Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Cybersécurité, Entreprise

Protection des mineurs sur internet quelles sont les failles du Digital Services Act ?

Le DSA, Digital Services Act, réglementation européenne entrée pleinement en application le 17 février dernier, a pour objectif de lutter contre la propagation de contenus illicites, de désinformation sur le web et vise également à favoriser la transparence des plateformes vis-à-vis des consommateurs. Face à la généralisation de l’accès des enfants aux smartphones et aux tablettes, la protection des mineurs est donc l’un des enjeux prioritaires de cette nouvelle réglementation. Grazia Cecere, Professeure à Institut Mines-Télécom Business School, spécialiste de l’économie numérique, décrypte cette nouvelle législation.

Le Digital Services Act : acteurs concernés, objectifs et mesures mises en place

Samedi 17 février 2024, le Digital Services Act (DSA) est entré en effet ; il vise entre autres à rendre Internet plus sûr et plus transparent pour les citoyens européens. Cette réglementation va s’appliquer en particulier au gatekeepers – les très grandes plateformes en ligne et les très grands moteurs de recherche, utilisés par plus de 45 millions d’Européens par mois, désignés par la Commission européenne – tels que TikTok, Facebook, Instagram, Airbnb…

Plus généralement, les fournisseurs de plateformes en ligne accessibles aux mineurs sont tenus de mettre en place des mesures appropriées pour garantir un niveau élevé de confidentialité, de sécurité et de sûreté des mineurs sur leurs services. Ce règlement vise notamment à interdire la publicité ciblée sur les plateformes en ligne pour les enfants en se basant sur des catégories spéciales de données personnelles telles que l’ethnicité, les opinions politiques ou l’orientation sexuelle.

Toutefois, ces mesures ne répondent qu’à une petite partie de la problématique et négligent d’autres dangers auxquels sont exposés les mineurs.

DSA, ce que la nouvelle réglementation européenne néglige 

Les très grandes plateformes et très grands moteurs de recherche ont donc à présent l’obligation de prendre des mesures identifiées d’atténuation des risques (vérification de l’âge, mise en place d’outils de contrôle parental ou d’outils permettant d’aider les mineurs à signaler les abus ou à obtenir un soutien…). La publicité ciblée sur les mineurs devient interdite et des sanctions lourdes sont prévues pour les plateformes en infraction. Le problème principal concerne donc les entreprises ciblées : les petites entreprises (entreprises de moins de 50 salariés et de moins de 10 millions d’euros de chiffre d’affaires annuel) sont moins visées par la régulation. Or, dans le marché des applications mobiles pour enfants il y a beaucoup de développeurs de petite taille. 

L’éducation des enfants et des parents représente donc un enjeu majeur. Pour les entreprises, il existe un marché réel pour la création de contenus adaptés pour les enfants, respectueux de la vie privée et de la réglementation et qui puissent offrir une expérience utilisateur éducative et constructive.

Les mineurs et le numérique : quelques chiffres

– Une enquête du Ministère de la culture1 en France indique que 27% des enfants de moins de 2 ans utilisent une tablette ou un smartphone et ce pourcentage augmente à l’âge de 5 ans pour atteindre une utilisation de la tablette par 54% des enfants.
– 74% des enfants sont en ligne avant 14 ans, selon une étude de la CNIL publiée en 2020.
– 26% des enfants européens interrogés déclarent avoir été victimes d’arnaques par phishing.

Cybersécurité, Phishing

Le paysage du phishing en 2023 : une année record

1,76 milliard de courriels pirates diffusés en 2023. Les pages piégées aux couleurs de Facebook ont explosé.

Dans le monde numérique en constante évolution, le phishing continue de représenter une menace significative pour les entreprises et les individus. Le rapport annuel sur le phishing de l’entreprise française Vade, dévoile des statistiques alarmantes qui soulignent l’ampleur et la sophistication croissantes des attaques de phishing au cours de l’année 2023.

La société a analysé 197 000 pages de phishing associées à des courriels uniques, révélant ainsi les tendances et les tactiques employées par les cybercriminels. L’une des conclusions les plus frappantes est la hausse spectaculaire des escroqueries sur les médias sociaux, notamment sur Facebook, où plus de 44 000 sites de phishing ont été identifiés, constituant près d’un quart de toutes les URL de phishing répertoriées cette année.

Le phishing sur les médias sociaux en forte hausse

Le secteur des médias sociaux est celui qui a connu la plus forte croissance annuelle du nombre d’URL de phishing (+110 %). Facebook n’est pas le seul réseau à contribuer à cette hausse : Instagram (9e cette année), WhatsApp (13e) et LinkedIn (23e) y ont aussi joué un rôle dans cette augmentation. Cette multiplication des menaces de phishing intervient alors que les revenus publicitaires de ces réseaux ne cessent de grimper et que les entreprises comptent de plus en plus sur eux pour vendre leurs produits et services, diffuser leurs campagnes marketing et recruter des talents.

Le rapport indique également que les attaques de phishing ont atteint un niveau record en 2023, avec plus de 1,76 milliard d’URL de phishing envoyées dans le monde. Parmi les 20 marques les plus fréquemment usurpées, six sont françaises, démontrant l’impact global et local de cette menace. Facebook, avec une augmentation de 74 % du nombre de sites de phishing uniques le ciblant, occupe la première place du classement pour la troisième année consécutive, suivi de près par des géants technologiques tels que Microsoft, Google, et Netflix.

Microsoft, Google et Netflix dominent les marques du cloud usurpées lors d’attaques de phishing

Avec les médias sociaux, le monde du cloud est le seul secteur à enregistrer une augmentation du nombre d’URL de phishing uniques en 2023. Cette hausse est principalement due à Microsoft (2e), Google (11e) et Netflix (19e). La popularité de Microsoft et Google auprès des hackers ne se dément pas, à l’image de l’intérêt que suscitent leurs plateformes Microsoft 365 et Google Workspace.

Cette année, Microsoft a annoncé avoir dépassé les 382 millions de licences payantes au 3e trimestre 2023. De son côté, Google compte plus de 9 millions d’organisations abonnées à Google Workspace. Ces deux suites restent une cible privilégiée pour les auteurs de phishing.

Les auteurs de phishing ne se contentent pas d’imiter les grandes marques ; ils exploitent également des services légitimes pour contourner les solutions de sécurité email, rendant la détection et la prévention encore plus difficiles. De plus, l’émergence des marketplaces de Phishing-as-a-Service (PhaaS) témoigne de la professionnalisation et de la commercialisation de ces activités malveillantes.

Le secteur des services financiers reste le plus touché par l’usurpation d’identité, avec 64 009 URL de phishing uniques recensées, représentant 32 % du total mondial. Cette prévalence souligne la nécessité pour les entreprises et les individus de rester vigilants et d’adopter des solutions de sécurité robustes pour se protéger contre ces attaques de plus en plus sophistiquées. (Vade)

Cybersécurité, IA

Des pirates Russes, Iraniens, Chinois et Nord-Coréens repérés sur ChatGPT

Cyber Signals : lutte contre les cybermenaces et protection renforcée à l’ère de l’intelligence artificielle. Microsoft analyse les requêtes faîtes avec ChatGPT et découvre des utilisations pirates !

L’essor de l’IA générative ouvre de nouvelles perspectives pour renforcer la cybersécurité, mais nous expose également à de nombreux risques. Le blog spécialisé dans les questions de lutte contre le cybercrime ZATAZ avait révélé, en janvier 2024, comment des pirates hispaniques avaient intégré l’Intelligence Artificielles dans un de leur outil d’hameçonnage [Phishing]. Bref, les acteurs malveillants exploitent cette nouvelle technologie pour renforcer leurs activités frauduleuses, que ce soit en créant des deepfakes, en améliorant la programmation des logiciels ou en y rajoutant des couches supplémentaires « d’intelligence » pour renforcer leurs attaques. Dans sa 6e édition de Cyber Signals, publiée par Microsoft, on découvre que le firme de Redmond analyse les requêtes utilisées par les internautes dans ChatGPT et a découvert la présence de malveillants étatiques.

Dans ce rapport, il est expliqué comment il a été possible d’identifier et de déjouer des tentatives de cyberattaques de groupes malveillants russes, nord-coréens, iraniens et chinois. Ces derniers ont tenté d’utiliser des LLM (Large Langage Models) comme ChatGPT pour perfectionner leurs cyberattaques.

En collaboration avec OpenAI, Microsoft (actionnaire à 49% d’OpenAI) explique avoir repéré des acteurs malveillants affiliés à des États connus sous les noms de Forest Blizzard, Emerald Sleet, Crimson Sandstorm, Charcoal Typhoon et Salmon Typhoon.

Le LLMH : Large Langage Models Hack

Les cybercriminels et les acteurs soutenus par des États s’appuient sur l’IA, y compris les LLM, pour améliorer leur efficacité et tirer parti de plates-formes susceptibles de servir leurs objectifs et leurs techniques d’attaque.

Bien que les motivations et la sophistication des acteurs malveillants soient différentes, ils opèrent de la même manière lorsqu’ils déploient des attaques. Ils procèdent notamment à une reconnaissance, comme la recherche des industries, des emplacements et des relations des victimes potentielles ; ils ont recours au code, de façon à améliorer des scripts logiciels et à développer des logiciels malveillants ; et ils recherchent de l’aide dans l’apprentissage et l’utilisation des langages humains et des langages de programmation.

Les recherches avec OpenAI n’ont pas permis d’identifier d’attaques significatives utilisant les LLM.

Cybersécurité, Entreprise

Nouveau malware souligne l’intérêt continu pour les appareils edge

Découverte par les Services de Renseignements, cette menace souligne l’importance de sécuriser les périphéries du réseau.

Le monde de la cybersécurité est en alerte suite à la découverte d’un nouveau malware ciblant spécifiquement les appareils FortiGate. Cette révélation, issue d’une enquête conjointe menée par le Service de renseignement militaire (MIVD) et le Service général de renseignement et de sécurité (AIVD), met en lumière une tendance préoccupante : les cyberattaquants portent désormais un intérêt accru aux appareils edge accessibles au public.

Contexte : une menace sophistiquée

Lors de leur enquête, le MIVD et l’AIVD ont identifié un cheval de Troie d’accès à distance (RAT) persistant, conçu pour opérer discrètement et maintenir l’accès aux systèmes compromis. Ce malware exploitait une vulnérabilité critique dans les appareils FortiGate, référencée sous le code CVE-2022-42475 [Le CERT Français avait lancé une alerte, en décembre 2022], pour laquelle le Centre National de Cybersécurité (NCSC) avait émis un avertissement en décembre 2022.

Une tendance à la hausse

Cette attaque n’est pas isolée. Elle s’inscrit dans une tendance plus large où les vulnérabilités des appareils edge, tels que les pare-feux, les serveurs VPN et les serveurs de messagerie, sont exploitées. Ces appareils, situés à la frontière des réseaux et souvent directement connectés à Internet, échappent généralement à la surveillance des solutions de détection et de réponse aux incidents sur les points de terminaison (EDR), rendant les attaques difficiles à détecter.

Perspective d’action : sécuriser les appareils edge

Face à cette menace, le MIVD, l’AIVD et le NCSC recommandent plusieurs mesures pour renforcer la sécurité des appareils edge :

  • Analyse des risques : évaluer régulièrement les risques associés à ces appareils, surtout lors de l’ajout de nouvelles fonctionnalités.
  • Restriction d’accès : limiter l’accès à Internet en désactivant les ports et fonctionnalités inutilisés et en évitant de rendre l’interface de gestion accessible depuis l’extérieur.
  • Surveillance des journaux : analyser régulièrement les journaux pour détecter toute activité suspecte, telle que des tentatives de connexion à des heures inhabituelles ou des modifications non autorisées de la configuration.
  • Mises à jour de sécurité : installer sans délai les dernières mises à jour fournies par les fabricants et appliquer les mesures de protection supplémentaires recommandées.

Un contexte géopolitique tendu

La découverte de ce malware s’inscrit dans un contexte de tensions géopolitiques, illustré par l’incident de l’année dernière où un logiciel espion chinois a été détecté dans un système informatique des forces armées néerlandaises. Bien que l’ambassade de Chine à La Haye rejette toute implication, le MIVD met en garde depuis plusieurs années contre les risques d’espionnage de la part de la Chine.

Qu’est-ce-qu’un appareil Edge ?

Un appareil edge, dans le contexte de l’informatique et des réseaux, fait référence à un dispositif situé à la « périphérie » (ou « edge » en anglais) du réseau, c’est-à-dire à l’extrémité du réseau proche de l’utilisateur final plutôt que dans un centre de données centralisé ou dans le cloud. Ces appareils jouent un rôle crucial dans le traitement et la collecte de données à proximité de la source des données, ce qui permet de réduire la latence, d’améliorer les performances et de réduire la charge sur le réseau central.

Les appareils edge peuvent inclure des routeurs, des commutateurs, des pare-feux, des serveurs de messagerie, des serveurs VPN, des caméras de surveillance, des appareils IoT (Internet des Objets), des capteurs, ainsi que des dispositifs de stockage et de traitement des données. En traitant les données localement ou à proximité de l’utilisateur, les appareils edge permettent des réponses plus rapides et des décisions en temps réel sans nécessiter de transmission de grandes quantités de données vers un emplacement central pour analyse.

Le concept d’edge computing est devenu particulièrement important avec l’essor des technologies IoT et des applications nécessitant une faible latence, comme la réalité augmentée, la réalité virtuelle, le streaming vidéo de haute qualité et les applications de véhicules autonomes. Dans ces scénarios, le traitement des données à la périphérie du réseau permet d’obtenir des performances supérieures, une meilleure efficacité énergétique et une sécurité améliorée en limitant la quantité de données sensibles transmises ou stockées en dehors du site local.

Banque, Cybersécurité

Des banques enregistrent de faux noms de domaine de la concurrence

Intéressante méthode que celle utilisée par plusieurs banques pour éduquer leurs employés aux fraudes électroniques : enregistrer de faux noms de domaine.

DataSecuritybreach.fr a constaté que la banque russe, Raiffeisenbank avait enregistré le nom de domaine domclk.ru en décembre 2023. Un détail intéressant car l’url exploite deux lettres de moins que l’adresse du service d’achat immobilier de la Sberbank « Domclick » (domclick.ru).

En novembre 2023, Sberbank a enregistré le domaine a1fastrah.ru, qui diffère de l’adresse de la société Alfastrakhovanie (alfastrah.ru) par un caractère : à la place de la lettre latine l, le chiffre 1 est utilisé. Une technique de modification d’adresse web que ZATAZ avait révélé, il y a deux ans, avec de fausses adresses Disney, Nike ou encore Air France et Assurance Maladie.

Raiffeisenbank a enregistré cette adresse à usage interne afin d’effectuer des tests de formation sur la sécurité de l’information pour les employés de la banque. Le domaine n’est pas destiné à être utilisé à d’autres fins, y compris commerciales. À quelles fins la Sberbank a-t-elle besoin d’une adresse similaire au domaine Alfastrakhovanie ? Personne ne sait, pour le moment !

L’idée n’est pas nouvelle, mais pour une fois qu’elle saute aux yeux, surtout signée par des banques. Selon des chiffres différents, proposés par moultes entreprises cyber, le risque phishing serait à hauteur de 60 à 80% des cyber attaques à l’encontre des entreprises. Il est vrai que le maillon le plus vulnérable du système de sécurité est l’humain. Et attention, le phishing peut utiliser un mail, un compte et un contenu officiel. ZATAZ a rencontré, dernièrement, des pirates qui s’invitaient dans les comptes électroniques de société pour modifier le contenu original des courriels. Ils remplaçaient soit le RIB, soit proposaient un lien vers une page d’hameçonnage. Le vrai compte mail devenant un cheval de Troie quasiment indétectable. L’adresse étant validée par les instances humaines et informatiques, comme Mailing black, Etc.

Banque, Bitcoin, Cybersécurité

L’Ouzbékistan pénalise les mineurs et les propriétaires de crypto-monnaies

En Ouzbékistan, la responsabilité pénale a été introduite pour le minage et la circulation illégale de crypto-monnaies.

Le président de la république d’Ouzbékistan, Shavkat Mirziyoyev, vient de signer une loi qui réprime l’exploitation de crypto-monnaies non autorisées. Dorénavant, pour être accusé d’un crime, les Ouzbeks devront d’abord commettre une infraction administrative similaire. Ainsi, la première fois qu’une acquisition, une vente ou un échange illégal de crypto-actifs se produira, la personne impliquée sera passible d’une détention administrative [prison] jusqu’à 15 jours ou d’une amende d’environ 750 €, avec confiscation de la devise elle-même. Les transactions impliquant des crypto-actifs anonymes entraîneront également des sanctions pour les fournisseurs de services, avec des amendes allant de 750 à 750 €.

Chasse aux fermes et mineurs de crypto

Des infractions répétées à ces deux points peuvent entraîner une peine de prison pour l’accusé. Cependant, les juges auront toujours le choix : une amende de 2 500 €, des travaux correctionnels d’une durée de deux à trois ans, une restriction de liberté d’un an ou une peine de prison de la même durée en cas de récidive. En cas d’une deuxième récidive, une peine de trois ans de prison pourra être prononcée. Enfin, un crime commis par un groupe de personnes pourrait entraîner une peine de trois à cinq ans de prison.

En ce qui concerne le minage, le Code administratif ouzbek prévoit désormais des amendes pour les accusés en fonction du montant (probablement la quantité de crypto-monnaie obtenue). Dans le pire des scénarios, une personne pourrait être condamnée à 15 jours de détention ou à une amende pouvant aller jusqu’à 2 500 €. Une récidive pourrait également entraîner une peine de prison d’un an (trois ans en cas de deuxième récidive), tandis que le minage clandestin pourrait entraîner une amende pouvant aller jusqu’à 7 500 € ou une peine de prison de deux ans.

Bitcoin, Cybersécurité, Justice

L’ONU désigne le stablecoin USDT comme principal outil de blanchiment d’argent en Asie

L’ONU pointe du doigt un « système bancaire parallèle » pour les criminels avec l’utilisation du stablecoin USDT Tether.

Les stablecoins émis par Tether, une société de cryptomonnaie, sont devenus un outil de choix pour les blanchisseurs d’argent et les fraudeurs opérant en Asie du Sud-Est, selon un rapport de l’Office des Nations Unies contre la drogue et le crime, cité par le Financial Times. Parmi ces stablecoins, le dollar USDT de Tether se détache comme le favori des criminels, devenant ainsi le troisième actif crypto en capitalisation, avec une valeur d’environ 95 milliards de dollars, derrière Bitcoin et Ethereum.

Le rapport met en lumière l’utilisation active du jeton Tether dans diverses formes de fraude, y compris les schémas de « pig butchering », où les criminels gagnent la confiance de leurs victimes sous prétexte d’une relation romantique pour les inciter à effectuer des transferts de fonds importants.

Ces dernières années, les forces de l’ordre et les agences de renseignement financier ont signalé une augmentation rapide de l’utilisation de schémas de blanchiment d’argent complexes et à grande vitesse, en particulier par des groupes spécialisés dans les transferts clandestins en jetons Tether, révèle le rapport.

Crypto-actifs

Les crypto-actifs ont également stimulé une pratique populaire parmi les groupes criminels organisés d’Asie du Sud-Est, qui utilisent des casinos en ligne illégaux pour blanchir des fonds illicites. Le rapport indique que les plateformes de jeux en ligne, en particulier celles opérant illégalement, sont devenues l’une des méthodes les plus populaires de blanchiment d’argent avec des cryptomonnaies, en mettant particulièrement l’accent sur l’utilisation de Tether.

Jeremy Douglas de l’Office des Nations Unies contre la drogue et le crime a souligné que les groupes criminels organisés ont réussi à créer un système bancaire parallèle en exploitant de nouvelles technologies. La prolifération des casinos en ligne non réglementés, combinée à l’utilisation de cryptomonnaies comme Tether, a renforcé l’écosystème criminel en Asie du Sud-Est.

Le rapport de l’ONU mentionne que ces dernières années, les autorités ont réussi à démanteler plusieurs réseaux de blanchiment d’argent impliqués dans le transfert de fonds illégaux en jetons Tether. Par exemple, en août dernier, les autorités de Singapour ont saisi 737 millions de dollars en espèces et en cryptomonnaies dans le cadre d’une opération de démantèlement. En novembre dernier, Tether a également gelé ses jetons d’une valeur de 225 millions de dollars, suite à une enquête conjointe avec les autorités américaines et la bourse de cryptomonnaies OKX. Ces actifs étaient liés à un syndicat impliqué dans la fraude et la traite des êtres humains en Asie du Sud-Est.

Tether, qu’est-ce que c’est ?

Les stablecoins de Tether, souvent simplement appelés « Tether » ou « USDT » (pour le jeton lié au dollar américain), sont une forme de cryptomonnaie conçue pour maintenir une valeur stable en étant adossée à des réserves d’actifs réels, tels que des devises fiduciaires (comme le dollar américain), de l’or ou d’autres actifs. Ces stablecoins sont émis par une société appelée Tether Limited.

La principale caractéristique des stablecoins, comme le Tether, est de fournir une stabilité de valeur par rapport aux cryptomonnaies plus volatiles telles que le Bitcoin ou l’Ethereum. Par exemple, un jeton Tether lié au dollar américain devrait toujours valoir environ 1 dollar américain.

Le fonctionnement des stablecoins Tether repose sur le principe de la garantie. La société Tether Limited prétend détenir une réserve équivalente de devises fiduciaires (par exemple, des dollars américains) dans des comptes bancaires pour chaque unité de stablecoin Tether en circulation. Cette réserve est censée garantir que chaque jeton Tether peut être échangé contre la devise fiduciaire correspondante à tout moment, ce qui maintient sa stabilité de valeur.

Les stablecoins Tether sont utilisés dans le monde entier pour diverses transactions et activités liées à la cryptomonnaie en raison de leur stabilité. Ils sont notamment utilisés comme une forme de monnaie stable dans le monde des cryptomonnaies, permettant aux investisseurs et aux traders de passer rapidement d’une position volatile à une position stable en utilisant des jetons Tether comme une sorte de refuge.

Cependant, il est important de noter que les stablecoins Tether ont fait l’objet de controverses et de préoccupations concernant leur transparence et la véritable ampleur des réserves sous-jacentes. Certains ont remis en question la capacité de Tether Limited à maintenir ces réserves à 100 % et à fournir une preuve adéquate de leurs actifs sous-jacents. Ces inquiétudes ont suscité des enquêtes réglementaires et des débats au sein de la communauté des cryptomonnaies.

Cybersécurité, Entreprise

TEMU renforce la sécurité de sa boutique

Temu renforce ses mesures de cybersécurité avec une nouvelle initiative de Primes Aux Bogues [bug bounty] et la mise en œuvre de l’authentification à deux facteurs (2FA).

Temu, l’application de shopping la plus téléchargée au monde, a introduit des mesures de sécurité améliorées dans le cadre de son plan visant à renforcer la sécurité de son site Web et de ses applications mobiles. L’entreprise a introduit l’authentification à deux facteurs (2FA) et a lancé un programme de primes aux bogues sur la plateforme américaine Hacker One, l’une des plateformes de cybersécurité les plus renommées.

Les plateformes de commerce électronique populaires deviennent souvent la cible d’escrocs et de fraudeurs exploitant la confiance des utilisateurs dans des marques reconnues. Pour lutter contre cela, Temu a introduit un certain nombre de mesures de sécurité améliorées qui promettent de garantir une expérience d’achat plus sûre et plus agréable pour les utilisateurs.

Temu a rejoint d’autres grandes plateformes de commerce électronique et passerelles de paiement pour mettre en œuvre le 2FA, qui est de plus en plus considéré comme un élément nécessaire d’une cybersécurité solide. Il ajoute une couche supplémentaire de sécurité au-delà du simple nom d’utilisateur et du mot de passe. Il est ainsi beaucoup plus difficile pour les utilisateurs non autorisés d’accéder au compte d’un utilisateur, même s’ils ont compromis le mot de passe, réduisant ainsi le risque de pertes financières.

En novembre 2023, Temu s’est également associé à l’Américain HackerOne pour proposer un programme de primes aux bogues, rejoignant ainsi des entreprises telles qu’Amazon, Google, Tesla et Meta.

Grâce à ce programme, les pirates éthiques pourront se connecter à Temu et signaler les vulnérabilités de l’application afin de s’assurer qu’elles sont comblées et que l’application reste à l’abri des pirates et des fraudeurs. Le déploiement du 2FA et le programme de primes aux bogues font suite aux poursuites judiciaires de Temu contre les sites web frauduleux qui se font passer pour Temu afin de tromper les utilisateurs, et à l’appel de Temu aux utilisateurs pour qu’ils signalent les fraudes exploitant la marque Temu. En début d’année, Temu a obtenu des injonctions contre les sites d’hameçonnage de la part des tribunaux américains, une victoire dans son action juridique pour obliger les acteurs malveillants à rendre des comptes.

Temu est entré sur le marché européen au début de l’année 2023 et est depuis devenu l’une des applications les plus téléchargées dans la région.

Cybersécurité, double authentification

Lancement de Locknest : le premier gestionnaire de mots de passe physique et français

Sans dépendance au Cloud, Locknest propose de reprendre le contrôle sur ses données avec une clé physique.

Jeune entreprise innovante et française, spécialisée dans la cybersécurité, LockNest Group lance son premier produit : Locknest, le gestionnaire physique d’identité numérique. L’objectif : offrir au grand public l’opportunité de reprendre la main sur ses données confidentielles en les retirant du Cloud.

Locknest, c’est quoi ?

Locknest est un gestionnaire physique d’identité numérique. Sous la forme d’une clé qui tient dans la paume de la main, il est dédié à la protection des données confidentielles des utilisateurs. Facile à utiliser, il est universel (fonctionne avec tous types d’appareils, en Bluetooth et en USB-C) et autonome (aucune dépendance au Cloud).

Dans sa première version, Locknest permet de stocker jusqu’à 512 entrées. Une entrée c’est un identifiant, un mot de passe, une URL, un titre et une description. Locknest garantit le chiffrement des données critiques de bout en bout, jusqu’à ce que l’utilisateur récupère son mot de passe, automatiquement, dans le champ du formulaire à remplir. Grâce à un simple secret maître de 7 chiffres, il peut accéder au tableau de bord de son Locknest, sur l’application mobile ou l’application web, enregistrer des données et générer des mots de passe robustes.

En cas de perte : l’export chiffré de la base permet de sauvegarder ses données et de les réimporter sur un deuxième boîtier Locknest.

En cas de vol : A la manière d’une carte bancaire, Locknest applique une pénalité sous forme de bannissement temporaire à partir de 3 erreurs de secret maître et ce, jusqu’à ce que le bon secret maître ait été utilisé. Durant ces 10 minutes de bannissement, toute tentative d’ouverture de session sera purement ignorée. Avec un PIN de 7 chiffres, le temps nécessaire à l’attaquant pour trouver le secret maître est donc, en moyenne, de 13 ans. Ce qui permet assez largement de se rendre compte du vol de la clé et ainsi pouvoir agir avant que les secrets ne soient découverts.

Financement participatif réussi

En mars dernier, l’entreprise française a choisi de lancer son produit en précommande sur la plateforme de financement participatif KissKissBankBank. Avec près de 24 000 € récoltés, sur un objectif de 20 000€, la campagne de crowdfunding a été un véritable succès. La somme collectée a permis de lancer la production du premier lot de Locknest : les cartes électroniques ainsi que la coque en plastique ABS fabriquée sur-mesure par un plasturgiste français.

Pourquoi un boîtier physique à l’heure du tout-numérique ?

Locknest vise à modifier le comportement des utilisateurs en intégrant le moins de complexité possible. Plutôt que de miser sur une révolution technologique, les créateurs de Locknest ont préféré s’attaquer au frein le plus courant : le facteur humain. L’aspect hardware de la solution permet d’absorber une grande partie de la complexité de ce type de solutions, notamment en ne demandant qu’un PIN de 7 chiffres pour le déverrouiller, là où les solutions purement en ligne nécessitent un secret maître long et complexe. Le boîtier permet également de sécuriser physiquement les données grâce à un microcontrôleur sécurisé et un module d’accélération cryptographique AES supportant les clés allant jusqu’à 256 bits.

Enfin, l’aspect physique possède un avantage conséquent : il suffit d’éteindre le boîtier pour rendre inaccessibles ses données. Locknest permet de ne pas être dépendant du Cloud en enregistrant les données directement dans le boîtier. Les informations sont ensuite distribuées en USB ou en Bluetooth vers les différents équipements (PC, mobile). Un avantage en termes de sécurité, bien sûr, mais qui permet également d’éviter à l’utilisateur de devoir synchroniser ses appareils puisqu’il n’a plus qu’une seule source de données.

Un niveau de sécurité élevé pour tous

« Avec Locknest, nous souhaitons rendre la sécurité numérique accessible au plus grand nombre, explique Pierre Le Roy, président de LockNest Group. Plutôt que de chercher à optimiser encore le niveau de sécurité des utilisateurs déjà protégés, nous visons à remettre à niveau ceux qui n’ont pas encore trouvé de solution suffisamment simple. »

Locknest revendique en effet deux piliers d’égale importance dans sa conception : la sécurité et la simplicité. Plus besoin d’être un expert technique pour protéger ses données confidentielles.

« Notre vision est d’arriver à garantir un niveau de sécurité suffisant pour l’utilisateur tout en minimisant l’impact sur son quotidien, précise-t-il. Tous nos choix techniques offrent, selon nous, le meilleur compromis entre robustesse aux attaques et vitesse de calcul / simplicité d’utilisation. Toute sécurité est une contrainte, mais notre but est de la rendre la plus invisible possible. Rien ne sert d’avoir une défense quasi parfaite si l’utilisateur ne s’en sert jamais. »

Prix : 120 € TTC pour un Locknest. Aucun abonnement requis et les mises à jour logicielles sont gratuites.

Cybersécurité, Entreprise

Les entreprises ont du mal à identifier et à gérer les risques liés à la cybersécurité de leurs API

De nouvelles statistiques révèlent que si les API sont à l’origine de la majorité du trafic Internet, ces dernières demeurent en grande partie non sécurisées.

Un rapport consacré à la gestion et à la sécurité des API apporte quelques réponses sur la problématiques des API. Les conclusions démontrent que les entreprises tirent plus que jamais parti des API, une technologie qui sous-tend l’ensemble des applications et des sites les plus utilisés aujourd’hui. Or, cette surexploitation ouvre la porte à un nombre toujours plus important de menaces en ligne. Le rapport souligne l’écart entre l’utilisation des API par les entreprises et la capacité de celles-ci à sécuriser les données auxquelles les API accèdent.

Les API sont au cœur de l’univers numérique. Téléphones, montres connectées, systèmes bancaires et sites d’achat, toutes ces applications se reposent sur les API pour communiquer. Ces dernières peuvent aider les sites d’e-commerce à accepter les paiements, permettre aux systèmes médicaux de partager les données de leurs patients de manière sécurisée, voire permettre aux taxis et aux services de transport en commun d’accéder en temps réel aux données de circulation.

Toutes les entreprises d’aujourd’hui ou presque s’en servent pour développer des sites, des applications et des services de meilleure qualité et mieux les proposer à leurs clients. Malheureusement, les API non gérées ou non sécurisées représentent une mine d’or pour les acteurs malveillants à la recherche d’informations potentiellement sensibles.

Les API occupent une position centrale dans la manière dont les applications et les sites web fonctionnent. Elles constituent donc une cible privilégiée et relativement récente pour les pirates.

Gestion et à la sécurité des API

Même les secteurs les plus improbables connaissent des pics élevés de trafic lié aux API. L’intégration fluide proposée par ces dernières a poussé les entreprises de tous les secteurs à en tirer davantage parti, certaines plus rapidement que d’autres. Les secteurs de l’IdO, des trains, bus et taxis, des services juridiques, des jeux et du multimédia, ainsi que ceux de la logistique et de l’approvisionnement, détiennent la plus grande part de trafic lié aux API en 2023.

Le trafic lié aux API est à l’origine de la majorité du trafic Internet : les API dominent le trafic Internet dynamique autour du monde (57 %) et chaque région a observé une augmentation de leur utilisation au cours de l’année dernière. L’Afrique et l’Asie sont toutefois les premières régions à avoir massivement adopté les API et à constater la part de trafic la plus élevée en 2023.

Les API font face à un large éventail de menaces fréquentes et en augmentation constante. comme pour n’importe quelle fonction stratégique populaire hébergeant des données sensibles, les acteurs malveillants tentent d’exploiter tous les moyens nécessaires pour accéder à ces dernières. L’essor des API en termes de popularité a également entraîné une hausse du volume des attaques, les attaques par anomalie HTTP, par injection et par inclusion de fichiers étant les trois types d’attaques les plus couramment utilisés.

Les API « fantômes »

Les « Shadow API » constituent un moyen d’accès non sécurisé pour les acteurs malveillants. Les entreprises ont du mal à protéger ce qu’elles ne peuvent pas voir. Près de 31 % de points de terminaison d’API REST (l’endroit où une API se connecte aux logiciels) supplémentaires ont été identifiés grâce au Machine Learning (apprentissage automatique) plutôt que par l’intermédiaire d’identifiants fournis par les clients. En résumé, les entreprises ne disposent pas d’un inventaire complet de leurs API à l’heure actuelle.

Le Service Veille ZATAZ a pu repérer, il y a peu, des exploitations d’API par des pirates pour collecter de nombreuses informations [directes et indirectes] personnelles et professionnelles.

A noter que les solutions d’atténuation des attaques DDoS sont l’un des outils les plus efficaces pour protéger les API. Que les entreprises disposent d’une visibilité totale sur l’ensemble de leurs API ou non, les solutions d’atténuation des attaques DDoS peuvent les aider à bloquer les menaces potentielles. Un tiers (33 %) des mesures d’atténuation des menaces liées aux API ont été appliquées par des services de protection contre les attaques DDoS déjà en place.

« Les API sont des outils puissants permettant aux développeurs de créer des applications complexes et complètes afin de servir leurs clients, leurs partenaires et leurs collaborateurs, mais chaque API constitue une surface d’attaque potentielle devant être sécurisée », précise Melinda Marks, Practice Director, Cybersecurity chez Enterprise Strategy Group. « Comme le montre ce nouveau rapport, les entreprises ont besoin d’outils plus efficaces pour traiter la sécurité des API, comme une meilleure visibilité sur les API, des ressources permettant d’assurer l’authentification et l’autorisation entre les connexions, ainsi que de meilleurs moyens de protéger leurs applications contre les attaques. »

Les conclusions de ce rapport, notamment les statistiques mentionnées ci-dessus, se basent sur les schémas de trafic observés par le réseau mondial de Cloudflare entre le 1er octobre 2022 et le 31 août 2023.

Cybersécurité, Entreprise

L’employé, le meilleur ami des pirates

21 % des cyber incidents survenus dans les entreprises en France au cours des deux dernières années auraient été provoqués par des employés.

Selon une récente étude, les violations des politiques de sécurité de l’information d’une organisation par ses employés sont aussi dangereuses que les attaques de cyberpirates externes à l’organisation. En France, au cours des deux dernières années, 21 % des cyber incidents survenus dans les entreprises ont été provoqués par des employés qui ont intentionnellement violé les protocoles de sécurité. Ce chiffre est presque égal aux dommages causés par les violations de la cybersécurité, dont 22 % sont dues à des piratages informatiques.

La perception selon laquelle l’erreur humaine est l’une des principales causes des cyberincidents dans les entreprises est bien établie. Mais les choses ne sont pas aussi tranchées. Le niveau de cybersécurité d’une organisation dépend de nombreux facteurs dont il n’est pas si simple de rendre compte. L’étude visait à recueillir des informations sur les différents groupes de personnes influençant la cybersécurité, en tenant compte à la fois du personnel interne et des acteurs externes.

L’étude a révélé que, outre les erreurs involontaires, les violations de la politique de sécurité de l’information par les employés constituaient l’un des plus gros problèmes pour les entreprises. Les personnes interrogées dans des organisations du monde entier ont déclaré que des actions intentionnelles visant à enfreindre les règles de cybersécurité avaient été menées par des employés des services informatiques et non informatiques au cours des deux dernières années.

En France

En France, ces violations de politiques telles que celles commises par les responsables de la sécurité informatique ont été à l’origine de 8 % des cyberincidents survenus au cours des deux dernières années. D’autres professionnels de l’informatique et leurs collègues non informaticiens ont provoqué respectivement 6 % et 7 % des cyberincidents en enfreignant les protocoles de sécurité.

En ce qui concerne le comportement individuel des employés, le problème le plus courant réside dans le fait qu’ils font délibérément ce qui leur est interdit et, inversement, qu’ils ne font pas ce qui est exigé. En France, les personnes interrogées affirment que près d’un quart (21 %) des incidents de cybersécurité survenus au cours des deux dernières années sont dus à l’utilisation de mots de passe faibles ou au fait que ceux-ci n’ont pas été modifiés en temps voulu. La seconde cause (14 %) des atteintes à la cybersécurité est la consultation par le personnel de sites web non sécurisés.

Par ailleurs, 14 % des entreprises françaises interrogées déclarent avoir été confrontées à des incidents de cybersécurité dus au fait que les employés n’ont pas mis à jour les logiciels ou les applications utilisés en temps et en heure.

L’utilisation de services ou de dispositifs non sollicités est un autre vecteur important de violation intentionnelle de la politique de sécurité de l’information. En France, 11 % des entreprises ont subi des cyberincidents parce que leurs employés ont utilisé des systèmes non autorisés pour partager des données. Les employés de 21 % des entreprises ont intentionnellement accédé à des données par le biais d’appareils non autorisés, tandis que 11 % du personnel ont envoyé des données à des adresses électroniques personnelles. Une autre action signalée est le déploiement de l’informatique fantôme (Shadow IT) sur les appareils professionnels – 10 % des personnes interrogées indiquent que cela a été à l’origine de leurs cyberincidents.

Fait alarmant, les personnes interrogées en France admettent que, outre le comportement irresponsable déjà mentionné, 18 % des actions malveillantes ont été commises par des employés à des fins d’enrichissement personnel. Autre constatation intéressante, les violations intentionnelles de la politique de sécurité de l’information par les employés constituent un problème relativement important dans les services financiers, comme l’indiquent 34 % des personnes interrogées dans ce secteur.

« Outre les menaces externes à la cybersécurité, de nombreux facteurs internes peuvent conduire à des incidents dans n’importe quelle organisation. Comme le montrent les statistiques, les employés de n’importe quel service, qu’il s’agisse de non-informaticiens ou de professionnels de la sécurité informatique, peuvent avoir une influence négative sur la cybersécurité, que ce soit intentionnellement ou non. C’est pourquoi il est important de prendre en compte les méthodes de prévention des violations de la politique de sécurité informatique lors de la mise en place des dispositifs et des mesures de sécurité, c’est-à-dire de mettre en œuvre une approche intégrée de la cybersécurité. D’après nos recherches à l’échelle mondiale« , commente Alexey Vovk, responsable de la sécurité de l’information chez l’éditeur Russe Kaspersky, auteur de l’étude.

Cybersécurité, Téléphonie

Un concours pour combattre la fraude au clonage vocal

La Federal Trade Commission (FTC) invite désormais les candidats à participer à un concours innovant. Son objectif ? Stimuler le développement de solutions et de politiques pour protéger les consommateurs contre l’usage malveillant de la technologie de clonage vocal, une branche de l’intelligence artificielle en pleine expansion.

Ce concours s’inscrit dans les efforts de la FTC pour promouvoir des approches multidisciplinaires visant à surveiller et prévenir l’exploitation frauduleuse du clonage vocal. Les candidatures, ouvertes depuis quelques jours, devaient être soumises avant le 12 janvier. Tous les détails de participation sont disponibles sur le site de la FTC. À la clé pour le gagnant : un prix de 25 000 dollars.

Si le clonage vocal offre des bénéfices légitimes, comme l’aide aux personnes ayant des difficultés de parole ou la commodité pour les conducteurs utilisant des dispositifs mains libres, il présente également un risque d’usurpation d’identité vocale. En mars, la FTC a mis en garde contre l’utilisation de cette technologie par des escrocs pour extorquer de l’argent et des informations personnelles.

Jusqu’à présent, la FTC n’a pas encore traité d’incidents impliquant explicitement le clonage vocal. Cependant, certaines victimes ne réalisent pas que cette technologie a été utilisée contre elles.

Les propositions pour le concours doivent aborder des aspects spécifiques : comment empêcher l’utilisation frauduleuse de logiciels de clonage vocal, améliorer la capacité des consommateurs à détecter le clonage vocal en temps réel et fournir des moyens pour identifier les voix clonées dans les enregistrements audio.

« Nous utiliserons tous les moyens à notre disposition pour prévenir les préjudices liés à l’abus de la technologie de clonage vocal« , a déclaré Samuel Levine, directeur du Bureau de protection des consommateurs de la FTC, lors du lancement du concours en novembre. « Notre objectif est d’intervenir avant que ces dommages n’atteignent le marché et d’appliquer la loi en cas d’infraction.« 

La FTC a déjà organisé des concours similaires pour lutter contre les appels automatisés et les failles de sécurité dans les appareils connectés à Internet.

En lançant ce défi, la FTC souligne que les problèmes posés par l’IA et le clonage vocal ne peuvent être résolus uniquement par des moyens technologiques. L’agence envisage d’utiliser son pouvoir réglementaire et ses capacités d’application de la loi pour protéger les consommateurs contre les fraudes basées sur l’IA.

Assurance cyber sécurité, Cybersécurité

NotPetya, six ans après : Merck et ses assureurs trouvent un accord !

Six ans après la redoutable cyberattaque NotPetya, le géant pharmaceutique Merck a conclu un accord significatif avec ses assureurs. Cet arrangement, non divulgué mais initialement rapporté par Bloomberg Law, marque la fin d’une bataille juridique intense qui a captivé les secteurs de la cybersécurité et de l’assurance. Au cœur du débat : la définition des ‘actes de guerre’ dans le cyberespace.

En 2017, suite à l’attaque NotPetya, Merck, basée aux États-Unis dans le New Jersey, s’est vu refuser une couverture d’assurance pour près de 700 millions de dollars. La raison invoquée était une clause d’exclusion pour les ‘actes de guerre’. NotPetya, un logiciel malveillant d’envergure, a initialement ciblé des logiciels de comptabilité ukrainiens avant de s’étendre à l’échelle mondiale, affectant plus de 40 000 appareils du réseau de Merck. On soupçonne des pirates russes d’être à l’origine de cette attaque.

Début 2022, la justice du New Jersey a statué que la clause d’exemption pour guerre ne s’appliquait pas dans ce cas. Cette décision, confirmée en appel en 2023, a conduit les assureurs à faire appel une dernière fois. Toutefois, selon Bloomberg Law, un accord ‘de dernière minute’ a été conclu juste avant l’audience prévue devant la Cour suprême du New Jersey.

Dans sa décision initiale, le tribunal a souligné que, bien que le paysage cybernétique ait évolué avec l’implication croissante d’acteurs étatiques dans des activités malveillantes, il était évident pour les deux parties que les cyberattaques, qu’elles soient privées ou d’origine étatique, sont de plus en plus courantes. Le tribunal a critiqué les assureurs pour n’avoir pas actualisé le libellé de leur clause d’exclusion, laissant ainsi Merck dans l’incertitude quant à la couverture des cyberattaques.

Depuis NotPetya, des efforts ont été déployés pour clarifier les types d’attaques couverts par les exemptions. Lloyd’s de Londres, un acteur majeur du marché de l’assurance, a annoncé en 2022 de nouvelles directives exigeant des souscripteurs d’exclure les cyberattaques liées à des conflits étatiques ou à des incidents compromettant significativement la fonctionnalité d’un État.

Dans un cas similaire, lié à l’attaque NotPetya, le géant de l’agroalimentaire Mondelez a également trouvé un accord en 2022 avec l’assureur Zurich, après que celui-ci ait refusé une demande d’indemnisation de 100 millions de dollars pour des raisons comparables.

Cybersécurité, Mise à jour

Crypto-monnaies : compromission du kit Ledger Connect

Des pirates s’invitent dans un outil Ledger et affiche, une fois de plus les limites du SBOM dans la protection de la chaine d’approvisionnement.

Le kit Ledger Connect, une solution logicielle développée par Ledger, entreprise spécialisée dans les portefeuilles physiques pour stocker les crypto-monnaies, a été victime d’une attaque informatique sophistiquée ciblant la chaîne d’approvisionnement. Le kit Ledger Connect est une solution logicielle qui permet aux développeurs de connecter leurs applications aux portefeuilles matériels Ledger, via API.

La faille a entrainé la redirection des transactions des utilisateurs vers un portefeuille contrôlé par le pirate. Le malveillant a réussi sont attaque à la suite d’un hameçonnage [phishing] auprès d’un ancien employé (prise de contrôle du compte npm), puis injection de code malveillant dans les versions 1.1.5, 1.1.6 et 1.1.7 du kit de Ledger.

A l’heure actuelle, plus de 700 000 $ ont été volés. Ledger a rapidement publié la version 1.1.8 pour corriger la vulnérabilité.

Pourquoi un SBOM, n’est pas suffisant ?

Le SBOM, ou « Software Bill of Materials », est essentiellement une liste détaillée des composants logiciels dans un produit programme informatique. Imaginez-le comme une liste d’ingrédients pour un code source.

Bien qu’une nomenclature logicielle (SBOM) soit un outil essentiel pour améliorer la transparence et la sécurité des chaînes d’approvisionnement logicielles, son efficacité reste limitée dans certains types d’attaques. Un SBOM répertorie efficacement tous les composants utilisés dans un produit logiciel, « mais il traite principalement des problèmes liés aux vulnérabilités connues de ces composants, et non nécessairement de la sécurité du mécanisme de distribution en lui-même. » confie la société Checkmarx.

Dans le cas de l’attaque du Kit Ledger Connect, le problème principal résidait dans le processus de distribution, qui a été compromis via le piratage du compte NPM. L’attaquant a publié des versions malveillantes du package via un canal légitime, pas nécessairement signalé par le SBOM. Étant donné que ce dernier répertorie les composants, il n’était donc pas en mesure d’identifier le code malveillant introduit dans les versions compromises.

Les SBOM doivent ainsi être complétés par des mécanismes d’analyse rapides et proactifs capables de détecter en temps réel les modifications non autorisées ou les activités malveillantes, au-delà de la simple liste de composants.

Bitcoin, Cybersécurité

Traque aux blanchiments d’argent 2.0

Lutte contre le blanchiment d’argent : 28 sociétés de crypto-monnaies collaborent avec le ministère indien des finances.

Le ministère indien des finances a annoncé que 28 fournisseurs de services d’actifs virtuels (VASP) se sont enregistrés auprès de la cellule de renseignement financier (CRF) indienne pour intensifier la lutte contre le blanchiment d’argent impliquant des crypto-monnaies.

Pankaj Chaudhary, le ministre indien des finances, a présenté un rapport écrit à la chambre basse du parlement pour informer de ces développements. Parmi les sociétés ayant adhéré à cet enregistrement figurent des plateformes d’échange de crypto-monnaies bien connues en Inde, telles que WazirX, Coin DCX et Coinswitch.

En mars, le ministère indien des finances avait émis une directive obligeant les sociétés opérant dans le secteur des crypto-monnaies à s’enregistrer auprès de la CRF, dans le but de se conformer aux lois anti-blanchiment d’argent. En outre, le ministère avait imposé aux acteurs de l’industrie de mettre en œuvre des procédures de connaissance du client (KYC).

Concrètement, les entreprises enregistrées doivent conserver des données KYC, des documents d’identification des clients, ainsi que des informations sur les comptes et la correspondance commerciale liée aux utilisateurs. Le ministère des finances indien a également souligné que ces directives et exigences de déclaration s’appliquent également aux plateformes de crypto-monnaies basées à l’étranger qui proposent leurs services aux traders indiens.

backdoor, Cybersécurité, Wordpress

Méfiez-vous des fausses notifications et plugins malveillants

La sécurité des sites Web WordPress est une préoccupation majeure pour de nombreux administrateurs. Récemment, une nouvelle menace a émergé sous la forme de fausses notifications de sécurité prétendant qu’une vulnérabilité dangereuse.

Répertoriée sous l‘ID CVE-2023-45124, affecte votre site. Mais méfiez vous, car cette menace n’est rien d’autre qu’une tentative sournoise d’infecter votre site avec un plugin malveillant.

Comment fonctionne cette attaque ? Les utilisateurs de WordPress reçoivent des e-mails qui semblent provenir de WordPress lui-même, alertant sur une vulnérabilité critique d’exécution de code à distance (RCE) détectée sur leur site. La peur de la sécurité incite les administrateurs à agir rapidement, et la solution semble simple : installer un plugin qui prétend résoudre le problème de sécurité.

Cependant, c’est là que réside le piège. En cliquant sur le bouton « Télécharger le plugin », les utilisateurs sont redirigés vers une page qui ressemble étonnamment au site officiel de WordPress, « wordpress.com ». La page affiche fièrement un nombre impressionnant de 500 000 téléchargements du plugin, ainsi que des avis d’utilisateurs élogieux. Toutefois, il s’agissait d’une fausse page reprenant la page officielle : « en-gb-wordpress[.]org » [la page officielle en-gb.wordpress.org], un subterfuge bien élaboré.

Après avoir installé le plugin, il crée un administrateur caché, baptisé « wpsecuritypatch« , et commence à envoyer des informations sensibles à un Serveur de Commande et Contrôle (C2). Le code malveillant est ensuite téléchargé et stocké sur le site, mettant potentiellement en danger l’intégrité de votre site Web.

Ce plugin malveillant est équipé de fonctionnalités redoutables, telles que la gestion de fichiers, un client SQL, une console PHP et un terminal de ligne de commande. De plus, il fournit aux attaquants des informations détaillées sur le serveur compromis, ce qui leur donne un contrôle considérable sur votre site.

Ce qui rend cette menace particulièrement sournoise, c’est que le plugin ne s’affiche pas dans la liste des plugins installés, le cachant ainsi aux yeux des administrateurs. Cette dissimulation rend sa détection et sa suppression difficiles.

Alors, quel est l’objectif final de ce plugin malveillant ? Pour l’instant, il demeure un mystère, mais les experts en sécurité émettent des hypothèses inquiétantes. Il pourrait être utilisé pour injecter de la publicité sur des sites compromis, rediriger les visiteurs vers des destinations malveillantes, voler des informations confidentielles ou même faire chanter les propriétaires de sites en menaçant de divulguer le contenu de leur base de données.

Heureusement, des experts en sécurité WordPress tels que Wordfence et PatchStack ont pris des mesures pour alerter la communauté. Ils ont publié des avertissements sur leurs sites Web pour sensibiliser les administrateurs et les utilisateurs à cette menace grandissante.

Alors, que pouvez-vous faire pour protéger votre site WordPress ? Tout d’abord, soyez extrêmement prudent lors de l’installation de plugins inconnus. Assurez-vous de les télécharger à partir de sources fiables uniquement. De plus, soyez vigilant face à tout e-mail suspect prétendant provenir de WordPress.

Cybersécurité

Cybersécurité aérienne avec « Fly Catcher »

Angelina Tsuboi, une pilote hacker, a développé un système révolutionnaire appelé « Fly Catcher », basé sur l’emblématique ordinateur monocarte Raspberry Pi.

« Fly Catcher » est un système sophistiqué conçu pour détecter les signaux d’avion usurpés, une menace croissante dans le domaine de l’aviation. La technologie clé utilisée ici est le système de surveillance dépendante automatique-B (ADS-B), qui est couramment employé dans l’aviation pour transmettre des informations de localisation des avions. Cependant, il présente un inconvénient majeur : il peut être manipulé par des pirates pour diffuser de fausses données, créant ainsi un risque potentiel pour la sécurité aérienne.

Le génie de « Fly Catcher » réside dans sa capacité à résoudre ce problème. Le système surveille la fréquence 1090 MHz et, grâce à un réseau neuronal spécialement conçu pour ce projet, détermine l’authenticité des signaux d’avion détectés. Le cerveau de ce système est un Raspberry Pi, une carte informatique polyvalente, sur laquelle fonctionne un réseau neuronal programmé en Python. Cet algorithme a été formé avec des données ADS-B précises pour distinguer les informations de vol légitimes des données falsifiées.

Pour tester l’efficacité de « Fly Catcher », Angelina Tsuboi a utilisé un Raspberry Pi 3 B+ connecté à une antenne 1,090 MHz, ainsi que du matériel FlightAware SDR pour lire les signaux ADS-B en temps réel. Le système a été mis à l’épreuve lors d’un vol d’une heure au-dessus de la ville de Los Angeles, une expérience capturée et partagée sur sa chaîne YouTube.

Ce qui rend ce projet encore plus exceptionnel, c’est la générosité d’Angelina Tsuboi envers la communauté de la cybersécurité. Elle a décidé de rendre « Fly Catcher » open source, mettant ainsi le code source à la disposition de tous sur la plateforme GitHub. Cette décision reflète son engagement envers la sécurité aérienne et sa volonté de collaborer avec d’autres experts pour renforcer la cybersécurité dans le domaine de l’aviation.

Pour en savoir plus sur ce projet innovant, vous pouvez visiter la page officielle de « Fly Catcher » sur le site Hackster. Angelina Tsuboi incarne la passion et l’ingéniosité qui sont nécessaires pour relever les défis complexes de la cybersécurité, et son travail avec « Fly Catcher » est une étape importante vers un ciel plus sûr pour tous.

Cybersécurité, Securite informatique

Le mystérieux pirate de la blockchain blanchit des millions avec Magic : The Gathering

La blockchain ne cesse de permettre de remonter à des pirates informatiques. Il a été découvert qu’un hacker avait blanchi une partie de l’argent volé via des cartes Magic : The Gathering !

Tout a commencé en avril 2021, lorsque la plateforme Uranium Finance DeFi a été piratée. Le résultat de cette attaque a été une perte massive de 50 millions de dollars, dont 80 Bitcoins, 1 800 ETH, et divers autres actifs numériques. Cependant, ce qui a suivi a été encore plus surprenant.

L’attaquant, cherchant à brouiller les pistes, a pris des mesures pour blanchir une partie des fonds volés. Le pirate a envoyé 2 438 ETH à Tornado Cash, une plateforme de confidentialité cryptographique, et a également converti d’autres crypto-monnaies en ETH et Bitcoin. Mais c’est là que cela devient vraiment intéressant.

En 2021, ce mystérieux pirate a commencé à retirer environ 11 200 ETH de Tornado Cash, en petits incréments de 100 pièces, puis il a entrepris une série de transactions complexes. Il a échangé ces ETH contre de l’ETH enveloppé (WETH), les a transférés vers une nouvelle adresse et les a échangés contre des pièces stables USDC. Jusque-là, tout semble être une opération de blanchiment de routine, mais voici le tournant inattendu.

Le pirate a utilisé une partie de ces fonds pour acheter des cartes Magic : The Gathering. Pour ce faire, il a fait appel à un courtier américain, agissant comme intermédiaire, sans jamais révéler son identité aux vendeurs. Les sommes en jeu étaient astronomiques, avec des dépenses de plusieurs millions de dollars en decks de démarrage, en sets alpha et en boîtes de cartes scellées. Ce qui est encore plus étonnant, c’est que le pirate a accepté de payer entre 5 et 10 % de plus que la valeur réelle de ces cartes.

Mais les manigances ne s’arrêtent pas là. Une partie des fonds a également été transférée vers des échanges centralisés tels que Kraken, Bitpay et Coinbase. Selon le chercheur ZachXBT, ces mouvements visaient à rendre la traçabilité des fonds encore plus difficile, rendant ainsi la tâche des enquêteurs complexe.

Le piratage d’Uranium Finance en avril 2021 reste l’un des incidents les plus retentissants dans le domaine de la finance décentralisée (DeFi). La plateforme Uranium Finance, basée sur la Binance Smart Chain et dérivée du populaire protocole DeFi Uniswap V2, a été victime d’une faille de sécurité critique lors de sa migration vers la version V2. Cela a permis au pirate d’effacer du système une multitude de cryptomonnaies, dont Bitcoin (BTC), Ethereum (ETH), Binance USD (BUSD), Tether (USDT), Cardano (ADA), Polkadot (DOT), Wrapped BNB (wBNB), ainsi que les jetons natifs Uranium U92.

Une histoire qui met en lumière les défis et les ruses auxquels sont confrontés ceux qui tentent de suivre la trace des criminels de la blockchain. Le mystérieux pirate qui a utilisé Magic : The Gathering pour blanchir des millions de dollars reste dans l’ombre.

Bitcoin, Cybersécurité, nft

Une nouvelle fonction dans la blockchain Ethereum a conduit au vol de 60 millions de dollars

Create2, une nouvelle fonction dans la blockchain, a aidé les fraudeurs à contourner la sécurité d’Ethereum et à trouver une nouvelle source de revenus pour les hackers malveillants.

Les attaquants ont trouvé un moyen de contourner les systèmes de sécurité des portefeuilles de crypto-monnaie en utilisant la fonction Create2 de la blockchain Ethereum. Cette méthode a permis le vol de 60 millions de dollars de crypto-monnaie auprès de 99 000 utilisateurs au cours des 6 derniers mois. Dans certains cas, les pertes individuelles ont atteint 1,6 million de dollars.

Create2, introduit dans la mise à jour Constantinople, permet de créer des contrats intelligents sur la blockchain avec la possibilité de pré-calculer leurs adresses avant le déploiement. La fonction, bien que légitime, a créé de nouvelles vulnérabilités dans le système de sécurité Ethereum.

La principale méthode d’abus consiste à créer de nouvelles adresses contractuelles sans historique de transactions suspectes. Les attaquants incitent les victimes à signer des transactions malveillantes, puis transfèrent les actifs vers des adresses pré-calculées. Ainsi, l’une des victimes a perdu 927 000 $ en cryptomonnaie GMX en signant un contrat de transfert frauduleux.

Une autre méthode, connue sous le nom d’empoisonnement d’adresse (spoofing), consiste à créer plusieurs adresses et à sélectionner celles qui sont similaires aux adresses légitimes des victimes. Ainsi, les utilisateurs envoient des actifs à des fraudeurs, croyant à tort qu’ils transfèrent des fonds vers des adresses familières. Depuis août 2023, 11 cas ont été enregistrés dans lesquels les victimes ont ainsi perdu environ 3 millions de dollars.

Les attaques sont souvent passées inaperçues, mais certaines ont attiré l’attention du public. Le service MetaMask a mis en garde contre les fraudeurs utilisant des adresses nouvellement créées qui correspondent aux adresses utilisées par les victimes lors de transactions récentes. Dans un cas, l’opérateur Binance a envoyé par erreur 20 millions de dollars à des fraudeurs, mais a rapidement remarqué l’erreur et gelé le compte du destinataire.

Les experts soulignent que la méthode d’utilisation d’adresses de crypto-monnaie similaires n’est pas sans rappeler les tactiques utilisées par les logiciels malveillants pour détourner le presse-papiers, par exemple, comme le fait Laplas Clipper.

À cet égard, les experts recommandent fortement aux utilisateurs de vérifier soigneusement les adresses des destinataires lorsqu’ils effectuent des transactions en crypto-monnaie afin d’éviter de telles escroqueries.

Cybersécurité, Mise à jour

La Russie va perdre son .aero

Les compagnies de transport aérien russes se retrouvent dans une situation délicate depuis que SITA, la société suisse qui administre la zone de domaine de premier niveau de l’aviation internationale .aero, a décidé de bloquer l’accès à cette zone pour les clients de la Fédération de Russie.

Une décision qui risque d’être un sérieux problème pour la Russie. Le 10 novembre, date à laquelle Ru-Center, le plus grand registraire de domaines commerciaux en Russie, a informé les entreprises aériennes russes de la résiliation imminente de leurs services d’enregistrement et de renouvellement de domaines .aero.

La zone de domaine aéronautique internationale .aero a été créée en 2002 spécifiquement pour les acteurs de l’industrie aéronautique, tels que les compagnies aériennes, les aéroports, les entreprises spatiales, les clubs aériens, les systèmes de billetterie, les équipages d’avions et les services au sol. Pour enregistrer un domaine .aero, il est nécessaire d’obtenir un identifiant unique de la communauté aéronautique, ce qui garantit que seuls les acteurs légitimes de l’industrie y ont accès. Le coût de l’enregistrement d’un tel domaine commence à 5,8 mille roubles en Russie. En plus de représenter une identité importante pour les entreprises aéronautiques, les domaines .aero sont essentiels pour la communication avec les passagers et la vente de billets en ligne.

En Russie, plus de 200 sites sont enregistrés dans la zone de domaine .aero, ce qui témoigne de son importance pour l’industrie aéronautique du pays. Parmi les utilisateurs de cette zone, on trouve plus de 30 aéroports, notamment les aéroports de Cheremetyevo, Joukovski, Kazan, Krasnoïarsk, ainsi que les holdings Aéroports des régions et Aérodynamique. De plus, une quinzaine de compagnies aériennes russes, telles que Pobeda, Azimut, Yamal, Ikar, Alrosa, et d’autres, dépendent également de cette zone pour leurs opérations en ligne. Même Russian Helicopters, une entreprise spécialisée dans la fabrication d’hélicoptères, utilise des domaines .aero.

.aero

La décision de SITA de bloquer l’accès à la zone .aero pour les entreprises aériennes russes n’est pas totalement surprenante. Cette décision est vue comme un acte de plus dans une série d’actions hostiles contre l’aviation russe. L’année précédente, SITA avait déjà commencé à réduire ses activités en Russie en réponse à la participation de la société SVO en Ukraine. Cette réduction d’activité avait entraîné la fermeture de la plupart de ses services en Russie, ce qui avait été signalé au ministère des Transports.

L’aéroport de Krasnoïarsk a reconnu le risque de non-renouvellement de son enregistrement de domaine .aero, mais jusqu’à présent, il n’a pas reçu de confirmation de la part de son registraire. Malgré cela, l’aéroport prend des mesures pour minimiser les conséquences potentielles en cas de blocage de ses domaines .aero.

Le holding Aerodinamika, qui gère les aéroports de Sotchi, Krasnodar et Anapa, n’a pas encore été notifié de la suspension de l’enregistrement des domaines .aero. Cependant, l’entreprise ne prend pas de risques inutiles et a déclaré : « Nous gérons les risques, c’est pourquoi en 2022, des domaines de la zone .ru ont été achetés pour les sites Web de tous les aéroports gérés. Une fois l’enregistrement des domaines .aero terminé, les sites seront rapidement transférés vers ceux achetés dans la zone .ru.« 

La décision de SITA de bloquer l’accès à la zone .aero pour les entreprises aériennes russes soulève des questions sur les relations internationales dans le domaine de l’aviation. Elle montre également l’importance croissante de la cybersécurité et de la souveraineté numérique pour les acteurs de l’industrie aéronautique. Les entreprises russes devront désormais prendre des mesures pour garantir la continuité de leurs opérations en ligne et la communication avec leurs clients, même si cela signifie migrer vers d’autres domaines de premier niveau tels que .ru. La situation met en évidence l’importance de la planification et de la préparation pour faire face à de telles perturbations inattendues, qui peuvent avoir un impact sur l’ensemble de l’industrie aéronautique russe.

Bitcoin, Cybersécurité, Securite informatique

les groupes militants soutenus par l’Iran passent du bitcoin au tron pour financer leurs activités.

Les groupes militants, notamment ceux soutenus par l’Iran, sont en train de changer leurs méthodes de financement, passant du Bitcoin au Tron, une plateforme de blockchain plus rapide et moins coûteuse.

Voilà une transformation dans le monde de la cryptomonnaie qui attire l’œil. Selon de nombreux experts interviewés par l’agence de presse Reuters, les groupes para militaires, notamment ceux soutenus par l’Iran, changeraient leurs méthodes de financement. Ils ne passent plus par la cryptomonnaie Bitcoin. Ils préfèrent dorénavant Tron.

Le réseau Tron se distingue par sa rapidité et ses coûts réduits, devenant ainsi une option privilégiée pour ces groupes. Les autorités israéliennes ont remarqué cette tendance et ont intensifié la saisie de portefeuilles Tron liés à des activités suspectes.

Saisies et gel de portefeuilles Tron

Entre juillet 2021 et octobre 2023, la NBCTF, le National Bureau for Counter Terror Financing of Israel, a gelé 143 portefeuilles Tron soupçonnés d’être associés à des organisations terroristes ou utilisés dans des crimes graves. Ces actions ciblaient des groupes tels que le Hezbollah libanais, le Djihad islamique palestinien et le Hamas, ainsi que des entités liées à l’échangeur Dubai Co, basé à Gaza.

A noter d’ailleurs qu’Israël a récemment réalisé une saisie record de crypto-monnaies, impliquant environ 600 comptes liés à Dubai Co. Les détails précis des réseaux ou des crypto-monnaies impliquées n’ont pas été divulgués. Les autorités israéliennes ont confisqué des millions de shekels sur des comptes cryptographiques suspectés d’avoir des liens avec le Hamas et d’autres groupes militants au Moyen-Orient au cours des deux dernières années.

Déclarations des utilisateurs de Tron

Suite à ces saisies, plus d’une douzaine de personnes dont les fonds ont été bloqués ont affirmé à Reuters utiliser Tron pour des transactions personnelles, sans lien avec le financement du terrorisme. Une seule personne, s’identifiant comme Neo, a admis avoir transféré de l’argent à une personne associée au Hamas. Cependant, ces affirmations n’ont pas été vérifiées indépendamment par Reuters.

Selon le Wall Street Journal, les militants palestiniens ont reçu au moins 134 millions de dollars en cryptomonnaies. TRM Labs rapporte que les structures de soutien à l’ISIS en Asie ont utilisé des cryptomonnaies, principalement le stablecoin USDT sur le réseau Tron, pour lever plus de 2 millions de dollars.

Position de Tron

Hayward Wong, porte-parole de Tron, a souligné que la société ne contrôle pas les utilisateurs de sa technologie et n’est pas associée à des groupes terroristes. Justin Sun, cofondateur de Tron, a affirmé que le protocole luttait contre le financement du terrorisme en intégrant divers outils analytiques. La fondation TRON a été créée en juillet 2017 à Singapour par l’entrepreneur chinois Justin Sun. Une levée de fonds en cryptomonnaies (Initial Coin Offering) a généré 70 millions de dollars pour le lancement de la blockchain.

Cybersécurité, Justice, loi

LA FCC ADOPTE DE NOUVELLES RÈGLES PERMETTANT AUX FOURNISSEURS DE SERVICES SANS FIL DE CONTRÔLER L’ÉCHANGE DE CARTES SIM

La Federal Communications Commission (FCC) a pris une mesure décisive pour combattre la fraude par échange de cartes SIM, une pratique qui a causé des pertes financières considérables et continue de sévir dans le monde de la cybercriminalité.

Cette fraude, qui consiste à persuader un opérateur de téléphonie mobile de transférer le service d’une victime sur un appareil contrôlé par des pirates, donne accès à des informations personnelles et des mots de passe. Face à ce problème, la FCC a imposé de nouvelles règles pour renforcer la sécurité dans le secteur.

Exigences renforcées pour les fournisseurs

Les fournisseurs de services sans fil devront désormais adopter des méthodes sécurisées pour authentifier les clients avant de rediriger leur numéro vers un nouvel appareil ou fournisseur. De plus, ils sont tenus d’informer immédiatement leurs clients lorsqu’un changement de carte SIM ou une demande de portage est effectué sur leur compte.

Les nouvelles règles visent à établir un cadre uniforme pour le secteur tout en laissant la flexibilité aux fournisseurs de proposer des mesures de protection avancées et appropriées contre la fraude.

Mise à jour des règles CPNI et de portabilité

Ces règles actualisent les régulations antérieures sur l’Information Réseau Propriétaire des Clients (CPNI) et la portabilité des numéros locaux, renforçant ainsi les mesures de sécurité. Appel à la contribution publique
La FCC encourage le public à proposer d’autres moyens de lutter contre la fraude à l’échange de carte SIM et la fraude au port-out, une arnaque similaire impliquant le transfert de numéro de téléphone vers un nouveau compte contrôlé par des fraudeurs.

Le FBI a rapporté que les pertes dues aux attaques par échange de carte SIM ont atteint plus de 68 millions de dollars en 2021, marquant une augmentation exponentielle depuis 2018.

Réponse de la FCC

Jessica Rosenworcel, présidente de la FCC, souligne l’importance de donner aux abonnés plus de contrôle sur leurs comptes et d’alerter les consommateurs à chaque demande de transfert de carte SIM pour prévenir les activités frauduleuses.

La FCC s’efforce d’améliorer la confidentialité des consommateurs et de mettre fin aux escroqueries aux cartes SIM, reconnaissant le rôle central des téléphones dans nos vies et la nécessité de protéger les informations qu’ils contiennent.

Pour aborder ces enjeux, la FCC a créé un groupe de travail sur la confidentialité et la protection des données, visant à résoudre des problèmes tels que l’échange de cartes SIM et autres défis liés à la sécurité des données.

Ces mesures représentent une avancée significative dans la lutte contre la fraude numérique, protégeant ainsi les consommateurs contre les tactiques de plus en plus sophistiquées des cybercriminels.

backdoor, Cybersécurité, Téléphonie

LE PARLEMENT EUROPÉEN CRITIQUE L’INACTION SUR LES LOGICIELS ESPIONS

Dans une résolution adoptée majoritairement (424 voix pour, 108 contre, et 23 abstentions), les législateurs ont ouvertement critiqué la Commission européenne pour son manque d’action contre les abus liés aux logiciels espions. Cette démarche intervient dans un contexte de plus en plus inquiet concernant la surveillance numérique au sein de l’Union Européenne (UE).

Le vote est le fruit d’un examen minutieux mené par la Commission d’enquête sur l’utilisation de Pegasus et d’autres logiciels espions de surveillance (PEGA). Cette enquête parlementaire a révélé des pratiques alarmantes d’abus de surveillance par des acteurs étatiques.

Une réponse timide de la commission

La Commission a initialement argumenté qu’elle ne pouvait empiéter sur les responsabilités de sécurité des États membres. Sophie In’t Veld, rapporteure de PEGA, a critiqué cette position, soulignant que les autorités nationales étaient elles-mêmes impliquées dans ces abus. Face à l’ampleur du problème, une association d’organisations de défense des libertés civiles et des droits de l’homme plaide pour une interdiction totale des logiciels espions dans l’UE. Les députés envisagent de lancer une deuxième enquête en 2023 pour approfondir cette question.

Des mesures pour protéger les journalistes

En septembre dernier, la Commission a proposé une législation visant à protéger les journalistes contre le ciblage par des logiciels espions. Toutefois, cette initiative fait face à de vives contestations du Conseil européen, qui cherche à réduire le niveau de protection des journalistes. Le Conseil européen a émis une position de négociation qui pourrait limiter la capacité de la Cour de justice de l’UE d’intervenir contre les États membres accusés d’espionner des journalistes.

Cette loi, en cours de négociation, est critiquée par des groupes de la société civile, qui la considèrent comme trop « édulcorée » pour être efficace.

Cybersécurité, loi

L’AUSTRALIE REVISE SA STRATÉGIE CYBERSÉCURITÉ SANS INTERDIRE LES PAIEMENTS DE RANÇONS

Le gouvernement australien a choisi de ne pas interdire les paiements de rançon dans le cadre de sa nouvelle stratégie nationale de cybersécurité, contrairement à ce qui avait été initialement envisagé.

Annoncée il y a quelques jours, la nouvelle stratégie de l’Australie face aux rançongiciels met l’accent sur une obligation de déclaration obligatoire des incidents de ransomware. L’idée, tout comme en France ou encore aux USA, alerter les autorités et ne rien cacher des infiltrations liées à une cyberattaque, dont les ransomwares. Bilan, le gouvernement australien ne souhaite plus interdire le paiement de rançon, mais contrôler au mieux.

Cette révision stratégique, dévoilée presque un an après que la ministre de l’Intérieur et de la Cybersécurité, Clare O’Neil, ait proposé de criminaliser les paiements de rançon, fait suite à plusieurs incidents majeurs affectant des entreprises australiennes. Dotée d’un budget de 587 millions de dollars australiens sur sept ans, soit plus de 350 millions d’euros, cette stratégie vise à atténuer l’impact des ransomwares, estimé à 3 milliards de dollars australiens de dommages annuels [1,8 milliard d’euros] pour l’économie du pays.

Le gouvernement australien va donc introduire une obligation pour les entreprises de signaler les attaques de ransomware. Cette mesure vise à combler le manque d’informations sur l’impact réel de ces incidents sur l’économie nationale. Le gouvernement envisage de partager des rapports anonymisés sur les tendances des ransomwares et de la cyberextorsion avec l’industrie et la communauté pour renforcer la résilience nationale contre la cybercriminalité.

L’attaque contre Medibank, l’un des plus grands fournisseurs d’assurance maladie du pays, est l’un des incidents les plus médiatisés, ayant abouti à la publication en ligne de données sensibles sur environ 480 000 personnes. O’Neil a exprimé sa préférence pour une interdiction totale des paiements de rançon afin de saper le modèle économique des cybercriminels, mais a reconnu que ce n’était pas le bon moment pour une telle mesure. Le gouvernement reconsidérera cette possibilité dans deux ans. En réponse aux attaques, le gouvernement australien a lancé l’Opération Aquila, une collaboration entre la police fédérale australienne et l’agence nationale de cyber-intelligence, pour combattre la cybercriminalité en utilisant des capacités offensives.

Parallèlement, le projet REDSPICE bénéficiera d’un financement accru pour renforcer les cybercapacités offensives du pays. Ces capacités resteront confidentielles. L’Australie, comme de nombreux autres pays, s’est engagée à ne pas payer de rançons en cas d’attaque de ses réseaux. Une annonce faîte, en novembre 2023, lors de la réunion spéciale « Ransomware » organisée par la Maison Blanche.

backdoor, Cybersécurité, Espionnae

APPLE AVERTIT LES ARMÉNIENS DE TENTATIVES DE PIRATAGE SOUTENUES PAR L’ÉTAT

Récemment, Apple a envoyé des alertes à ses clients en Arménie, les informant que leurs téléphones sont ciblés par des pirates informatiques soutenus par un État.

Le logiciel d’espionnage Pegasus est-il caché derrière l’alerte lancée par Apple, au début du mois de novembre, à l’encontre de plusieurs personnalités Arméniennes ? CyberHUB, une organisation arménienne de droits numériques qui enquête sur ces incidents, a observé une augmentation constante des infections par logiciels espions dans le pays au cours des deux dernières années. De nombreuses infections seraient liées au gouvernement azerbaïdjanais, connu pour son histoire conflictuelle avec l’Arménie, en particulier concernant la région contestée du Haut-Karabakh.

« Dans le cas de l’Arménie, ces avertissements signifient que le téléphone a été infecté par le logiciel espion Pegasus« , a déclaré Samvel Martirosyan, co-fondateur de CyberHUB, faisant référence à l’outil de surveillance développé par la firme israélienne NSO Group et vendu à des gouvernements du monde entier. NSO Group qui a demandé, il y a quelques jours, une demande de réunion avec la Maison Blanche pour expliquer l’importance de son outil lors du conflit entre Israël et le Hamas. Une entrevue, demandée par l’avocat de l’entreprise, qui indique d’ailleurs un élément important : le gouvernement israélien semble cautionner et utiliser Pegasus.

Bien qu’Apple n’ait pas précisé le logiciel espion utilisé ni identifié les responsables du piratage, il existe certaines preuves que la dernière vague d’infections a utilisé Pegasus, selon Natalia Krapiva, conseillère juridique et technologique chez Access Now, une organisation à but non lucratif pour les droits numériques. Cependant, elle souligne qu’il est difficile de le savoir avec certitude tant que l’enquête est en cours. Martirosyan a indiqué que le logiciel espion a probablement été installé sur ordre du gouvernement azerbaïdjanais. Pendant la guerre entre l’Arménie et l’Azerbaïdjan en 2020, le logiciel espion Pegasus a été utilisé pour cibler des journalistes, des militants, des fonctionnaires gouvernementaux et des civils arméniens. Bien que l’identité des pirates derrière ces attaques reste floue, des chercheurs suggèrent que l’Azerbaïdjan est l’un des suspects potentiels.

Le Citizen Lab de l’Université de Toronto a identifié au moins deux opérateurs présumés de Pegasus en Azerbaïdjan qui ont ciblé des individus à l’intérieur comme à l’extérieur du pays. Krapiva est également d’avis que « le suspect probable est l’Azerbaïdjan », en raison de son histoire avec Pegasus et de ses liens étroits avec Israël. Les tensions entre l’Arménie et l’Azerbaïdjan sont élevées et ont atteint un point critique en septembre lorsque l’Azerbaïdjan a lancé une offensive militaire à grande échelle au Haut-Karabakh, violant ainsi un accord de cessez-le-feu de 2020.

CyberHUB, qui enquête sur les infections par Pegasus depuis deux ans, a signalé que le nombre de piratages augmente en Arménie. Cependant, l’étendue réelle de ces piratages est difficile à déterminer, car de nombreuses victimes préfèrent ne pas rendre leurs cas publics, selon Krapiva. Elle ajoute que les utilisateurs d’Android ne reçoivent pas du tout de telles notifications. La plupart des infections surviennent lors d’escalades entre l’Arménie et l’Azerbaïdjan. Les cibles en Arménie ont inclus des politiciens de haut rang, des représentants de la société civile, des militants, des journalistes et des rédacteurs.

En septembre, l’Assemblée parlementaire du Conseil de l’Europe a qualifié l’utilisation du logiciel espion Pegasus par plusieurs pays de la région de potentiellement illégale.

Précision : Une version précédente de cet article indiquait que Pegasus avait été utilisé pour cibler des militants en Russie — il a en fait été spécifiquement utilisé contre une journaliste russe lors de son voyage en Allemagne, et elle a reçu la notification en Lettonie.

Cybersécurité, Mise à jour, Patch

L’EXPLOIT PERMETTANT DE CONTOURNER WINDOWS DEFENDER SMARTSCREEN DIVULGUÉ

Le code d’exploitation de démonstration (preuve de concept, PoC) d’une vulnérabilité critique dans Windows Defender a été rendu public.

Cette vulnérabilité, identifiée sous le nom de CVE-2023-36025, permet aux pirates informatiques de contourner efficacement la fonction de sécurité SmartScreen de Windows. Autant dire que cela risque de devenir un sérieux problème si vous n’avez pas encore mis en place le patch qui corrige cette faille.

Microsoft, conscient de l’urgence, a répondu rapidement en déployant un correctif dans sa mise à jour de novembre. Cependant, il est alarmant de constater que, avant même la publication de ce correctif, la vulnérabilité CVE-2023-36025 était déjà exploitée activement dans des cyberattaques, lui conférant ainsi le statut redouté de vulnérabilité « zero-day« .

L’exploit zero-day en question permet aux attaquants d’insérer du code malveillant en déjouant les contrôles de Windows Defender SmartScreen, sans déclencher d’alertes de sécurité. Le vecteur d’attaque implique l’utilisation de raccourcis Web (.url) spécialement conçus ou de liens vers de tels fichiers, nécessitant la participation active de la victime, souvent par le biais de clics imprudents. Un hameçonnage [du Social Engineering via un phishing] aux couleurs de votre entreprise par exemple !

Les systèmes affectés incluent Windows 10, Windows 11 et Windows Server 2008, avec une mention particulière dans l’ensemble de correctifs de novembre en raison de sa haute priorité. Le PoC récemment publié est en soi un simple fichier de raccourci Internet, mais représente un outil puissant pour exploiter la faille CVE-2023-36025. Le spécialiste à l’origine de cette publication met en garde : « Bien que ce fichier .URL conduise à un site malveillant, il peut être déguisé en raccourci inoffensif. Les attaquants peuvent distribuer un tel fichier via des e-mails de phishing ou des ressources Web compromises.« 

L’exploitation de cette vulnérabilité pourrait ouvrir la voie à une distribution massive de logiciels malveillants, des attaques de phishing réussies et diverses autres cybermenaces comme un rançongiciel [ransomware].

Cybersécurité, double authentification

Une solution cyber à double anonymat pour prouver son âge sur le web

Docaposte expérimente une solution sécurisée et souveraine de preuve de majorité qui garantit le double anonymat. Une solution en cours de test sur des sites pour adultes !

Docaposte, la filiale numérique du groupe La Poste, expérimente, dans le cadre du Laboratoire de la protection de l’enfance porté par le Gouvernement, une solution délivrant une preuve d’âge destinée à limiter l’accès aux sites pour adultes aux personnes majeures. La solution développée par Docaposte répond à un triple enjeu : la protection des mineurs, le respect de l’anonymat des utilisateurs et un système ouvert proposant un choix de plusieurs moyens d’identification.

Constituée d’une plateforme numérique et d’une application mobile, la solution propose un dispositif unique de double anonymat, sans transmission d’informations sur l’identité des utilisateurs ni de traçabilité des sites fréquentés. De plus, un hébergement souverain de la solution dans les datacenters installés en France de l’opérateur.

La solution a vocation à être généralisée en début d’année 2024 aux services en ligne nécessitant une vérification sécurisée de l’âge des utilisateurs.

La garantie de l’anonymat et l’absence de traçabilité

La solution est un dispositif sécurisé qui garantit l’anonymat de l’utilisateur et l’absence de traçabilité des sites qu’il consulte. La solution est constituée d’une plateforme internet et d’une application mobile. Ces deux composants ont chacun leur rôle : la plateforme internet sert d’intermédiaire entre l’utilisateur et le site auquel il souhaite accéder. L’application mobile récupère uniquement la preuve d’âge de l’utilisateur, qui est une donnée anonymisée.

Ces deux composants garantissent le double anonymat : le site consulté ne connaît pas l’identité de l’utilisateur et le moyen d’identification choisi par l’utilisateur ne connaît pas le site consulté avec la preuve d’âge.

Concrètement, lorsqu’un utilisateur souhaite accéder à un site requérant un âge minimum, il se connecte sur la plateforme qui confirmera son âge auprès du site pour en autoriser l’accès, en transmettant uniquement une preuve d’âge, sans transmettre la moindre information personnelle sur l’identité de l’utilisateur. De la même manière, le moyen d’identification utilisé (par exemple, L’Identité Numérique La Poste ou un numéro de carte bancaire Mastercard) ne connaît pas le site accédé avec la preuve d’âge.

Une solution sécurisée, souveraine et ouverte

Cette solution est hébergée en France dans ses propres datacenters. La sécurité des données est assurée par un stockage en compartiments étanches empêchant l’accès à l’ensemble des informations personnelles des utilisateurs et des usages de leur preuve d’âge. Conçue dans une logique de plateforme ouverte à différents moyens d’identification, la solution offre aux utilisateurs le choix de la modalité d’identification qui leur convient le mieux.

Dans la phase d’expérimentation, la plateforme propose L’Identité Numérique La Poste, l’utilisation de sa pièce d’identité (contrôlée par un service de vérification d’identité à distance) ou un numéro de carte bancaire Mastercard. Des négociations sont en cours en vue de l’intégration de nouveaux partenaires et de l’élargissement du nombre d’options d’identification proposées aux utilisateurs.

L’expérimentation, lancée depuis plusieurs semaines avec des sites pour adultes, s’achèvera début 2024. Une généralisation de la solution est par la suite prévue. Au-delà des sites pour adultes, elle apporte une réponse aux besoins de protection des mineurs et de respect de la loi en matière de vérification d’âge par des activités réglementées tels que les jeux vidéos à contenu violent ou adulte ou l’achat d’alcool et de tabac en ligne.

Cybersécurité, Mise à jour, Securite informatique

Black Friday, Cyber monday : les commerçants Français confrontés à une augmentation des cyber attaques

Dans le paysage en constante évolution du commerce en ligne, les commerces français font face à une menace croissante en matière de cybersécurité. Selon de récentes données, 60% des attaques ciblant ces entreprises sont des attaques de logique commerciale, dépassant largement la moyenne mondiale de 37%. Cette tendance inquiétante met en lumière les défis croissants auxquels le secteur du e-commerce est confronté en France.

De plus, une proportion significative du trafic non désiré sur les sites français de vente au détail est désormais associée à des robots avancés, dépassant la moyenne mondiale de 53%. Ces « bad bots » posent un problème sérieux en matière de sécurité en ligne, car ils sont souvent utilisés pour des activités malveillantes.

L’évolution des attaques est également préoccupante. Au cours des 12 derniers mois, on a observé une augmentation spectaculaire de 4 fois des attaques DDoS de niveau 7 chez les commerçants français. De plus, les attaques DDoS de la couche applicative ont augmenté de près de 10 fois pendant la période des achats de Noël par rapport à l’année précédente. Ces attaques automatisées, en particulier celles visant la logique commerciale des applications, représentent une menace majeure pour les commerces.

Les cybercriminels cherchent à exploiter les vulnérabilités des applications, des API et des données du secteur du e-commerce, avec des conséquences potentiellement désastreuses pour les entreprises visées.

Karl Triebes, SVP et GM de la sécurité des applications chez Imperva, met en garde : « Les risques sécuritaires auxquels le secteur du e-commerce est confronté sont de plus en plus élaborés, automatisés et difficiles à détecter. Cette automatisation sophistiquée peut sérieusement affecter les résultats financiers des retailers, compromettant ainsi les ventes de fin d’année.« 

Les perspectives pour la période des fêtes de fin d’année 2023 sont également inquiétantes. Une récente augmentation des attaques de bots malveillants, en particulier sur les sites de e-commerce basés aux États-Unis et en France, laisse présager une perturbation potentielle des ventes pendant le Black Friday et le Cyber Monday. Les attaques DDoS au niveau des applications sont en hausse par rapport à la même période l’année dernière, accentuant les risques pour la période des fêtes.

Cybersécurité, IA

YouTube impose des règles pour les contenus générés par l’IA

La révolution de l’intelligence artificielle (IA) est en train de bouleverser notre monde à bien des égards, et l’une des dernières frontières à être touchée est l’industrie du contenu vidéo en ligne. YouTube, la plate-forme vidéo la plus importante du monde, est en train de prendre des mesures pour réglementer ces nouvelles formes de médias créés par des machines intelligentes. Dans cet article, nous allons examiner les nouvelles règles que YouTube a mises en place pour encadrer les contenus générés par l’IA.

L’IA à l’assaut de YouTube ? Il est indéniable que l’IA est devenue une force majeure dans le monde de la création de contenu. Des algorithmes sophistiqués peuvent désormais générer des vidéos, des images et même des textes de manière quasi indiscernable de ce que produiraient des créateurs humains. YouTube, anticipant une augmentation future du nombre de vidéos créées par des machines, a décidé d’établir des directives claires pour ces types de contenus.

La transparence en premier

Une des règles majeures mises en place par YouTube est la nécessité de transparence. Les créateurs doivent désormais indiquer clairement si une vidéo a été générée par l’IA ou si elle contient des éléments créés ou adaptés par des algorithmes. Cela est particulièrement important pour les contenus qui semblent réalistes, car il est essentiel que les téléspectateurs sachent si des outils d’IA ont été utilisés dans leur création.

Un porte-parole de YouTube a expliqué cette décision en déclarant : « Nous voulons que les utilisateurs aient un contexte lorsqu’ils regardent un contenu réaliste. Cela leur permet de savoir si des outils d’IA et d’autres changements synthétiques ont été utilisés pour le créer. » Cette mesure vise à éviter que les téléspectateurs ne soient induits en erreur par des vidéos qui semblent être le fruit du travail humain.

Les conséquences du non-respect des règles

YouTube prend ces nouvelles règles très au sérieux. Les créateurs qui ne respectent pas l’obligation d’indiquer l’utilisation de l’IA dans leurs vidéos peuvent être bannis de la plate-forme. Cette mesure vise à garantir l’intégrité et la confiance des utilisateurs dans le contenu qu’ils consomment sur YouTube.

YouTube n’est pas la première plate-forme à devoir faire face à la question de la réalité des contenus générés par l’IA, et elle ne sera certainement pas la dernière. Avec l’avancée rapide des outils d’IA, la distinction entre ce qui est « réel » et ce qui ne l’est pas devient de plus en plus floue. Les réseaux sociaux tels que TikTok et Instagram sont depuis longtemps critiqués pour l’utilisation de filtres d’IA qui modifient l’apparence des utilisateurs. Cela peut créer des idéaux de beauté irréalistes, en particulier pour les adolescents qui sont de grands consommateurs de ces plateformes.

De plus, les outils d’IA sophistiqués peuvent être utilisés pour créer des « deepfakes », des vidéos hyper-truquées dans lesquelles des personnalités politiques ou célèbres disent des choses qu’elles n’ont jamais dites. YouTube a déjà mis en place des outils pour signaler et supprimer de telles vidéos.

Cybersécurité, santé

Guide CNIL : durées de conservation des données dans le secteur social et médico-social

Dans le domaine complexe et crucial des secteurs social et médico-social, la gestion des données est une préoccupation majeure. Pour aider les acteurs de ces secteurs à naviguer efficacement dans ce paysage, un nouveau référentiel a été élaboré par la CNIL. Son objectif ? Guider de manière opérationnelle les acteurs dans l’identification et la détermination des durées de conservation pertinentes pour les traitements qu’ils mettent en œuvre.

Ce référentiel s’avère être une ressource inestimable pour les responsables de traitement. Il les oriente vers les durées de conservation obligatoires, conformément à la réglementation en vigueur, notamment le code de l’action sociale et des familles ainsi que le code de la santé publique. De plus, il met en lumière les durées recommandées par la CNIL, offrant ainsi des points de repère essentiels pour déterminer la durée pertinente.

Il est important de noter que ce référentiel ne prétend pas à l’exhaustivité. Il se concentre sur les traitements les plus fréquents dans ces secteurs d’activité. Cependant, pour une gestion encore plus efficace des durées de conservation, une fiche pratique dédiée est mise à disposition de tous les acteurs, qu’ils soient salariés, bénévoles, ou autre, afin de leur offrir des recommandations pratiques pour la gestion quotidienne des durées de conservation des données.

Un référentiel indispensable qui, espérons le, pourra éviter de voir des fuites comme celles repérées par le blog ZATAZ, référence mondiale concernant les fuites de données et la lutte contre le cybercrime, ICI et LA.

À qui s’adressent ces ressources ?

Le référentiel et la fiche pratique sont conçus pour répondre aux besoins de l’ensemble des organismes, qu’ils soient privés ou publics, opérant dans les secteurs social et médico-social. Cela inclut, entre autres, les services mandataires et judiciaires à la protection des majeurs (SMJPM), les services d’accompagnement à la vie sociale (SAVS), les établissements et services d’aide par le travail (ESAT), les établissements d’hébergement pour personnes âgées dépendantes (EHPAD), et bien d’autres.

Un guide complet pour aller encore plus loin

Pour ceux qui souhaitent approfondir leurs connaissances en matière de gestion des durées de conservation des données, la CNIL a publié en 2020 un guide pratique plus général. Ce guide a pour objectif de répondre aux questions les plus courantes des professionnels concernant le principe de limitation de la conservation des données. Il détaille les éléments clés de cette obligation et offre des conseils pratiques pour faciliter sa mise en œuvre au sein des organismes, qu’ils soient publics ou privés.

Ce nouveau guide 2023 a été élaboré en partenariat avec le Service interministériel des archives de France (SIAF), et il met en relation les obligations du RGPD (Règlement général sur la protection des données) avec celles du code du patrimoine. Une ressource inestimable pour tous ceux qui cherchent à naviguer dans le labyrinthe complexe de la gestion des données dans le secteur social et médico-social.