récupérées, les pirates peuvent se déplacer latéralement dans le réseau, escaladant leurs privilèges pour prendre le contrôle de nouveaux systèmes et y installer d’autres malwares ou finaliser une attaque de ransomware. Malwarebytes a enquêté sur une attaque où LaZagne avait généré 60 fichiers contenant des données volées, preuve de l’étendue des informations que ces cybercriminels peuvent exfiltrer.

Les implications pour les entreprises : vigilance et renforcement des défenses

L’utilisation d’outils légitimes dans des attaques malveillantes est particulièrement problématique pour les équipes de sécurité. TDSSKiller est signé avec un certificat valide, ce qui rend sa détection par des logiciels de sécurité standard difficile. Les solutions de sécurité doivent donc être adaptées pour reconnaître des comportements suspects, même s’ils émanent d’outils légitimes. Cela inclut l’analyse comportementale avancée et la mise en place de restrictions plus strictes quant à l’utilisation d’outils tels que TDSSKiller ou LaZagne dans des environnements sensibles. Malwarebytes a souligné que les attaquants de RansomHub ont cherché à dissimuler leurs traces en supprimant des fichiers après avoir exfiltré des données d’identification, un comportement typique visant à éviter la détection post-incident.

backdoor, cyberattaque, Cybersécurité

Crise évitée de justesse : comment une cyberattaque sur Linux a failli bouleverser Internet

Les développeurs et les experts en sécurité informatique ont récemment été secoués par une tentative d’attaque contre la chaîne d’approvisionnement logicielle, ciblant l’utilitaire de compression XZ Utils, largement utilisé dans les systèmes d’exploitation Linux. Cette tentative d’infiltration a mis en lumière les vulnérabilités humaines qui sous-tendent les infrastructures de l’Internet.

La récente découverte d’une porte dérobée dans le logiciel XZ Utils, largement utilisé dans les systèmes d’exploitation Linux, a secoué la communauté open source. Ce logiciel, essentiel pour la compression de données, s’est retrouvé au cœur d’une attaque de chaîne d’approvisionnement qui aurait pu compromettre des millions de serveurs à travers le monde.

Cette opération de longue haleine semble être l’œuvre d’une agence de renseignement, bien que l’identité exacte des instigateurs reste inconnue. Le cas de Jia Tan est particulièrement préoccupant puisqu’il a profité de la vulnérabilité d’un développeur [CVE-2024-3094] surmené pour prendre le contrôle de XZ Utils.

L’affaire commence lorsque Andres Freund, un ingénieur chez Microsoft, débusque une anomalie dans un protocole réseau, menant à la découverte d’une des attaques de chaîne d’approvisionnement les plus élaborées à ce jour. Un développeur peu connu, Jia Tan, avait commencé dès février à intégrer discrètement un code malveillant dans XZ Utils. Profitant de la vulnérabilité humaine, notamment la fatigue du seul développeur mainteneur du projet, Tan réussit à s’implanter comme responsable du logiciel, augmentant ainsi ses capacités d’insertion de code malveillant.

Cette situation exposait une faille critique dans la gestion de projets open source : la dépendance excessive à des individus isolés pour la maintenance de logiciels cruciaux.

L’alerte a été donnée par l’Agence de cybersécurité et de sécurité des infrastructures, avec un avertissement spécifique de Red Hat. L’incident, originaire d’octobre 2021, a été découvert presque par hasard, soulignant l’importance de la vigilance et de la collaboration au sein de la communauté open source.

Ce cas rappelle que la sécurité des logiciels open source n’est pas seulement une question de technologie mais aussi de confiance et de collaboration humaine. Les contributions de Jia Tan à d’autres projets tels que libarchive, qui se sont retrouvées dans de nombreux dispositifs, soulèvent des questions sur l’ampleur de la menace.

Heureusement, l’incident a été découvert à temps, évitant une catastrophe majeure. Mais il sert de rappel alarmant que même les outils les plus fondamentaux et largement utilisés, comme XZ Utils, peuvent être des cibles de choix pour des opérations d’espionnage menées par des acteurs étatiques.

cyberattaque, Cybersécurité

Phishing : le bilan alarmant de la cybersécurité

Un acteur majeur dans la lutte contre les cybermenaces a récemment publié les résultats édifiants de sa deuxième édition du baromètre annuel de la cybersécurité. Cette étude, basée sur l’analyse de 5,9 milliards de courriels et représentant plus de 2 millions d’utilisateurs, dévoile un panorama complexe et inquiétant de la cybersécurité actuelle.

En 2023, 1,6 milliard de courriers indésirables ont été interceptés et 143 millions de tentatives de cyberattaques, principalement sous forme de phishing, ont été neutralisées par la société MailingBlack, mettant en lumière l’ingéniosité et la persévérance des cybercriminels. L’étude révèle que des marques de confiance telles que La Poste, WeTransfer, Amazon, Microsoft, et Google sont fréquemment imitées dans le but de leurrer les utilisateurs. 7,6 % des spams contiennent des cybermenaces. 77,5 % de ces assauts numériques se manifestent par un hameçonnage exploitant des biais cognitifs humains tels que le stress, la curiosité, et l’appât du gain pour piéger les employés.

Les petites et moyennes entreprises (PME), suivies des administrations publiques, figurent parmi les cibles privilégiées. Ces entités, souvent moins armées contre les cybermenaces, se retrouvent en première ligne face à des adversaires numériques de plus en plus sophistiqués. Le secteur du commerce se distingue particulièrement, victime de 82 % des attaques exploitant des macros malveillantes dans des documents Word ou Excel, par exemple.

Par ailleurs, les postes de direction et les fonctions marketing sont particulièrement visés, soulignant la stratégie des attaquants de cibler les maillons clés au sein des organisations pour maximiser leur impact. Les postes de direction sont visés, en moyenne, 25 fois par mois. Vient ensuite, les postes marketing, avec 21 tentatives. Les postes administratifs arrivent quant à eux en troisième position, avec 9 tentatives par mois.

Les biais cognitifs auxquels les collaborateurs sont le plus sensibles, sont aussi les plus triviaux : le stress, la curiosité et l’appât du gain. Les messages pour les piéger varient peu, ou pas. Ils restent cependant très efficace. Voici quelques exemples repérés par ZATAZ et MailingBlack.

Promotions et événements spéciaux : “Profitez de notre offre exclusive Black Friday ! Des surprises incroyables vous attendent” ;
Facturation et paiements : “Alerte de facture impayée !” ;
Offres d’entreprise et bien-être : “Améliorez le bien-être de votre équipe ! Découvrez nos solutions exclusives” ;
Logistique et livraison : “Alerte de colis en attente ! Confirmez vos détails de livraison immédiatement !” ;
Sécurité et authentification : “Action requise pour votre sécurité ! Veuillez confirmer votre numéro de téléphone pour protéger votre compte”.

cyberattaque, Entreprise

Santé : impossible de distribuer des médicaments à la suite d’une cyber attaque

Les opérateurs du ransomware « Blackcat » ont été identifiés comme responsables de la récente panne chez Change Healthcare, une division technologique du groupe UnitedHealth spécialisée dans le traitement des réclamations d’assurance et des paiements dans le secteur de la santé aux États-Unis. Cette cyberattaque a entraîné une perturbation nationale, interrompant la distribution des médicaments sur ordonnance pendant une durée de six jours.

Notre quotidien repose fortement sur la fiabilité des chaînes d’approvisionnement. Des attaques d’envergure comme celles qui ont touché Colonial Pipeline ou MoveIT, ainsi que celles visant des prestataires de services IT tels que Kaseya et Materna, démontrent, quelle que soit leur ampleur ou leur secteur, l’importance cruciale d’adopter une démarche collective pour renforcer la cyber-résilience des services essentiels tels que la santé, l’énergie, l’eau et les transports.

L’impact en cascade d’une compromission au sein de la chaîne d’approvisionnement [La Supply chain] peut être catastrophique. La cyber-résilience est la capacité de maintenir des opérations attendues face à des incidents cybernétiques, et pour les infrastructures essentielles, cela inclut la gestion des incidents externes.

Les entités appartenant aux infrastructures vitales doivent s’assurer qu’elles sont préparées à continuer leurs opérations malgré une attaque et évaluer régulièrement les risques liés à leur chaîne d’approvisionnement. Il est crucial d’analyser et de réévaluer les dépendances tierces. Notamment, un plan de réponse aux incidents devrait prévoir des actions à entreprendre en cas d’indisponibilité ou d’attaque externe affectant la supply chain.

Si une dépendance est critique, il est vital pour les équipes IT de consulter leurs homologues sur leurs pratiques pour assurer la continuité des opérations dans de telles situations. Ce dialogue ouvre la voie à des discussions plus poussées sur l’amélioration de la résilience globale des infrastructures critiques.

Une cyberattaque contre une organisation peut compromettre la capacité d’une autre à traiter ses données. La compromission d’une identité privilégiée dans une entreprise peut provoquer des incidents dans une autre. Les capacités à s’adapter, à anticiper et à récupérer – éléments clés de la résilience – doivent être envisagées au-delà des limites d’une seule entreprise, en identifiant et en gérant les dépendances externes. »

Le cas c’est vue aussi, dernièrement, quand Bank America a été obligé d’alerter ses clients à la suite d’une fuite de données chez son prestataire IMS. Bank of America est l’une des plus grandes banques des États-Unis avec 69 millions de clients aux États-Unis et dans plus de 35 pays à travers le monde. Selon des documents fournis au procureur général du Texas, des informations personnelles sur des clients ont été divulguées, notamment leurs noms, adresses, numéros de sécurité sociale, dates de naissance, ainsi que des données financières, notamment des numéros de compte et de carte bancaire. 57 028 clients auraient été impactés début novembre 2023.

« Il est peu probable que nous soyons en mesure de déterminer avec certitude quelles informations personnelles ont été consultées à la suite de cet incident. » indiquait alors IMS ! IMS avait été bloqué par Lockbit, le 4 novembre 2023, affichant la prise d’otage de plus de 2 000 systèmes de l’entreprise. [Avec Reuters]

Chiffrement, cyberattaque, ransomware

Un petit vaccin pour le ransomware Rhysida

Des chercheurs en Corée du Sud ont identifié une faille dans le ransomware Rhysida, permettant la création d’un outil de décryptage gratuit pour les fichiers Windows affectés. Toutefois, certains experts critiquent la divulgation de ce défaut.

Lancé mi-2023, le groupe de pirates Rhysida a ciblé des secteurs variés, dont l’éducation et la santé. La Bibliothèque nationale britannique figure parmi ses victimes notables, ayant subi une attaque à l’automne. L’Université Kookmin et la KISA ont révélé une vulnérabilité dans le générateur de nombres pseudo-aléatoires de Rhysida, exploitée pour générer des clés de déchiffrement uniques par attaque, permettant ainsi de concevoir un outil pour restaurer les données chiffrées sans frais.

Ils ont détaillé dans leur étude que Rhysida utilisait LibTomCrypt pour le chiffrement et traitait les données en parallèle pour une efficacité accrue. Le programme appliquait un chiffrement discontinu, une stratégie courante chez les ransomwares pour accélérer le processus tout en évitant la détection, en alternant entre chiffrement et non-chiffrement de segments de données. Le décryptage fut possible grâce à l’analyse du modèle de chiffrement et l’application sélective de la clé correcte.

Les chercheurs ont expliqué que Rhysida se servait d’un CSPRNG basé sur l’algorithme ChaCha20 pour créer des clés de chiffrement, utilisant une valeur initiale dérivée de l’heure système, rendant la graine prévisible. En exploitant cette faille, ils ont mis au point une méthode pour reconstruire l’état du CSPRNG en testant différentes valeurs initiales, permettant de prédire les nombres aléatoires et de restaurer les fichiers chiffrés sans la clé originale.

Leur outil de décryptage est disponible sur le site de la KISA, avec un rapport technique et des instructions d’utilisation.

Peu après cette révélation, Fabian Vosar a indiqué que d’autres avaient découvert cette vulnérabilité mais avaient choisi de ne pas la rendre publique. Avast (octobre 2023), le CERT français (juin 2023), et Vosar lui-même, en mai 2023, avaient identifié la faille, permettant le décryptage de nombreux systèmes. Vosar a précisé que cette faille ne s’applique qu’à la version Windows de Rhysida, et non aux versions ESXi ou PowerShell, avertissant que les créateurs de Rhysida pourraient rapidement corriger cette vulnérabilité, rendant la récupération de fichiers sans rançon de nouveau impossible.