Archives de catégorie : Chiffrement

Chiffrement, Cybersécurité

Les géants de la technologie face au défi des messageries chiffrées

Catherine De Bolle, directrice d’Europol, appelle les entreprises technologiques à collaborer avec les forces de l’ordre pour encadrer les messageries chiffrées, jugeant leur inaction dangereuse pour la démocratie européenne et la lutte contre la criminalité.

Le chiffrement de bout en bout des messageries instantanées, tout en protégeant la vie privée des utilisateurs, suscite de vives inquiétudes en Europe. Catherine De Bolle, directrice d’Europol, alerte sur les risques de l’utilisation abusive de cette technologie par des criminels pour cacher leurs activités. Selon elle, les entreprises technologiques doivent assumer leur responsabilité sociétale en facilitant un accès légal aux communications cryptées. Cette problématique, déjà source de débats depuis plusieurs années, gagne en intensité avec l’augmentation des crimes organisés et des cyberattaques utilisant ces outils. Lors du Forum économique mondial de Davos, les autorités européennes ont affiché leur souhait d’intensifier la pression sur les grandes entreprises technologiques pour trouver un compromis respectant à la fois la vie privée et les impératifs de sécurité. Ce débat soulève des enjeux cruciaux pour l’équilibre entre droits fondamentaux et protection collective au sein de la démocratie européenne.

Chiffrement et criminalité : un défi pour la sécurité publique

Le chiffrement de bout en bout, utilisé par des messageries telles que WhatsApp, Signal ou Telegram, assure que seuls les interlocuteurs peuvent lire les messages échangés. Si cette technologie est essentielle pour protéger les droits à la vie privée et la confidentialité, elle est également exploitée par des criminels pour échapper à la surveillance des forces de l’ordre. Catherine De Bolle affirme que cette situation crée des zones d’ombre où les criminels opèrent en toute impunité, ce qui complique les enquêtes sur des affaires de terrorisme, de trafic de drogue ou de cybercriminalité.

Le cas d’EncroChat illustre parfaitement ce phénomène. En 2020, cette plateforme sécurisée, conçue initialement pour garantir la confidentialité des communications, est devenue un outil prisé des réseaux criminels. Lorsque les autorités européennes ont réussi à infiltrer le réseau, elles ont découvert des milliers de messages liés à des activités illicites, allant du trafic d’armes à des meurtres commandités. Cette opération a permis de démontrer que le chiffrement, en l’absence de régulation, pouvait être détourné pour faciliter des crimes graves.

Cependant, ce débat oppose deux principes fondamentaux. D’un côté, la sécurité publique exige des outils efficaces pour lutter contre les menaces. De l’autre, la protection des données personnelles reste un pilier des droits fondamentaux. Catherine De Bolle insiste sur l’urgence de trouver un équilibre, affirmant que “l’anonymat total ne peut être un droit absolu si la sécurité collective est en jeu”.

Les conséquences de cette problématique dépassent largement le cadre de l’Europe. À travers le monde, des criminels exploitent le manque de régulation et la réticence des entreprises technologiques à coopérer, créant ainsi un environnement où l’impunité prospère.

L’implication des entreprises technologiques : entre responsabilité et résistance

Pour les autorités européennes, le rôle des entreprises technologiques est central dans ce débat. Ces dernières, souvent basées en dehors des juridictions européennes, défendent la confidentialité des utilisateurs comme une priorité absolue. WhatsApp, propriété de Meta, et Signal, plateforme indépendante, ont plusieurs fois réaffirmé leur opposition à tout système permettant aux gouvernements d’accéder aux messages chiffrés, même dans le cadre d’enquêtes judiciaires.

Cette résistance repose sur des arguments solides. Premièrement, affaiblir le chiffrement mettrait en danger des millions d’utilisateurs, exposant leurs données à des cyberattaques ou à des abus potentiels par des gouvernements autoritaires. Deuxièmement, les entreprises craignent une perte de confiance de leurs utilisateurs, ce qui pourrait compromettre leur position sur un marché de plus en plus compétitif.

Cependant, les forces de l’ordre estiment que cette position intransigeante entrave gravement la lutte contre les crimes organisés. En Allemagne, dès 2020, une proposition de loi visait à autoriser les services de renseignement à contourner le chiffrement pour accéder à des communications suspectes. Bien que cette législation n’ait pas abouti, elle témoigne de l’urgence pour certains gouvernements d’intervenir face à des menaces grandissantes.

Catherine De Bolle propose une approche fondée sur le dialogue. À l’approche du Forum économique mondial de Davos, elle prévoit de rencontrer des représentants de grandes entreprises technologiques pour explorer des solutions viables. Parmi les pistes envisagées, on trouve l’idée d’un accès restreint et strictement encadré aux messages chiffrés, avec des mandats judiciaires rigoureux comme garde-fou.

Une réponse européenne face à un dilemme mondial

Au sein de l’Union européenne, les discussions autour d’une régulation du chiffrement s’intensifient. La Commission européenne explore plusieurs pistes pour contraindre les entreprises technologiques à collaborer dans le cadre d’enquêtes judiciaires. Parmi les propositions les plus débattues figure l’idée d’une clé de déchiffrement réservée aux autorités compétentes, un mécanisme qui permettrait de contourner le chiffrement dans des cas très spécifiques.

Cette solution soulève toutefois de nombreuses critiques. Des experts en cybersécurité avertissent qu’introduire une “porte dérobée” pourrait affaiblir la sécurité globale des systèmes et exposer les données des utilisateurs à des risques accrus. En outre, cela pourrait nuire à la confiance dans les plateformes européennes, poussant les utilisateurs à migrer vers des services moins régulés.

Face à ces enjeux, les États membres de l’UE adoptent des positions divergentes. La France milite pour une régulation stricte, estimant que la sécurité collective prime sur la confidentialité absolue. Les Pays-Bas, à l’inverse, prônent une approche plus mesurée, craignant que des mesures radicales n’aient des effets négatifs sur l’innovation et les droits numériques. Trouver un consensus au niveau européen reste un défi, mais les pressions pour agir augmentent face aux menaces transnationales.

Ce débat dépasse les frontières de l’Europe. Aux États-Unis, les législateurs ont également soulevé la question, bien que les entreprises technologiques américaines, comme Apple, continuent de s’opposer à toute forme de déchiffrement forcé. En Australie, une loi adoptée en 2018 exige des entreprises qu’elles fournissent un accès aux forces de l’ordre, mais elle a suscité une vive opposition de la part des défenseurs des droits numériques.

Chiffrement, Cybersécurité, Entreprise

Entreprise : tentative d’extorsion de données en interne

Le 27 août 2024, Daniel Ryan, un résident de Kansas City, Missouri, âgé de 57 ans, a été arrêté pour tentative d’extorsion de données suite à une opération de cyber-chantage menée contre son ancien employeur, une entreprise industrielle basée dans le comté de Somerset, New Jersey. Cet événement marquant soulève des questions cruciales sur la sécurité des systèmes informatiques et les vulnérabilités internes que certaines entreprises doivent affronter.

Un ancien employé devient cybercriminel

Daniel Ryan, un ancien ingénieur en infrastructures, a été inculpé de trois chefs d’accusation : extorsion par menace de dommages à un ordinateur protégé, dommages intentionnels à un système informatique protégé, et fraude électronique. Ces charges résultent d’une tentative de sabotage et d’extorsion visant à paralyser le réseau informatique de l’entreprise, à moins qu’une somme non spécifiée ne soit versée.

L’arrestation de Ryan met en lumière l’importance de la confiance placée dans les employés ayant accès à des informations sensibles. L’ancien employé, après avoir quitté son poste, a réussi à conserver un accès non autorisé aux systèmes de l’entreprise, exploitant cette faille pour lancer son attaque.

Tentative d’extorsion : un scénario de chaos planifié

L’affaire a débuté lorsque Ryan a envoyé plusieurs lettres de menace à des employés de l’entreprise le 25 novembre 2023, affirmant que le réseau de l’entreprise avait été compromis. Dans ces lettres, il indiquait que tous les administrateurs IT avaient été « exclus ou supprimés » du réseau et que les sauvegardes de données avaient été détruites. Plus alarmant encore, Ryan menaçait de fermer 40 serveurs par jour pendant une période de 10 jours si l’entreprise refusait de se plier à ses exigences.

Cette menace, visant à paralyser totalement l’activité de l’entreprise, souligne l’impact potentiel d’une cyberattaque initiée de l’intérieur, une menace souvent négligée par les entreprises.

L’enquête, menée par le ministère américain de la Justice (DoJ), a révélé que Daniel Ryan avait réussi à obtenir un accès à distance non autorisé au réseau de l’entreprise, en utilisant un compte administrateur. Il a configuré plusieurs tâches malveillantes, incluant la modification des mots de passe des administrateurs et l’arrêt des serveurs, compromettant ainsi la stabilité du réseau.

L’enquête a également découvert que Ryan avait utilisé des outils de hacking bien connus comme Sysinternals Utilities PsPasswd pour changer les mots de passe de l’administrateur de domaine et des comptes locaux, modifiant ces derniers pour qu’ils deviennent TheFr0zenCrew!. Cette modification lui a donné un contrôle quasi total sur les systèmes informatiques de l’entreprise.

De plus, Ryan avait mis en place une machine virtuelle cachée qui lui permettait d’accéder à distance aux systèmes de l’entreprise, dissimulant ses traces grâce à des techniques sophistiquées comme l’effacement des journaux Windows. Les autorités ont également découvert des recherches effectuées par Ryan sur la façon de changer les mots de passe administrateurs à travers des lignes de commande.

Procès et sanctions sévères

Daniel Ryan, après son arrestation, a immédiatement comparu devant la justice. Pour les trois chefs d’accusation retenus contre lui, il risque une peine maximale de 35 ans de prison et une amende de 750 000 dollars. Ce cas de cybercriminalité met en lumière la sévérité des peines encourues pour les crimes liés à l’extorsion et à la fraude électronique, ainsi que l’importance d’une sécurisation renforcée des systèmes IT, même après le départ d’un employé.

L’arrestation de Daniel Ryan est un rappel frappant des dangers internes auxquels les entreprises sont confrontées en matière de cybersécurité. Il est impératif que les entreprises mettent en place des procédures strictes de contrôle d’accès, en particulier lorsque des employés quittent l’organisation, afin de minimiser les risques d’abus. Des systèmes de surveillance renforcés, associés à des pratiques de cybersécurité rigoureuses, sont essentiels pour prévenir de telles attaques internes à l’avenir.

En résumé, la tentative infructueuse d’extorsion de Daniel Ryan démontre les risques liés à une mauvaise gestion des accès IT et souligne la nécessité de rester vigilant face aux menaces internes. Le secteur de la cybersécurité doit continuer à évoluer pour faire face à ces défis en constante mutation, garantissant ainsi la protection des données critiques des entreprises.

Chiffrement, cryptage, Cybersécurité, quantique

Premières connexions quantique en Belgique

Un pas vers une communication ultra-sécurisée : Les premières connexions de Distribution de Clés Quantiques (QKD) ont été déployées en Belgique.

La Belgique en avant sur son temps. Le royaume vient de mettre en place ses premières connexions de Distribution de Clés Quantiques (QKD). Le projet BeQCI a installé trois connexions initiales dans le cadre de son réseau QKD.

BeQCI est une initiative belge au sein du projet européen plus large EuroQCI, se concentrant sur la distribution de clés quantiques (QKD). Elle vise à pallier les limitations des systèmes QKD existants en déployant diverses technologies QKD, y compris DV-QKD, MDI-QKD, CVQKD et QKD par satellite, interfacées dans différentes topologies. Grâce à la collaboration avec les services publics fédéraux, les hôpitaux, les banques, les centres de recherche, les universités et les ONG, BeQCI cherche à comprendre la demande du marché et à démontrer la fiabilité et les avantages du QKD. En favorisant les liens transfrontaliers, BeQCI contribue à la construction d’une infrastructure de communication quantique sécurisée, assurant une distribution robuste des clés de chiffrement pour une cybersécurité renforcée en Europe et au-delà.

Les 3 connexions incluent :
Une connexion entre deux campus de l’université de Gand (UGent).
Une connexion entre Redu et Transinne, utilisée par l’ESA et le CETIC.
Une connexion entre deux centres de données Belnet.

QKD est une forme de cryptographie basée sur la technologie quantique, rendant impossible l’observation ou la copie des données sans détection. Cela garantit la sécurité des informations même face aux futurs ordinateurs quantiques.
Le projet BeQCI, en collaboration avec Belnet, imec et UGent.

La Distribution de Clés Quantiques (Quantum Key Distribution, QKD) est une méthode de communication sécurisée qui utilise les principes de la mécanique quantique pour distribuer des clés cryptographiques entre deux parties. Voici un aperçu de son fonctionnement et de ses avantages :

Bits Quantiques (Qubits) : La QKD utilise des bits quantiques, ou qubits, qui peuvent exister dans plusieurs états simultanément grâce au principe de superposition quantique.
Intrication (Entanglement) : Deux qubits peuvent être intriqués, ce qui signifie que l’état de l’un est directement lié à l’état de l’autre, peu importe la distance qui les sépare.
Principe d’Incertitude d’Heisenberg : En mécanique quantique, toute mesure d’un système quantique perturbe inévitablement ce système. Cela signifie qu’une tentative d’interception des clés quantiques sera détectée par les parties légitimes.

Protocole BB84

Le protocole BB84, développé par Charles Bennett et Gilles Brassard en 1984, est l’un des premiers et des plus célèbres protocoles de QKD. Voici comment il fonctionne :
Préparation des Qubits : L’émetteur (Alice) envoie des qubits à travers un canal quantique en utilisant différentes bases de polarisation (par exemple, rectiligne ou diagonale).

Mesure des Qubits : Le récepteur (Bob) mesure les qubits en choisissant aléatoirement entre les mêmes bases de polarisation. Environ la moitié des mesures de Bob seront dans la bonne base.

Annonce Publique : Alice et Bob communiquent sur un canal classique pour comparer les bases utilisées. Ils conservent seulement les bits où ils ont utilisé les mêmes bases.
Extraction de la Clé : Après la comparaison, les bits restants constituent une clé partagée secrète.

Avantages de la QKD

Sécurité Inconditionnelle : La QKD offre une sécurité théorique inconditionnelle basée sur les lois de la physique quantique plutôt que sur des hypothèses mathématiques.

Détection d’Espionnage : Toute tentative d’interception perturbera les qubits et sera détectée, permettant aux parties de savoir si la clé a été compromise.

Longue Durée de Vie des Clés : Les clés générées par QKD peuvent rester sécurisées même avec l’avènement des ordinateurs quantiques, contrairement à de nombreux systèmes cryptographiques classiques.

Distance et Atténuation : Les qubits peuvent être facilement perturbés ou perdus sur de longues distances, limitant actuellement la portée des systèmes QKD.

Infrastructure : La mise en place d’une infrastructure QKD est coûteuse et complexe, nécessitant des équipements spécialisés comme des détecteurs de photons uniques.

Intégration : L’intégration des systèmes QKD avec les réseaux de communication classiques pose des défis techniques.

Chiffrement, Cybersécurité, VPN

VPN : un bug permettait de connaitre les sites web visités

L’équipe derrière le VPN ExpressVPN a émis un avertissement concernant la nécessité de retirer la fonctionnalité de split tunneling de leur logiciel. Cette décision a été prise après la découverte d’un défaut lié à cette option, lequel exposait les noms de domaines consultés par les utilisateurs.

Février 2024, un défaut a été identifié par les experts de CNET et concernait uniquement les versions de l’application ExpressVPN pour Windows (de la version 12.23.1 à la 12.72.0) distribuées entre le 19 mai 2022 et le 7 février 2024. Le problème se manifestait exclusivement chez les utilisateurs activant le split tunneling, une fonction permettant de diriger une partie du trafic internet soit via le VPN, soit en dehors, facilitant ainsi un accès local sécurisé. À cause de cette faille, les requêtes DNS des utilisateurs bypassaient l’infrastructure sécurisée d’ExpressVPN pour être redirigées vers les serveurs DNS du fournisseur d’accès internet (FAI) de l’utilisateur.

Normalement, les requêtes DNS transitent par les serveurs d’ExpressVPN empêchant les Fournisseurs d’Accès à Internet et autres entités de suivre les activités en ligne des utilisateurs. Toutefois, ce bug a conduit certaines de ces requêtes vers les serveurs DNS par défaut du système de l’utilisateur (généralement ceux du FAI), permettant ainsi de détecter les sites web consultés par l’utilisateur. Les clients sous Windows et ayant activé le split tunneling rendaient leur historique de navigation accessible. Gênant !

« Ce défaut redirigeait certaines requêtes DNS vers un serveur externe, généralement celui du FAI. Cela donnait au FAI la possibilité de connaître les domaines consultés par l’utilisateur, comme google.com, sans toutefois pouvoir accéder aux pages spécifiques, aux requêtes de recherche ou à d’autres activités en ligne. L’intégralité du trafic internet de l’utilisateur restait cryptée, rendant son contenu invisible au FAI ou à toute autre partie externe« , ont expliqué les développeurs d’ExpressVPN.

Ce problème n’aurait touché qu’environ 1 % des utilisateurs Windows et qu’il avait été observé uniquement en mode split tunneling.

Les utilisateurs ont été invités à mettre à jour leur logiciel vers la version la plus récente.

Chiffrement, cyberattaque, ransomware

Un petit vaccin pour le ransomware Rhysida

Des chercheurs en Corée du Sud ont identifié une faille dans le ransomware Rhysida, permettant la création d’un outil de décryptage gratuit pour les fichiers Windows affectés. Toutefois, certains experts critiquent la divulgation de ce défaut.

Lancé mi-2023, le groupe de pirates Rhysida a ciblé des secteurs variés, dont l’éducation et la santé. La Bibliothèque nationale britannique figure parmi ses victimes notables, ayant subi une attaque à l’automne. L’Université Kookmin et la KISA ont révélé une vulnérabilité dans le générateur de nombres pseudo-aléatoires de Rhysida, exploitée pour générer des clés de déchiffrement uniques par attaque, permettant ainsi de concevoir un outil pour restaurer les données chiffrées sans frais.

Ils ont détaillé dans leur étude que Rhysida utilisait LibTomCrypt pour le chiffrement et traitait les données en parallèle pour une efficacité accrue. Le programme appliquait un chiffrement discontinu, une stratégie courante chez les ransomwares pour accélérer le processus tout en évitant la détection, en alternant entre chiffrement et non-chiffrement de segments de données. Le décryptage fut possible grâce à l’analyse du modèle de chiffrement et l’application sélective de la clé correcte.

Les chercheurs ont expliqué que Rhysida se servait d’un CSPRNG basé sur l’algorithme ChaCha20 pour créer des clés de chiffrement, utilisant une valeur initiale dérivée de l’heure système, rendant la graine prévisible. En exploitant cette faille, ils ont mis au point une méthode pour reconstruire l’état du CSPRNG en testant différentes valeurs initiales, permettant de prédire les nombres aléatoires et de restaurer les fichiers chiffrés sans la clé originale.

Leur outil de décryptage est disponible sur le site de la KISA, avec un rapport technique et des instructions d’utilisation.

Peu après cette révélation, Fabian Vosar a indiqué que d’autres avaient découvert cette vulnérabilité mais avaient choisi de ne pas la rendre publique. Avast (octobre 2023), le CERT français (juin 2023), et Vosar lui-même, en mai 2023, avaient identifié la faille, permettant le décryptage de nombreux systèmes. Vosar a précisé que cette faille ne s’applique qu’à la version Windows de Rhysida, et non aux versions ESXi ou PowerShell, avertissant que les créateurs de Rhysida pourraient rapidement corriger cette vulnérabilité, rendant la récupération de fichiers sans rançon de nouveau impossible.

Chiffrement, cryptage, Cybersécurité

Lutte contre la pédopornagraphie : lettre ouverte de scientifique pour protéger l’anonymat

Des parlementaires européens proposent une alternative à la loi contre la pédopornographie, qui aurait contraint les entreprises du secteur technologique à surveiller massivement les contenus des utilisateurs. Cette nouvelle mouture vise à protéger les enfants sans violer la vie privée des citoyens et à maintenir l’intégrité du chiffrement.

Pendant des mois, la Commission européenne a travaillé sur une régulation visant à freiner la propagation de la pédopornographie. Cette initiative, qui aurait obligé les plateformes technologiques à inspecter systématiquement les appareils des utilisateurs pour du contenu inapproprié via des logiciels basés sur l’IA, a suscité de nombreuses controverses.

Elle aurait aussi signifié la fin du chiffrement. Permettre le scannage de fichiers, machines, correspondances, obligerait de ne pas chiffrer, et sécuriser, les documents pour être lus par l’IA.

Ce projet a soulevé des inquiétudes quant à sa conformité avec les lois européennes sur la vie privée. De plus, des questions ont émergé sur la précision du logiciel de détection : une grand-mère pourrait-elle être faussement identifiée en envoyant une simple photo de son petit-fils à la piscine ? En juillet 2023, environ 150 scientifiques ont exprimé leurs préoccupations concernant les implications de cette proposition sur la vie privée et la sécurité en ligne.

Suite à ces critiques, un groupe de parlementaires a introduit une alternative. Elle demande aux entreprises technologiques et plateformes en ligne d’adopter des mesures proactives, comme la vérification de l’âge des utilisateurs. Les comptes des mineurs sur des plateformes telles qu’Instagram ou YouTube seraient privés par défaut, empêchant ainsi les contacts non désirés. Sont-ils au courant que cela existe déjà ? En France, par exemple, la loi instaure une majorité numérique à 15 ans. Avant, les enfants ne peuvent pas s’inscrire sur les réseaux. La loi oblige les plateformes à mettre des solutions techniques de contrôle. Instagram interdit les inscriptions de personnes de moins de 13 ans. TikTok indique aussi 13 ans [14 ans au Quebec]. Selon le blog du modérateur, le top 3 des réseaux sociaux les plus utilisés par la Gen Z (11 / 14 ans) : Instagram : 90 % (+6 % par rapport à 2022), Snapchat : 80 % (+4 %), TikTok : 63 % (+53 % par rapport à 2020).

Contrairement à la proposition initiale, cette version ne mandate le scan des contenus que dans des circonstances spécifiques, basées sur des preuves fournies par les autorités policières. De plus, les scans ne seraient réalisés que sur des plateformes sans chiffrement, éliminant ainsi la nécessité de créer des « backdoors ».

Cette proposition révisée devrait être examinée par le Conseil de l’Europe et la Commission européenne avant un vote final. – Avec DataNews.

Chiffrement, cryptage, Cybersécurité, Hacking

Le lecteur flash le plus sécurisé au monde piraté

Des hackers ont réussi à pirater le lecteur flash le plus sécurisé au monde, l’IronKey S200.

IronKey S200, un lecteur flash qui se veut le plus sécurisé au monde. Il utilise un système de protection des données avancé et s’auto détruit irrévocablement si vous entrez 10 fois le mauvais mot de passe.

L’éditeur de Wired a proposé le piratage de l’appareil à la startup Unciphered, spécialisée dans la récupération de portefeuilles cryptographiques et de périphériques matériels. L’équipe a passé 8 mois à développer une méthode de piratage et a finalement réussi.

Après une expérience réussie, la startup s’est tournée vers Stefan Thomas, devenu célèbre pour avoir oublié le mot de passe de son IronKey, où 7002 BTC sont stockés depuis 12 ans. Stefan a refusé l’offre de piratage, affirmant que deux équipes de hackers travaillaient sur le problème depuis longtemps.

Aujourd’hui, la valeur des bitcoins dans le portefeuille de Stefan est d’environ 235 millions de dollars. Il ne lui reste plus que 2 tentatives de mot de passe sur les 10 alloués par l’IronKey.

Le Trésor américain envisage de déclarer les cryptomixers centres de blanchiment d’argent et appelle à des mesures restrictives , affirmant que leurs principaux clients sont des terroristes.

APT, Chiffrement, Cybersécurité

Le ransomware Cuba déploie un nouveau logiciel malveillant

Découvertes concernant le groupe de ransomware connu sous le nom de Cuba : le groupe a récemment déployé des logiciels malveillants qui ont échappé à la détection avancée, et ciblé des organisations partout dans le monde, compromettant ainsi des entreprises œuvrant dans divers secteurs d’activité.

En décembre 2022, des spécialistes  de la cybersécurité détectaient un incident suspect sur le serveur d’un de ses clients, avec la découverte de trois fichiers douteux. Ces fichiers ont déclenché une séquence de tâches qui ont conduit au chargement de la bibliothèque komar65, aussi appelée BUGHATCH.

BUGHATCH est une porte dérobée sophistiquée qui se déploie dans la mémoire du processus. Le programme exécute un bloc de shellcode intégré dans l’espace mémoire qui lui est alloué à l’aide de l’API Windows, qui comprend diverses fonctions. Il se connecte ensuite à un serveur de commande et de contrôle (C2) en attente d’autres instructions. Il peut recevoir des commandes pour télécharger des logiciels tels que Cobalt Strike Beacon et Metasploit. L’utilisation de Veeamp dans l’attaque suggère fortement l’implication de Cuba dans le déploiement de cette attaque.

Un moustique dans le serveur

Le fichier PDB fait notamment référence au dossier « komar », un mot russe signifiant « moustique », ce qui indique la présence potentielle de membres russophones au sein du groupe. En menant une analyse plus poussée, des experts ont découvert d’autres modules distribués par Cuba, qui améliorent les fonctionnalités du logiciel malveillant. L’un de ces modules est chargé de collecter des informations sur le système, qui sont ensuite envoyées à un serveur via des requêtes HTTP POST.

Poursuivant son enquête, les chercheurs ont identifié de nouveaux échantillons de logiciels malveillants attribués au groupe Cuba sur VirusTotal. Certains de ces échantillons étaient passés entre les mailles de la détection avancée fournie par d’autres fournisseurs de sécurité. Ces échantillons représentent de nouvelles itérations du logiciel malveillant BURNTCIGAR, exploitant des données cryptées pour échapper à la détection antivirus.

« Les gangs de ransomware comme Cuba évoluent rapidement, tout en affinant leurs tactiques, il est donc essentiel de rester à l’avant-garde pour contrer efficacement les attaques potentielles. Face à l’évolution constante du paysage des cybermenaces, la connaissance est l’ultime défense contre les groupes cybercriminels émergents« , a déclaré Kaspersky.

Cuba est une souche de ransomware à fichier unique, difficile à détecter, car elle fonctionne sans bibliothèques additionnelles. Ce groupe russophone est connu pour sa victimologie étendue, et cible des secteurs tels que la vente au détail, la finance, la logistique, les agences gouvernementales et la fabrication en Amérique du Nord, en Europe, en Océanie et en Asie. Les agents malveillants œuvrant au sein de Cuba utilisent un mélange d’outils publics et propriétaires, mettent régulièrement à jour leur boîte à outils et utilisent des tactiques telles que BYOVD (Bring Your Own Vulnerable Driver).

L’une des caractéristiques de leur opération consiste à modifier les dates et les heures des fichiers compilés afin d’induire les enquêteurs en erreur. Par exemple, certains échantillons trouvés en 2020 avaient une date de compilation du 4 juin 2020, alors que les horodatages de versions plus récentes étaient affichés comme étant datées du 19 juin 1992. Leur approche unique consiste non seulement à crypter les données, mais aussi à adapter les attaques pour extraire des informations sensibles, telles que des documents financiers, des relevés bancaires, des comptes d’entreprise et du code source. Les entreprises de développement de logiciels sont particulièrement exposées. Bien que Cuba soit sous les feux des projecteurs depuis un certain temps maintenant, ce groupe reste dynamique et affine constamment ses techniques.

Chiffrement, Cybersécurité

Scanner les internautes pour lutter contre la pédopornographie

Plus de 150 scientifiques ont signé une lettre ouverte exprimant leurs inquiétudes concernant une proposition de la Commission européenne. Cette proposition demanderait aux plates-formes technologiques de scanner automatiquement les appareils des utilisateurs à la recherche de contenu pédopornographique. Les scientifiques soulignent les problèmes potentiels liés à la cybersécurité et à la confidentialité, ainsi que les limites techniques de cette approche.

Inquiétudes concernant la proposition de scannage des appareils : La proposition de la Commission européenne vise à lutter contre la pédopornographie en exigeant que les services de messagerie, tels que WhatsApp, scannent les messages à la recherche de contenu interdit. Les scientifiques mettent en évidence le fait que la principale méthode actuelle de détection de la pédopornographie consiste à comparer les images existantes avec une base de données d’images hashées. Cependant, cette approche peut être contournée en apportant de légères modifications aux images. De plus, la proposition exige que les nouvelles images soient scannées à la recherche de comportements de grooming grâce à l’utilisation de l’apprentissage machine. Bien que cette méthode puisse être précise, elle entraîne également des erreurs et des faux positifs, ce qui peut avoir un impact considérable sur la confidentialité des utilisateurs.

Conséquences pour la vie privée et la cybersécurité : Les auteurs de la lettre ouverte expriment leurs préoccupations quant à l’impact de la proposition sur le cryptage bout-à-bout, une mesure de protection de la confidentialité de plus en plus utilisée dans les services de messagerie. La proposition suggère l’utilisation du « client-side scanning » (CSS), qui impliquerait le suivi des activités de l’utilisateur sur son appareil. Les scientifiques craignent que cela puisse être utilisé à des fins abusives et entraîner une surveillance généralisée. De plus, ils soulignent le risque de mission creep, où le CSS pourrait être utilisé non seulement pour détecter des contenus pédopornographiques, mais également pour d’autres formes de criminalité ou pour restreindre la liberté d’expression.

Réflexions !

Les scientifiques cosignataires de la lettre mettent en garde contre les conséquences potentiellement négatives de la proposition de la Commission européenne sur la vie privée et la cybersécurité des citoyens de l’UE. Ils soulignent que cette approche ne garantit pas une réelle efficacité dans la lutte contre la pédopornographie, car les auteurs de tels contenus pourraient simplement chercher refuge ailleurs. La réglementation proposée suscite donc des préoccupations quant à son respect de la vie privée et à sa faisabilité technique. Il est essentiel de trouver un équilibre entre la protection des victimes de la pédopornographie et le respect des droits fondamentaux des utilisateurs.

Les critiques de la proposition soulignent également que des approches alternatives pour lutter contre la pédopornographie sont disponibles. Par exemple, la collaboration étroite entre les autorités compétentes et les plateformes technologiques pourrait permettre de signaler rapidement et efficacement tout contenu illicite. De plus, des mesures préventives telles que l’éducation et la sensibilisation du public pourraient contribuer à réduire la diffusion de ce type de contenu.

Chiffrement, Cybersécurité, Securite informatique

Proxy jacking : détournement SSH

Proxy jacking : Des hackers malveillants détournent les serveurs SSH en les attachant à un réseau proxy.

Les attaques en ligne sont devenues une préoccupation majeure pour les entreprises et les utilisateurs individuels. Une nouvelle menace a été identifiée par les experts d’Akamai Technologies, mettant en évidence une campagne de proxy jacking qui cible les serveurs SSH vulnérables. Les attaquants exploitent les serveurs pour lancer un service Docker qui utilise la bande passante de la victime pour alimenter un réseau proxy commercial.

Cette technique, moins visible que le cryptojacking, offre aux attaquants un moyen discret de générer des avantages financiers en utilisant la bande passante des victimes. Dans cet article, nous allons examiner de plus près cette menace croissante et discuter des mesures que vous pouvez prendre pour protéger vos serveurs SSH contre les attaques de proxy jacking.

Les attaques de proxy jacking

Les attaques de proxy jacking sont une méthode sophistiquée utilisée par les attaquants pour détourner les serveurs SSH vulnérables. Une fois qu’ils ont obtenu un accès à distance au système, les attaquants déploient un service Docker qui partage le canal Internet de la victime avec un réseau proxy commercial. Contrairement au cryptojacking, cette attaque est beaucoup moins visible, ce qui réduit considérablement le risque de détection précoce. Les attaquants utilisent cette méthode pour obtenir des avantages financiers en exploitant la bande passante supplémentaire de la victime, pour laquelle ils reçoivent une récompense du propriétaire du service proxy.

Les chercheurs notent que, contrairement au cryptojacking, de telles attaques sont beaucoup plus discretes : elles chargent beaucoup moins de ressources, ce qui réduit le risque de détection. L’objectif : obtenir des avantages financiers, seuls les proxyjackers n’utilisent pas la puissance de l’ordinateur, mais la bande passante supplémentaire de la victime, pour laquelle ils reçoivent une récompense du propriétaire du service proxy – comme Peer2Profit ou Honeygain.

Le rôle des services proxy

Les services de proxy de trafic sont des outils légaux couramment utilisés par les annonceurs et d’autres utilisateurs. Les participants à ces réseaux proxy installent volontairement un logiciel spécialisé sur leurs machines, permettant ainsi le partage de leur bande passante inutilisée avec d’autres appareils. Malheureusement, ces outils et services ne sont pas à l’abri des abus. Les attaquants exploitent depuis longtemps les proxys pour masquer la source du trafic malveillant et recherchent activement des services qui offrent un anonymat similaire.

Détection d’une campagne de proxy jacking

Dans cette campagne de proxy jacking, les pirates informatiques ont réussi à installer un script Bash obscurci après avoir détourné un serveur vulnérable. Ce script recherche et met fin à tous les processus concurrents, puis lance un service Docker pour partager la bande passante de la victime. Une analyse plus approfondie a révélé que le logiciel malveillant obtenait toutes les dépendances nécessaires du serveur Web compromis, y compris un outil de ligne de commande Curl déguisé en fichier CSS (csdark.css). (Akamai)