Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Banque, Cybersécurité

Cyberattaque contre la Banque centrale ougandaise : 16,8 millions de dollars volés

Des pirates ont infiltré la Banque centrale ougandaise, dérobant 16,8 millions de dollars. L’enquête en cours soulève des questions sur la cybersécurité et une possible collusion interne.

La Banque centrale ougandaise a été victime d’une cyberattaque qui a conduit au vol de 16,8 millions de dollars (62 milliards de shillings ougandais). Le groupe de pirates, se faisant appeler « Waste », a transféré les fonds vers des comptes à l’étranger, notamment au Japon. Si plus de la moitié des fonds volés ont été récupérés, l’incident met en lumière des failles critiques dans les systèmes financiers ougandais.

Selon New Vision, les autorités enquêtent également sur une possible collusion interne impliquant des employés de la Banque centrale et du ministère des Finances. L’enquête, menée par le département de police criminelle et le commissaire aux comptes, vise à établir les responsabilités et à renforcer la sécurité des infrastructures bancaires.

L’attaque a été revendiquée par un groupe de cybercriminels connu sous le nom de « Waste », qui aurait exploité des failles dans le système informatique de la Banque centrale pour effectuer des transferts frauduleux. Les fonds volés, en partie envoyés vers le Japon, témoignent de la portée internationale de l’attaque. Bien que la Banque centrale ait récupéré plus de la moitié du montant, la perte initiale reste une atteinte grave à sa crédibilité.

Des informations de sources locales indiquent que les pirates pourraient être basés en Asie du Sud-Est, une région où des groupes organisés exploitent régulièrement les systèmes financiers mondiaux. Cependant, une autre piste est également étudiée : celle d’une complicité interne. Plusieurs employés de la Banque centrale et du ministère des Finances ont été interrogés, renforçant l’idée que l’attaque aurait pu être facilitée de l’intérieur.

L’enquête en cours, dirigée par le département de police criminelle et le commissaire aux comptes, bénéficie également d’une collaboration internationale pour retracer les fonds et identifier les responsables. Une coopération avec les autorités japonaises.

La cyberattaque contre la Banque centrale ougandaise illustre les menaces grandissantes auxquelles sont confrontées les infrastructures financières dans un monde hyperconnecté. Les failles techniques et humaines (par le social engineering par exemple) doivent être comblées pour éviter de nouvelles attaques.

Les banques africaines, cibles de choix pour hacker ?

1. Bank of Africa (BOA) Mali – Février 2023

En février 2023, la filiale malienne de la Bank of Africa a subi une cyberattaque majeure. Le groupe de hackers nommé « Medusa » a revendiqué l’attaque, affirmant avoir extrait environ 2 téraoctets de données internes, incluant des informations sensibles sur les clients. Les cybercriminels ont exigé une rançon de 10 millions de dollars en échange de la non-divulgation des données. Malgré les dénégations initiales de la banque, des échantillons de données ont été publiés sur le dark web, confirmant l’ampleur de l’attaque.

La même année, la « Banco Sol » en Angola a été contrainte de suspendre temporairement certains services en raison d’une cyberattaque. Bien que les détails précis de l’attaque n’aient pas été entièrement divulgués, cet incident illustre la menace croissante des cyberattaques contre les institutions financières africaines.

2. State Bank of Mauritius (SBM) – Octobre 2018

En octobre 2018, la State Bank of Mauritius a été victime d’un piratage informatique ayant entraîné la perte de 2,3 millions d’euros. Les attaquants ont infiltré le système de la filiale indienne de la banque, transférant illicitement des fonds vers des comptes à l’étranger. La banque a rapidement détecté l’anomalie et a pu récupérer une partie des fonds, tout en renforçant ses mesures de sécurité par la suite.

Toujours en 2018, NSIA Banque en Côte d’Ivoire a subi un détournement de fonds par piratage informatique, entraînant une perte estimée à près de 1,2 milliard de francs CFA. Les détails spécifiques de l’attaque n’ont pas été largement divulgués, mais cet incident souligne la vulnérabilité des institutions financières face aux cybermenaces.

4. Ecobank Sénégal – Mars 2019

En mars 2019, la filiale sénégalaise d’Ecobank a déclaré avoir été victime d’une fraude informatique, avec un montant détourné s’élevant à 323 millions de francs CFA. Les cybercriminels ont exploité des failles dans le système de la banque pour effectuer des transferts frauduleux. La banque a pris des mesures pour renforcer sa cybersécurité à la suite de cet incident.

Pour suivre les évolutions de cette affaire et découvrir des conseils pour sécuriser vos données et infrastructures, abonnez-vous à notre newsletter ou rejoignez notre groupe WhatsApp. Restons vigilants face aux cybermenaces émergentes.

cyberattaque, Cybersécurité, Entreprise

Ransomware : Gueule de bois pour Stoli Group, le roi de la vodka

Stoli Group, célèbre fabricant de vodka, attribue son dépôt de bilan à une attaque de ransomware en août, aggravant une situation financière déjà tendue.

Le fabricant de vodka Stoli Group, connu pour ses produits emblématiques comme la vodka Stoli, a révélé qu’une attaque de ransomware en août 2024 avait considérablement aggravé ses difficultés financières, conduisant deux de ses filiales américaines à déposer le bilan. L’incident a désactivé son système ERP, obligeant l’entreprise à passer à une gestion manuelle, perturbant ses opérations et compliquant sa relation avec ses créanciers.

Ce ransomware, bien qu’aucun groupe n’ait encore revendiqué l’attaque, s’inscrit dans un contexte de défis multiples pour Stoli : des batailles juridiques prolongées avec le gouvernement russe, des sanctions internationales et une baisse de la demande post-pandémie. En proie à une dette de 84 millions de dollars, l’entreprise lutte pour maintenir ses opérations, visant une restauration de ses systèmes au premier trimestre 2025. Cette affaire illustre l’impact dévastateur des cyberattaques sur les grandes entreprises et leur stabilité financière.

Une attaque de ransomware paralysante

En août 2024, Stoli Group a été victime d’une attaque de ransomware ayant perturbé l’ensemble de son infrastructure informatique, y compris son système de planification des ressources (ERP). Ce système était crucial pour les opérations globales, et sa désactivation a forcé l’entreprise à basculer vers des processus manuels pour gérer ses fonctions internes, notamment la comptabilité.

Les perturbations causées par cette attaque ont également compliqué la communication avec les créanciers, Stoli étant incapable de fournir des rapports financiers actualisés. Cette incapacité à répondre aux exigences des prêteurs a aggravé la situation financière, contribuant directement au dépôt de bilan de ses filiales américaines, Stoli Group USA et Kentucky Owl.

« L’attaque a provoqué des problèmes opérationnels importants dans toutes les sociétés du groupe Stoli, y compris Stoli USA et KO, en raison de la désactivation du système de planification des ressources de l’entreprise (ERP) du groupe Stoli et du passage forcé de la plupart des processus internes du groupe Stoli (y compris les fonctions comptables) à un mode de saisie manuelle.« 

Aucun groupe de ransomware n’a encore revendiqué l’attaque, et la société n’a pas précisé si une rançon a été versée. Stoli vise à restaurer ses systèmes d’ici le premier trimestre 2025, mais les pertes opérationnelles restent lourdes.

La branche américaine de la société a été créée en 2013 et distribue tous ses produits aux États-Unis. En plus de la vodka homonyme Stoli, la société possède plusieurs autres marques internationales d’alcool.

Un contexte économique et juridique déjà tendu

L’impact du ransomware s’ajoute à une série de défis majeurs pour Stoli Group, dont des batailles juridiques prolongées avec le gouvernement russe. Depuis un décret de Vladimir Poutine en 2000 cherchant à renationaliser la marque, Stoli a été confrontée à une série de poursuites et de confiscations, culminant avec la saisie en 2022 de ses deux dernières distilleries en Russie, d’une valeur estimée à 100 millions de dollars.

En juillet 2024, un gouvernement local russe a qualifié Stoli d’« extrémiste », citant son soutien aux réfugiés ukrainiens. Ces mesures, combinées aux coûts juridiques globaux et à la perte d’actifs, ont mis une pression énorme sur les finances de l’entreprise.

La pandémie de COVID-19 et l’inflation ont également joué un rôle. Une baisse de la demande d’alcool, combinée à une hausse des coûts opérationnels, a entraîné une érosion des marges bénéficiaires, exacerbant les défis financiers.

Ransomware : une menace pour la stabilité des entreprises

L’attaque contre Stoli n’est pas un cas isolé. Les cyberattaques par ransomware continuent de causer des pertes massives aux entreprises dans divers secteurs. En 2023, la Brunswick Corporation a estimé les pertes liées à un ransomware à 85 millions de dollars, tandis qu’un libraire canadien a déclaré des pertes de 50 millions de dollars dues à une attaque ayant paralysé ses opérations pendant des semaines.

L’impact des ransomwares va au-delà des pertes financières immédiates, affectant la réputation des entreprises, leur relation avec les créanciers et leur capacité à maintenir des opérations normales. Applied Materials, fournisseur pour l’industrie des semi-conducteurs, a rapporté des pertes potentielles de 250 millions de dollars à cause d’une attaque contre l’un de ses fournisseurs.

Pour Stoli, cette attaque de ransomware a agi comme un catalyseur, accélérant un dépôt de bilan rendu inévitable par des pressions économiques, juridiques et opérationnelles multiples. Ces incidents soulignent la nécessité pour les entreprises de renforcer leurs défenses cybernétiques et de planifier des réponses rapides aux attaques.

L’attaque de ransomware contre Stoli Group illustre l’impact dévastateur des cyberattaques sur les grandes entreprises. Elle montre comment ces incidents, combinés à des pressions économiques et juridiques, peuvent pousser des organisations autrefois solides à la faillite.

En France, même constat pour l’opérateur Octave placé en redressement à la suite d’une cyberattaque. Une attaque informatique qui a mis au tapis l’entreprise, mais aussi et surtout de nombreuses entreprises partenaires, et leur boutique en ligne, obligées de ressortir, crayon et papier en magasin physique. Certaines boutiques ont été relancée… 3 mois aprés l’attaque !

Abonnez-vous à la newsletter de ZATAZ.COM et rejoignez notre groupe WhatsApp pour rester informé des dernières actualités et des meilleures pratiques en matière de cybersécurité.

Cybersécurité, Entreprise

Le géant BT cible d’une tentative de cyberattaque par le groupe Black Basta

BT Group, acteur majeur des télécommunications britanniques, confirme une tentative de cyberattaque, revendiquée par le groupe de ransomware Black Basta.

BT Group, pilier des télécommunications britanniques, a révélé une tentative de cyberattaque visant sa plateforme de conférence. Le groupe de ransomware Black Basta, apparu en 2022, a revendiqué l’incident, affirmant avoir exfiltré des données sensibles, notamment des informations personnelles sur les employés et des accords de non-divulgation.

Selon un porte-parole de BT, l’incident a été rapidement circonscrit à une partie spécifique de la plateforme, sans impact sur les services de conférence en direct ni sur les infrastructures critiques de l’entreprise. BT, qui emploie environ 100 000 personnes et génère plus de 20 milliards de livres sterling de chiffre d’affaires, collabore avec les autorités pour enquêter sur cet incident.

Black basta, un acteur redouté du ransomware

Apparu en 2022, le groupe de ransomware Black Basta est rapidement devenu une menace notable, ciblant des secteurs stratégiques tels que la santé et les infrastructures critiques. Son modèle repose sur le double extorsion : chiffrer les données des entreprises tout en menaçant de publier des informations sensibles sur leur site de fuites.

Dans le cas de BT, Black Basta prétend avoir obtenu des informations personnelles relatives aux employés ainsi que des accords de non-divulgation et d’autres documents sensibles. Bien que BT n’ait pas confirmé ces revendications, cette tentative montre que même les géants des télécommunications ne sont pas à l’abri des cybermenaces sophistiquées.

« Black Basta : un groupe de ransomware qui cible des secteurs stratégiques avec des méthodes de double extorsion. »

Les autorités américaines ont déjà émis des avertissements concernant Black Basta, en raison de son implication dans des attaques à grande échelle. Ce groupe continue d’évoluer, adoptant des techniques avancées pour contourner les défenses des entreprises et exploiter leurs vulnérabilités.

Une tentative d’attaque circonscrite mais préoccupante

BT a rapidement réagi en isolant la plateforme de conférence affectée, limitant ainsi l’impact de l’incident. L’entreprise a confirmé que les serveurs touchés ne prennent pas en charge ses services de conférence en direct et que les infrastructures critiques, telles que les centraux téléphoniques britanniques, n’ont pas été affectées.

Cependant, l’attaque soulève des questions sur la sécurité des données d’entreprise et les informations sensibles détenues par BT. Les fichiers présentés par Black Basta comme preuve de la compromission incluraient des informations personnelles sur les employés et des documents confidentiels, renforçant les préoccupations quant à l’exposition des données internes.

« L’incident illustre les risques croissants pour les entreprises gérant des infrastructures critiques. »

BT travaille activement avec les régulateurs et les forces de l’ordre pour enquêter sur cet incident et renforcer ses défenses. Cette réponse souligne l’importance de collaborations rapides et efficaces pour minimiser les impacts des cyberattaques.

Un rappel des menaces pour les infrastructures critiques

L’attaque contre BT s’inscrit dans un contexte de cybermenaces croissantes ciblant les entreprises gérant des infrastructures critiques. En tant que fournisseur historique de télécommunications au Royaume-Uni, BT joue un rôle central dans l’écosystème technologique national. Toute attaque visant ses systèmes pourrait avoir des conséquences graves pour les services dépendant de son infrastructure.

Les groupes de ransomware comme Black Basta exploitent les vulnérabilités des entreprises pour exfiltrer des données sensibles et exercer une pression financière et réputationnelle. Cette attaque met en évidence l’importance pour les entreprises stratégiques de renforcer leurs systèmes de sécurité, d’investir dans des solutions de détection avancées et de former leurs employés à reconnaître les menaces.

Cette tentative de compromission, bien que limitée dans son impact immédiat, est un rappel que les entreprises doivent rester vigilantes face à des acteurs cybercriminels toujours plus audacieux et sophistiqués.

Cette tentative de cyberattaque contre BT Group illustre une fois de plus les risques auxquels sont confrontées les entreprises gérant des infrastructures critiques. A voir maintenant si l’incident a bien été circonscrit.
Pour rester informé des cybermenaces et découvrir des solutions pour protéger votre organisation, abonnez-vous à la newsletter de ZATAZ.COM et rejoignez notre groupe WhatsApp. Ensemble, préparons-nous face à l’évolution des cybermenaces mondiales !

cyberattaque, Cybersécurité

Cyberattaque chez Blue Yonder : le groupe Termite revendique le vol de 680 Go de données sensibles

Blue Yonder, géant des logiciels détenu par Panasonic, subit une cyberattaque majeure. Le gang Termite revendique 680 Go de données volées et plusieurs victimes mondiales.

Blue Yonder, fournisseur de solutions logicielles pour plus de 3 000 grandes entreprises dans 76 pays, est au cœur d’une cyberattaque revendiquée par le groupe Termite. Ce gang de ransomware, actif depuis avril, affirme avoir volé 680 Go de données, incluant des emails, documents d’assurance et informations sensibles d’entreprise. L’attaque, révélée le 21 novembre juste avant Thanksgiving, a provoqué des perturbations majeures dans les systèmes de ses clients, parmi lesquels des supermarchés, des fabricants et des entreprises comme Starbucks.

Blue Yonder, acquis par Panasonic en 2021 pour 8,5 milliards de dollars, a déclaré que plusieurs systèmes clients ont été rétablis et travaille en collaboration avec des experts en cybersécurité pour renforcer ses défenses. Cependant, cette attaque met en lumière la persistance des groupes de ransomware comme Termite, liés à la famille Babuk, et leur capacité à cibler des infrastructures critiques dans le monde entier.

Blue Yonder, une cible de choix pour le groupe termite

Blue Yonder, spécialiste des logiciels de gestion de la chaîne d’approvisionnement, est une cible stratégique. Ses solutions, utilisées par plus de 3 000 entreprises dans 76 pays, jouent un rôle clé dans la logistique, la livraison et les retours. L’impact d’une attaque sur une telle organisation dépasse ses propres systèmes, affectant directement les opérations de ses clients, dont des supermarchés et des géants comme Starbucks.

Le 21 novembre 2024, juste avant Thanksgiving, Blue Yonder a révélé qu’une cyberattaque avait compromis ses systèmes. Le gang Termite a revendiqué cette attaque, affirmant avoir volé 680 Go de données, incluant des emails, des documents financiers et des informations sensibles d’entreprise. Les déclarations de Termite soulignent leur audace, d’autant plus qu’ils ont déjà revendiqué des attaques contre des entités gouvernementales, comme celle de l’île de La Réunion.

Blue Yonder a confirmé que plusieurs clients touchés ont pu être remis en ligne, dont BIC, Starbucks et Morrisons, mais n’a pas précisé si une rançon avait été exigée. Cette attaque montre à quel point les infrastructures critiques restent vulnérables aux groupes de ransomware, qui évoluent et adaptent constamment leurs outils pour contourner les défenses.

Sainsbury’s, l’une des plus grandes chaînes de supermarchés du Royaume-Uni, a déclaré que ses services avaient été rétablis depuis qu’elle a été touchée par l’attaque par ransomware. Une autre grande chaîne de supermarchés britannique, Morrisons, a expliqué que l’attaque avait eu un impact sur les systèmes de gestion des entrepôts de l’entreprise pour les produits frais et les fruits et légumes.

Termite, un groupe de ransomware en pleine expansion

Le gang Termite, actif depuis avril 2024, a multiplié les attaques contre des cibles variées, allant d’entreprises privées à des institutions gouvernementales. Leur revendication de l’attaque contre Blue Yonder n’est pas un cas isolé : ils ont également pris pour cible l’administration de La Réunion et de nombreuses autres victimes à travers le monde, souvent sans confirmation officielle des entités touchées.

Selon les experts en cybersécurité, le code utilisé par Termite présente des similitudes avec celui de Babuk, un groupe de ransomware bien connu. Cependant, des analyses récentes menées par Trend Micro montrent que leur malware comporte encore des erreurs, ce qui suggère que le groupe est en phase d’apprentissage et d’évolution.

Les groupes comme Termite exploitent la cybercriminalité non seulement pour le gain financier, mais aussi pour semer la peur et la confusion parmi leurs victimes. Ces attaques mettent en évidence la nécessité pour les entreprises de renforcer leur cybersécurité et de collaborer avec des experts pour se protéger contre des groupes toujours plus sophistiqués. Termine est le groupe qui a attaqué le Département de La Réunion / Mayotte.

Impacts et enseignements pour les entreprises

Cette attaque rappelle l’importance cruciale de la cybersécurité pour les grandes entreprises. En 2021 déjà, Blue Yonder avait été victime d’un ransomware, montrant que les cybercriminels ciblent régulièrement les organisations qui gèrent des données sensibles ou des infrastructures critiques.

Depuis son acquisition par Panasonic en 2021 pour 8,5 milliards de dollars, Blue Yonder a renforcé sa présence sur le marché mondial. Cependant, ces gains attirent également l’attention des cybercriminels. Les conséquences d’une telle attaque peuvent être dévastatrices : perturbation des chaînes d’approvisionnement, perte de données critiques, atteinte à la réputation et, potentiellement, des coûts importants liés au paiement d’une rançon ou à la récupération des systèmes.

Les experts insistent sur l’importance d’un plan de réponse aux incidents, de la formation du personnel et de la collaboration avec des partenaires en cybersécurité pour prévenir les attaques futures. Le cas de Termite montre également que les groupes de ransomware deviennent de plus en plus agressifs et ne se limitent plus à demander une rançon, mais cherchent à maximiser leurs gains en exploitant les données volées.

Pour suivre les dernières actualités sur la cybersécurité et apprendre comment protéger votre entreprise, abonnez-vous à notre newsletter  et rejoignez notre groupe WhatsApp. Informez-vous pour anticiper les menaces et renforcer vos défenses numériques !

Cybersécurité, Entreprise

Cyberattaque ciblant une multinationale américaine : enquête sur une offensive chinoise sophistiquée

Une multinationale américaine, possédant des actifs en Chine, a été victime d’une cyberattaque sophistiquée orchestrée par des pirates chinois entre avril et août 2024.

Entre avril et août 2024, une entreprise américaine d’envergure internationale, active en Chine, a été la cible d’une cyberattaque orchestrée par un groupe de pirates chinois. Bien que le nom de l’entreprise reste confidentiel, cette attaque s’inscrit dans un contexte de cyberespionnage intensifié visant les grandes entreprises opérant sur le marché chinois.

Les experts de Symantec ont identifié des indices clairs pointant vers une stratégie élaborée impliquant des outils open source comme PowerShell, FileZilla et WinRAR, mais également des méthodes complexes comme le « Kerberoasting ».

Les assaillants ont exploité des vulnérabilités des systèmes, notamment les serveurs Exchange, pour exfiltrer des données sensibles. Cette attaque s’ajoute à une série d’actions malveillantes similaires, notamment celles du groupe Daggerfly, qui avait ciblé cette même entreprise en 2023. Une enquête approfondie révèle les tactiques et les outils utilisés, ainsi que leurs implications sur la cybersécurité mondiale.

Un scénario bien orchestré : des attaques ciblées et des outils open source

L’attaque a débuté le 11 avril 2024, marquant le point de départ d’une campagne cybercriminelle méticuleusement orchestrée. Les assaillants ont commencé par exploiter les commandes Windows Management Instrumentation (WMI) pour explorer l’infrastructure cible et collecter des données critiques. Rapidement, des techniques avancées comme le « Kerberoasting » ont été utilisées pour interroger Active Directory et obtenir des informations d’authentification.

Un des points marquants de cette attaque est l’utilisation d’outils open source bien connus dans le domaine de la cybersécurité, comme FileZilla et PuTTY, rebaptisé en « putty.exe ». Cette approche, surnommée « vivre de la terre », consiste à détourner des outils légitimes pour éviter la détection. De plus, PowerShell et WinRAR ont été mis à contribution pour compresser et exfiltrer les données, tandis que PsExec a permis une gestion à distance des ressources piratées.

Les cybercriminels ont su structurer leurs attaques en répartissant les rôles entre différentes machines, accentuant l’efficacité de leur intrusion. Cette méthodologie témoigne d’une organisation poussée, où chaque machine se voyait attribuer une tâche spécifique, qu’il s’agisse de la collecte d’informations, de l’extraction ou de la persistance réseau.

Empreintes numériques et pistes chinoises

Des éléments retrouvés sur les systèmes compromis relient directement cette attaque au groupe chinois Crimson Palace. Parmi ces indices figurent des fichiers malveillants utilisés dans des attaques similaires par ce groupe par le passé. Les pirates ont également usé d’une DLL malveillante, introduite le 13 juin via « iTunesHelper.exe », renforçant la complexité de l’attaque.

Ce type d’opération reflète une approche méthodique. L’utilisation d’outils comme Impacket démontre la maîtrise des techniques modernes de cyberespionnage. Crimson Palace est connu pour ses campagnes visant à collecter des renseignements industriels et stratégiques, notamment en exploitant les infrastructures critiques d’entreprises étrangères opérant en Chine.

L’enquête révèle aussi une résilience réseau impressionnante mise en place par les assaillants. À l’aide de modifications dans le registre, de WMI et de PsExec, ils ont établi des points d’entrée persistants pour garantir un accès prolongé, même après la découverte initiale de l’intrusion.

Des leçons à tirer pour la cybersécurité mondiale

Les outils et méthodes employés dans cette attaque illustrent une tendance préoccupante : l’adoption par les cybercriminels d’une approche hybride mêlant exploitation des vulnérabilités internes et utilisation d’outils open source. Cette combinaison leur permet d’opérer sous le radar des systèmes de détection classiques.

Les experts de Symantec insistent sur la nécessité pour les entreprises de surveiller en continu leurs infrastructures, en particulier les serveurs Exchange, souvent ciblés pour leur valeur stratégique. Par ailleurs, la sophistication de cette attaque met en lumière l’importance de la formation des équipes internes à la cybersécurité et la mise en place de politiques rigoureuses de gestion des accès.

Les entreprises doivent également investir dans des solutions de détection avancées, capables d’identifier les comportements anormaux liés aux outils open source et aux techniques comme le « Kerberoasting ». Enfin, les partenariats internationaux restent essentiels pour répondre aux menaces transnationales, en particulier face à des groupes comme Crimson Palace ou Daggerfly.

Cette attaque rappelle l’importance de rester vigilant face aux menaces cybernétiques sophistiquées. Pour approfondir vos connaissances sur la cybersécurité et suivre les dernières actualités, abonnez-vous à notre newsletter et rejoignez notre groupe WhatsApp.

backdoor, Cybersécurité, Entreprise

Les opérateurs téléphoniques refusent de fournir des données de sécurité à l’armée américaine

Les opérateurs téléphoniques américains refusent de partager avec le Pentagone les résultats de tests de sécurité, invoquant le secret professionnel.

Le refus des opérateurs téléphoniques de partager les résultats de tests de sécurité avec le Pentagone soulève des préoccupations majeures en matière de cybersécurité nationale.

Le 4 décembre 2024, une lettre révélait que des entreprises de télécommunications américaines refusaient de fournir au Département de la Défense les résultats de leurs tests et audits de sécurité numérique, invoquant le privilège avocat-client. Cette situation a suscité l’indignation de sénateurs, qui estiment que le Pentagone, en tant que l’un des plus grands acheteurs de services téléphoniques sans fil aux États-Unis, devrait exiger des normes de cybersécurité plus strictes de la part de ses fournisseurs.

Un refus justifié par le secret professionnel

Selon les informations divulguées par Reuters, le Pentagone a sollicité les résultats de tests et d’audits de sécurité numérique auprès des opérateurs téléphoniques avec lesquels il contracte pour des services de télécommunications. Cependant, ces entreprises ont refusé de partager ces informations, arguant qu’elles sont protégées par le privilège « avocat-client« . Cette position a été confirmée par des réponses fournies au sénateur démocrate Ron Wyden [lire].

Les réponses du Département de la Défense n’ont pas nommé spécifiquement les opérateurs concernés. Cependant, il est connu que des entreprises telles qu’AT&T, Verizon et T-Mobile fournissent des services sans fil commerciaux pour des usages non classifiés au sein du gouvernement. Ces entreprises n’ont pas immédiatement répondu aux sollicitations pour commenter cette affaire.

Une cybersécurité nationale en question

La sécurité des télécommunications américaines, en particulier via des opérateurs commerciaux, est devenue une préoccupation majeure après une série d’intrusions attribuées à des hackers chinois. Des responsables américains ont précédemment allégué qu’un groupe de hackers, surnommé « Salt Typhoon », avait dérobé des enregistrements audio téléphoniques limités, ainsi qu’une grande quantité de données d’appels. Ces enregistrements concernaient principalement des personnes dans la région de Washington.

Les autorités chinoises ont qualifié ces allégations de désinformation, affirmant que Pékin « s’oppose fermement et combat les cyberattaques et le cybervol sous toutes ses formes ». Le jeudi suivant la révélation de cette affaire, les sénateurs devaient recevoir un briefing confidentiel sur « Salt Typhoon » et son impact sur les données américaines.

Dans une lettre co-signée avec le sénateur républicain Eric Schmitt, le sénateur Wyden a exprimé son mécontentement face à cette situation. Ils ont souligné que, bien que le Pentagone soit l’un des plus grands acheteurs de services téléphoniques sans fil aux États-Unis, il n’a pas utilisé son pouvoir d’achat pour exiger des défenses cybernétiques et une responsabilité accrues de la part des opérateurs.

Implications pour la sécurité nationale

Le refus des opérateurs de partager des informations cruciales avec le Département de la Défense soulève des questions sur la capacité du gouvernement à protéger ses communications sensibles. Cette situation met en lumière la nécessité d’une collaboration renforcée entre le secteur privé et les agences gouvernementales pour assurer la sécurité des infrastructures critiques.

Les opérateurs de télécommunications ont l’obligation de protéger les données de leurs utilisateurs. En France, par exemple, le Règlement Général sur la Protection des Données (RGPD) impose aux opérateurs de mettre en place des mesures techniques et organisationnelles pour assurer la sécurité des données personnelles. Ils doivent également notifier toute violation de données à la CNIL dans les 72 heures et, si nécessaire, informer les personnes concernées.

L’accès des autorités publiques aux données conservées par les opérateurs téléphoniques est encadré par la loi. En France, par exemple, l’accès aux données de trafic des communications électroniques par les autorités publiques constitue une ingérence dans les droits fondamentaux, qui doit être proportionnée et justifiée par des motifs légitimes, tels que la prévention et la répression des infractions pénales. En France, les opérateurs de télécommunication sont tenus de conserver les données de connexion de leurs utilisateurs pendant un an à des fins de lutte contre la criminalité et le terrorisme. Cette obligation a été confirmée par le Conseil d’État, qui a jugé que la conservation généralisée des données est justifiée par la menace existante pour la sécurité nationale.

La réticence des opérateurs téléphoniques américains à partager des informations de sécurité avec le Département de la Défense met en lumière les défis complexes de la cybersécurité nationale. Il est essentiel que les entreprises et les gouvernements collaborent étroitement pour protéger les infrastructures critiques et les données sensibles. Les exemples internationaux, tels que les réglementations européennes sur la protection des données, peuvent offrir des perspectives sur la manière de concilier la sécurité nationale et la protection des droits individuels.

L’ambiance est-elle que même le FBI incite à l’utilisation de messageries chiffrées ! Dans une alerte de ce 4 décembre, la CISA (Cybersecurity and Infrastructure Security Agency), la NSA (National Security Agency), le FBI (Federal Bureau of Investigation), le Centre australien de cybersécurité (ACSC), le Centre canadien pour la cybersécurité (CCCS), et le Centre national de cybersécurité de Nouvelle-Zélande (NCSC-NZ) alertent sur une vaste campagne d’espionnage menée par des acteurs affiliés à la République populaire de Chine (RPC). Ces derniers auraient compromis les réseaux de grands fournisseurs mondiaux de télécommunications pour accéder à des informations sensibles. Cette alerte vise à fournir des pratiques exemplaires pour protéger les infrastructures et équipements critiques, tout en renforçant leur visibilité et leur durcissement face aux menaces.

Pour anticiper ces défis, il est essentiel de rester informé et de mettre en place des stratégies de défense modernes et adaptatives. Rejoignez la newsletter de ZATAZ MEDIA et le Groupe WhatsApp pour ne rien manquer des actualités et des conseils en cybersécurité.

Cybersécurité, Entreprise

2025 : IA et ingénierie sociale aux mains des hackers ?

Alors que 2024 s’achève, voici les prédictions de Data Security Breach pour 2025, une année où l’Intelligence Artificielle (IA) et les attaques sur les identités promettent de redéfinir le paysage de la cybersécurité. Avec une sophistication accrue des cybermenaces, les entreprises et individus devront redoubler de vigilance face aux nouvelles formes d’ingénierie sociale et d’attaques assistées par IA.

Les plateformes cloud comme AWS, GCP, et autres environnements similaires, devenues indispensables pour les entreprises, continuent d’être des cibles de choix pour les cybercriminels. La stratégie des attaquants n’a jamais été aussi claire : compromettre des identités plutôt que des systèmes.

Les vulnérabilités liées aux identités, telles que :

Comptes à privilèges excessifs avec identifiants faibles.
Comptes d’anciens collaborateurs désactivés mais non sécurisés.
Accès dormant laissé actif après une démission.
permettent aux attaquants de s’infiltrer sans déclencher d’alertes. Une fois un compte compromis, ces acteurs malveillants peuvent « se connecter » aux ressources sensibles, sans effort ni piratage technique complexe. La sécurisation des identités devient ainsi une priorité absolue pour les entreprises en 2025.

L’IA : entre innovation et menace

Une IA plus avancée pour la détection des menaces. En 2025, les systèmes d’IA devraient atteindre de nouveaux sommets. Des modèles avancés permettront :

Une détection améliorée des menaces internes avec une précision inégalée.
Une prédiction proactive des cyberattaques, limitant leur impact avant qu’elles ne se concrétisent.
La collaboration mondiale d’IA pour instaurer des standards de sécurité réactive et proactive.

La répression de l’IA générative

Toutefois, les entreprises seront également confrontées à un revers de la médaille. En 2025, les dirigeants comprendront que l’IA générative n’apporte pas que des avantages. Nous pourrions voir apparaitre un usage restreint et contrôlé autour de cas spécifiques ayant prouvé leur utilité. Les applications non essentielles seront limitées pour éviter des dérives coûteuses et risquées. Cependant, le contrôle s’annonce déjà très compliqué et potentiellement liberticide.

Ingénierie sociale et arnaques avancées : des outils plus puissants

Ingénierie sociale sophistiquée. L’ingénierie sociale, une méthode classique d’exploitation des comportements humains, continuera d’évoluer en 2025 grâce à l’IA générative. Cette dernière permettra de :

Créer des contenus réalistes (textes, images, voix, vidéos) pour tromper les cibles.
Améliorer la personnalisation des attaques, rendant les campagnes de phishing presque indétectables.
Les acteurs malveillants pourront exploiter ces outils pour produire des contenus sophistiqués à faible coût, augmentant l’impact psychologique sur leurs victimes.

Les arnaques vocales (vishing) et les vidéos générées par IA (deepfakes) deviendront encore plus convaincantes en 2025. L’une des innovations les plus inquiétantes sera la combinaison de voix synthétiques et de deepfakes vidéo lors d’appels en temps réel. Cette technologie permettra aux cybercriminels :

D’interagir directement avec leurs victimes en simulant l’apparence et la voix d’un proche ou d’un supérieur hiérarchique.
De manipuler des employés pour autoriser des transferts de fonds ou divulguer des informations sensibles.
Multiplication des menaces assistées par IA

L’IA générative permettra des campagnes de phishing d’une précision jamais vue. Les attaques utiliseront des données publiques ou compromises pour créer des e-mails, messages ou appels authentiques et ciblés.

Exploitation des vulnérabilités à distance

Les cyberattaques à distance, comme le minage illicite de cryptomonnaies, resteront un vecteur de menace majeur. Couplées à l’IA générative, ces attaques deviendront plus complexes, contournant les mesures de sécurité traditionnelles et nécessitant des contre-mesures sophistiquées.

Se préparer aux défis cybersécurité de 2025

Les prévisions du Threat Labs soulignent que 2025 sera une année charnière pour la cybersécurité. Les entreprises et les individus devront investir dans des technologies modernes et repenser leurs stratégies pour contrer ces nouvelles menaces. Quelques axes clés pour se préparer :

Renforcer la gestion des identités et des accès : Supprimer les comptes dormants, implémenter des politiques robustes de mots de passe et activer une authentification multifactorielle.
Investir dans l’IA pour la sécurité : Intégrer des systèmes capables de détecter et de prévenir les comportements anormaux.
Sensibiliser les employés : Former les collaborateurs à reconnaître les tactiques d’ingénierie sociale, même lorsqu’elles sont sophistiquées.
Collaborer à l’échelle mondiale : Participer à des initiatives internationales pour établir des standards de sécurité contre les menaces générées par l’IA.

En 2025, le paysage de la cybersécurité sera marqué par des avancées technologiques et des menaces inédites. L’IA générative, bien qu’offrant des opportunités de protection sans précédent, sera également exploitée par des cybercriminels toujours plus inventifs.

Pour anticiper ces défis, il est essentiel de rester informé et de mettre en place des stratégies de défense modernes et adaptatives. Rejoignez la newsletter de ZATAZ MEDIA et le Groupe WhatsApp pour ne rien manquer des actualités et des conseils en cybersécurité.

Banque, Entreprise

Les fuites d’informations personnelles en Russie : un pays en crise

Au cours des deux dernières années, les principales sources de fuites d’informations personnelles sur les citoyens Russes ont été les magasins en ligne et les établissements médicaux, tandis que les organismes bancaires ne représentaient que 2 % de l’ensemble des fuites.

Stanislav Kuznetsov a décrit la situation en matière de protection des données en Fédération de Russie comme « déplorable », affirmant qu’au cours de cette période, les données personnelles d’au moins 90 % de la population adulte ont été rendues publiques. Cette statistique choquante souligne la vulnérabilité des systèmes de sécurité dans plusieurs secteurs cruciaux.

La majorité des fuites proviennent de secteurs tels que le commerce en ligne et les établissements médicaux, et non des institutions bancaires.

Un pic des fuites en 2023

Le vice-président a souligné que 2023 a été l’année la plus critique pour les fuites de données confidentielles. En 2024, même si le nombre d’incidents a diminué, les conséquences restent importantes. Sberbank prévoit que les dommages économiques liés aux incidents de cybersécurité atteindront environ 1 000 milliards de roubles pour la période 2023-2024. Le montant estimé des vols par les escrocs et cybercriminels en 2024 s’élève à 250 milliards de roubles.

Cette situation alarmante montre que malgré les efforts des institutions financières, la fuite des données et le vol de fonds continuent d’afficher une tendance à la hausse.

L’essor des escroqueries téléphoniques

Entre février et mars 2024, Sberbank a enregistré un pic record de 20 millions d’appels frauduleux par jour. À l’heure actuelle, ce chiffre reste élevé, avec entre 6 et 7 millions d’appels quotidiens. Les escrocs, de plus en plus habiles, perfectionnent leurs techniques et adoptent des approches toujours plus sophistiquées pour tromper leurs victimes. Un représentant d’une institution financière a déclaré qu’au cours des deux dernières années, les données personnelles d’au moins 90 % de la population adulte de la Fédération de Russie étaient devenues librement accessibles sur Internet.

La majorité des appels frauduleux proviennent de numéros masqués ou internationaux, renforçant la difficulté de leur détection par les victimes.

Malgré cela, les systèmes de sécurité des banques bloquent actuellement environ 99 % des tentatives de transfert frauduleux. Cette statistique montre l’efficacité relative des mesures prises par les institutions financières, mais aussi la nécessité de rester vigilant face aux nouvelles méthodes des criminels.

Amende en cas de fuite de données

Le chef du ministère russe du Développement numérique, Maksut Shadayev, a déclaré que la décision d’introduire des amendes en cas de fuite de données confidentielles serait prise par la Douma d’État et le gouvernement de la Fédération de Russie avant la fin de cette année. Le ministre a fait la déclaration correspondante lors de son discours lors de l’événement en cours SOC Forum 2024.

Maksut Shadayev a déclaré qu’aujourd’hui le volume total des fuites d’informations personnelles sur les citoyens russes dépasse toutes les limites acceptables. À cet égard, on s’attend à ce que les autorités russes décident d’introduire des amendes négociables pour de tels incidents de sécurité de l’information avant la fin de 2024, d’autant plus que le projet de loi correspondant a déjà été adopté en première lecture à la Douma d’État.

Le ministre du Développement numérique, lors de son discours, a également souligné qu’en Russie, il était depuis longtemps nécessaire d’introduire des mesures économiques sérieuses visant à empêcher les fuites de données confidentielles. De plus, nous parlons non seulement des données personnelles des citoyens russes, mais également des informations sur les entreprises, qui présentent également un grand intérêt pour les fraudeurs et les cybercriminels. Maksut Shadayev est convaincu que les entreprises devraient assumer une responsabilité financière importante dans les fuites d’informations confidentielles, surtout si elles concernent les données personnelles des citoyens russes.

Pour rester informé des évolutions en matière de cybersécurité, inscrivez-vous à notre newsletter ou rejoignez le groupe WhatsApp de DataSecurityBreach.

backdoor, Bitcoin, Cybersécurité

BlueNoroff : la nouvelle menace contre les cryptomonnaies sur macOS

Le groupe nord-coréen BlueNoroff, spécialisé dans les cyberattaques ciblant les sociétés de cryptomonnaies, a lancé une campagne massive baptisée Hidden Risk. Utilisant un malware multi-étapes sophistiqué, ce groupe vise les systèmes macOS en exploitant un mécanisme de persistance indétectable par les dernières versions de l’OS.

BlueNoroff utilise des e-mails de phishing pour attirer ses victimes, exploitant l’intérêt croissant autour des actualités liées aux crypto-monnaies. Les messages se présentent comme des communications d’influenceurs reconnus, renforçant ainsi leur crédibilité aux yeux des destinataires. Chaque e-mail contient un lien soi-disant associé à un document PDF informatif sur les événements récents, mais qui redirige en réalité vers le domaine contrôlé par les attaquants, « delphidigital[.]org ».

Point clé : le phishing reste une des méthodes les plus efficaces pour infiltrer des systèmes et accéder à des données sensibles.

Les experts de SentinelLabs ont découvert que le malware déployé par BlueNoroff utilise un mécanisme de persistance novateur qui ne déclenche aucune alerte sur les dernières versions de macOS. Ce logiciel malveillant ouvre un shell distant sur les appareils compromis, permettant aux cybercriminels d’effectuer des actions à distance sans que l’utilisateur ne le soupçonne.

L’URL malveillante est configurée pour distribuer un document apparemment inoffensif sur le Bitcoin ETF, mais elle sert également à déployer un package d’application intitulé « Le risque caché derrière la nouvelle flambée des prix du Bitcoin« .

La première étape de l’attaque repose sur une application compte-gouttes signée et notariée avec un identifiant de développeur Apple légitime, « Avantis Regtech Private Limited (2S8XHJ7948)« , qui a été révoqué par Apple depuis. Une fois lancé, le programme télécharge un faux fichier PDF à partir d’un lien Google Drive, l’ouvrant dans une visionneuse standard pour occuper la victime, tandis qu’en arrière-plan, la charge utile principale est téléchargée depuis « matuaner[.]com ».

cette campagne s’appuie sur un document de recherche authentique de l’Université du Texas, soulignant le niveau de détail et de planification de l’attaque.

BlueNoroff, déjà connu pour ses vols de cryptomonnaies, met en œuvre des stratégies de plus en plus complexes, ciblant directement l’écosystème macOS qui, jusqu’ici, restait moins affecté par ce type d’attaques. Cette campagne met en lumière la nécessité pour les entreprises et les utilisateurs de rester vigilants et de renforcer leur sécurité.

Pour rester informé des dernières alertes de cybersécurité et des menaces, inscrivez-vous à notre newsletter ou rejoignez le groupe WhatsApp de DataSecurityBreach.

Cybersécurité, Entreprise

Compromettre les données d’identification

Les attaques visant à compromettre les données d’identification se multiplient, avec plus de 600 millions de tentatives chaque jour.

Les cyberattaques axées sur le vol de données d’identification connaissent une croissance exponentielle. Chaque jour, ce ne sont pas moins de 600 millions d’attaques qui ciblent des comptes personnels et professionnels. L’obtention d’un premier accès est le point de départ de nombreuses cyberattaques majeures.

Les pirates mènent ces attaques pour voler les données d’accès aux réseaux sociaux, comptes bancaires et professionnels. Cet accès initial ouvre la voie à des stratégies plus complexes, telles que le phishing, l’installation de logiciels espions ou de rançongiciels.

Les mots de passe : la cible principale

Selon les statistiques, près de 99 % des attaques contre les données d’identification impliquent la compromission d’un mot de passe. Les logiciels spécialisés utilisés par les attaquants permettent de déchiffrer ces mots de passe de manière automatisée, augmentant ainsi le nombre total d’attaques.

L’avènement de l’IA et des logiciels d’automatisation a radicalement changé la donne pour les pirates informatiques. Ils n’ont plus besoin de tenter manuellement de deviner les mots de passe, car un programme le fait pour eux en un temps record. Ainsi, le volume d’attaques peut être multiplié grâce à la capacité du logiciel à traiter simultanément de nombreux mots de passe.

L’avenir des cyberattaques et la riposte nécessaire

Une augmentation de 15 à 20 % par an du nombre d’attaques, alimentée par l’amélioration constante des outils automatisés pourrait rapidement apparaitre. Pour se protéger, datasecuritybreach.fr recommande de renforcer la sécurité des comptes par :

  • L’utilisation de mots de passe complexes et leur mise à jour régulière.
  • L’adoption de la technologie MFA (authentification multi-facteurs).
  • La segmentation régulière du réseau.
  • La limitation et la répartition stricte des droits d’accès.

Le modèle « Zéro confiance » : une tendance de sécurité à surveiller

Une tendance majeure pour 2025 sera l’adoption croissante du modèle de « zéro confiance ». Ce modèle prévoit l’absence d’accès par défaut aux éléments de l’infrastructure informationnelle. Bien que cette approche minimise les risques de fuites de données et d’opérations malveillantes, elle peut ralentir les processus métiers si la configuration des accès est mal gérée.