Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

cyberattaque, Cybersécurité

DES PME FRANÇAISES ADMETTENT AVOIR ÉTÉ TOUCHÉES PAR UNE VIOLATION DE LA SÉCURITÉ DE LEURS IMPRIMANTES.

L’augmentation des menaces de sécurité, telles que le phishing ou les ransomware, est une préoccupation très réelle pour les petites et moyennes entreprises (PME) d’Europe. D’autant plus que l’exploitation de nouvelles vulnérabilités fait des appareils en réseau, tels que les multifonctions et les imprimantes, des cibles de choix pour les atteintes à la sécurité informatique.

Une étude menée par Sharp Europe – L’un des principaux fournisseurs de produits et de services technologiques aux PME européennes, a révélé que près d’une PME française sur huit (12%) admet avoir été affectée par une violation de la sécurité de son imprimante. Près d’un tiers d’entre elles ont été touchées par des pertes de données (28%), des malware (31%), du phishing (32%) et des attaques de virus informatiques (29%).

Aujourd’hui, le paysage des menaces liées à l’impression continue de s’élargir avec les défis réels que pose le travail hybride, qu’il s’agisse de sécuriser les connexions réseau ou de se prémunir contre l’erreur humaine. Pourtant, seulement 3% des PME s’inquiètent du risque de sécurité des imprimantes. En fait, plus d’un tiers (38%) des petites entreprises françaises n’ont mis en place aucune mesure de sécurité informatique pour protéger les imprimantes.

L’étude paneuropéenne a interrogé 5 770 professionnels responsables de l’achat IT dans leurs PME, sur la confiance dans leurs capacités de sécurité informatique et les obstacles à l’investissement dans la sécurité informatique au cours des 12 prochains mois.

Manque de compréhension des employés en matière de sécurité informatique

L’étude révèle que le travail hybride est la deuxième raison (28%) pour laquelle les PME françaises s’inquiètent de plus en plus de la sécurité informatique. Plus d’un quart d’entre elles (26%) s’inquiètent également du manque de compréhension des employés en matière de sécurité informatique. Malgré ces inquiétudes, seul un peu plus d’un tiers (41%) couvre le travail hybride dans le cadre de sa formation actuelle à la sécurité informatique et moins d’un quart des PME sensibilisent leurs employés à la sécurité informatique des scanners (16%) et des imprimantes (19%).

Pour les petites entreprises qui ne disposent pas de ressources informatiques importantes, la réalité du paysage des menaces en constante évolution et les défis posés par le travail hybride peuvent sembler décourageants. Les PME peuvent commencer par mettre à jour les logiciels pour les scanners et les imprimantes, sauvegarder régulièrement les données et encourager une politique de sécurité cohérente au sein des équipes travaillant sur plusieurs sites afin de garantir leur protection. Demander l’avis d’un expert peut aider à s’assurer que les bonnes décisions en matière de sécurité informatique sont prises, qu’une vision holistique de la sécurité est adoptée et que les solutions sont toujours à jour.

Cybersécurité, Entreprise

PERSPECTIVES POUR 2024 : LES CYBERCRIMINELS S’OFFRENT DE NOUVEAUX LEVIERS D’ATTAQUE SIMPLIFIÉS

Avec la progression des offres de cybercriminalité en tant que service (CaaS) et l’avènement de l’intelligence artificielle (IA) générative, les auteurs de menaces gagnent en simplicité pour mener à bien leurs attaques. Avec leurs boîtes à outils qui s’enrichissent de nouvelles capacités, les assaillants affûtent leurs armes. Ils lanceront des attaques plus ciblées et furtives, capables de contourner les arsenaux de sécurité en place et gagneront en agilité en rendant chaque tactique d’attaque plus efficace au fil du temps. Voici les perspectives pour 2024.

Dans son rapport 2024 de prédictions sur les menaces, FortiGuard Labs se penche sur une nouvelle ère de la cybercriminalité, examine comment l’IA change la donne en matière d’attaques et livre les nouvelles tendances qui devraient émerger pour l’année à venir et au-delà. Ce rapport propose également des conseils qui permettront aux entreprises dans le monde de renforcer leur résilience face à des menaces qui n’ont pas fini d’évoluer.

Une évolution des techniques traditionnelles d’attaque

Depuis des années, nous observons et échangeons sur les tactiques d’attaque les plus populaires, abordées dans des rapports précédents. Les grands classiques ne disparaissent jamais, mais ils évoluent et progressent à mesure que les assaillants accèdent à de nouveaux outils. Ainsi, en matière de menaces APT (Advanced Persistent Threat), nous anticipons une activité plus dynamique. Au-delà de l’évolution des APT, nous prévoyons qu’en général, les groupuscules cybercriminels diversifieront leurs cibles et leurs playbooks en misant sur des attaques plus sophistiquées et plus destructives, basées notamment sur des dénis de services et autres tentatives d’extorsion.

Les guerres de territoires restent d’actualité au sein de la cybercriminalité. En l’espace de 24 heures ou moins, de nombreux groupuscules se concentrent sur les mêmes cibles en déployant plusieurs variantes de ransomware. Cette multiplication des actions est telle que le FBI américain a lancé un avertissement aux entreprises sur ce sujet en début d’année.

D’autre part, n’oublions pas que l’IA générative évolue et que l’instrumentalisation de l’IA jette de l’huile sur le feu en offrant aux assaillants un moyen simple d’améliorer les nombreuses étapes de leurs attaques. Comme nous l’avions prédit, les cybercriminels font de plus en plus appel à l’IA pour optimiser leurs actions, qu’il s’agisse de déjouer la détection de leurs techniques d’ingénierie sociale ou d’imiter des comportements humains.

Nouvelles tendances pour 2024 et au-delà

Même si les cybercriminels continuent de tirer parti de tactiques éprouvées pour engranger des gains rapides, ils disposent d’un nombre croissant d’outils pour simplifier l’exécution de leurs attaques. À mesure que la cybercriminalité évolue, nous anticipons différentes tendances pour 2024, et au-delà :

Voir plus grand : ces dernières années, les attaques par ransomware ont proliféré dans le monde, ciblant toutes les entreprises, quelles que soient leur taille et leur secteur d’activité. Toutefois, alors des cybercriminels sont toujours plus nombreux à exécuter leurs attaques, ils épuisent rapidement les cibles les plus petites et les plus faciles à pirater. À l’avenir, nous prévoyons que les assaillants adopteront une approche de type « tout ou rien ». Ils se recentreront leurs attaques sur des secteurs critiques (santé, finance, transports et services publics) pour un impact majeur sur l’ensemble de la société et des demandes de rançons bien plus élevées qu’aujourd’hui. Ils élargiront également leur mode opératoire, rendant leurs exactions plus personnalisées, moins prévisibles, plus agressives et donc plus dommageables.

Des vulnérabilités zero-day toujours plus nombreuses : les entreprises intègrent de nouvelles plateformes, applications et technologies pour mener leurs activités. Les cybercriminels disposent ainsi de nouvelles opportunités d’exploiter des vulnérabilités logicielles. Nous avons observé un nombre record de vulnérabilités zero-day et CVE en 2023, et cette tendance s’accélère. Ces vulnérabilités attirent les assaillants et nous nous attendons à ce que des brokers (cybercriminels qui revendent ces vulnérabilités sur le dark web à plusieurs acheteurs) apparaissent au sein de la communauté CaaS. De manière générale, les vulnérabilités N-days continueront à faire courir d’importants risques aux entreprises.

Jouer à domicile : les entreprises renforcent leurs contrôles de sécurité, adoptent de nouvelles technologies et de nouveaux processus pour consolider leurs défenses. Il est donc beaucoup plus difficile d’infiltrer un réseau depuis l’extérieur. Les cybercriminels doivent donc trouver de nouvelles stratégies pour atteindre leurs cibles. Anticipant cette évolution, nous prévoyons que les assaillants continueront à préparer toujours plus en amont leurs exactions (tactiques, reconnaissance et armement). D’ailleurs certains groupuscules n’hésiteront pas à recruter à l’intérieur même des entreprises ciblées pour obtenir un accès initial pour leurs attaques.

L’avènement d’attaques médiatiques : nous nous attendons à ce que les assaillants tirent parti de rendez-vous géopolitiques et événementiels majeurs, tels que les élections américaines de 2024 ou les Jeux olympiques de Paris en 2024. Pour cibler ces événements, les cybercriminels disposent désormais de nouveaux outils, en particulier l’IA générative, pour rendre leurs opérations plus efficaces.

Réduire le champ d’action des TTP : les assaillants continueront inévitablement à élargir l’ensemble des tactiques, techniques et procédures (TTP) qu’ils utilisent pour atteindre leurs cibles. Cependant, les équipes de sécurité en entreprise peuvent prendre l’avantage en identifiant les leviers pour perturber leurs actions. Bien que la majeure partie du travail quotidien des équipes de cybersécurité consiste à traiter les indicateurs de compromission, il est utile d’examiner de près les tactiques, techniques et procédures régulièrement utilisées pour en maîtriser le champ d’action.

La 5G en tant que nouveau terrain de chasse : l’accès à un éventail toujours plus large de technologies connectées entraîne de nouvelles opportunités. Avec la croissance exponentielle de la 5G, nous prévoyons une accélération des attaques connectées. Des attaques réussies contre l’infrastructure 5G sont susceptibles de perturber nombre de secteurs critiques (pétrole et gaz, transports, sécurité publique, finance, santé).

Vivre dans la nouvelle ère de la cybercriminalité

La cybercriminalité impacte chaque citoyen et les conséquences d’un incident sont souvent considérables. Pour autant, les acteurs malveillants ne sont pas nécessairement en capacité de prendre le dessus. Les professionnels de la cybersécurité peuvent prendre de nombreuses mesures pour anticiper les actions des criminels et perturber leurs activités : collaboration entre public et privé pour partager des informations, normalisation des procédures de reporting des incidents, etc.

Les entreprises ont bien sûr un rôle essentiel à jouer dans la lutte contre la cybercriminalité. En premier lieu, il s’agit de favoriser une culture de la cyber résilience pour faire de la cybersécurité le travail de chacun. On peut également penser à des initiatives permanentes telles que des programmes d’information et de formation à l’échelle de l’entreprise, ou encore des activités plus ciblées telles que des simulations ou des études de cas pratiques à l’intention des dirigeants. Un autre axe consiste à pallier le déficit de compétences de cybersécurité en interne en puisant dans de nouveaux viviers de talents pour pourvoir les postes vacants, une approche qui aidera les entreprises à faire face à la surcharge de travail des équipes sécurité et à anticiper l’évolution des menaces. Enfin, le partage de l’information, qui est appelé à gagner en importance, permettra d’activer rapidement les mesures de protection qui s’imposent.

Cybersécurité, Entreprise

NIS 2 : ÊTES-VOUS « CYBER READY » ?

Votée par les députés européens le 10 novembre 2022 et inscrite au Journal Officiel, NIS 2 (ou “Network Information Security”) a pour objectif d’harmoniser et de renforcer la cybersécurité du marché européen. Etes-vous « cyber ready » ?

NIS 2, cela vous dit quelque chose. Êtes-vous au courant qu’il existait un NIS 1 ? En 2016, le parlement européen a adopté NIS 1 dans un souci de renforcement de la cybersécurité des organisations majeures en Europe, dans des secteurs perçus comme sensibles. Mais avec l’instabilité du contexte géopolitique et l’augmentation des cyberattaques, l’Europe a publié à la fin de l’année 2022 l’extension NIS 2 afin d’élargir le périmètre des secteurs critiques et augmenter les niveaux de sécurité.

Cette directive, qui sera transposée à l’échelle nationale d’ici le 17 octobre 2024, apportera plusieurs exigences pouvant bouleverser les entreprises européennes.

Avec plus de 18 secteurs d’activité concernés, cette directive oblige des milliers d’entités à mieux protéger la sécurité de leurs réseaux par le biais de différentes stratégies cyber comme l’analyse de données, le traitement des incidents, la continuité des activités, la sécurité de la chaîne d’approvisionnement, la veille [comme celle proposée par le Service Veille ZATAZ] ou l’utilisation de système de communication d’urgence sécurisés au sein de l’organisation. Cette directive prévoit aussi des sanctions plus sévères, avec des amendes comprises entre 1,4 % et 2 % du chiffre d’affaires pour les entreprises n’appliquant pas les mesures de sécurité adéquates.

Il est également important de noter que la Directive NIS 2 efface la dénomination OSE (Opérateurs de services essentiels) au profit de deux catégories d’entités : les entités essentielles (EE) qui regrouperaient principalement les grandes entreprises dans les secteurs classés comme hautement critiques et les entités importantes (EI) qui concerneraient principalement les organisations de taille moyenne dans les secteurs classés comme hautement critiques et les organisations des secteurs critiques.

DORA l’exploratrice

En complément de NIS 2, le parlement européen a adopté en juin 2023 la réglementation DORA (Digital Operational Resilience Act) visant particulièrement le secteur bancaire car il est considéré comme hautement critique. Parmi les acteurs concernés, on retrouve les établissements de crédit, des sociétés de gestion ou des compagnies d’assurance. Ces organisations devront redoubler de vigilance sur les risques liés aux technologies d’information et communication et élaborer des processus de gestion des incidents.

« Dans le cadre de NIS 2, confirme Renaud Ghia, Président de Tixeo, les organisations attestant d’un incident de cybersécurité disposent d’un délai de 24 heures pour le signaler à l’ANSSI. Bien que la mesure puisse encore être modifiée, les entreprises devront s’organiser pour réagir rapidement. »

S’il leur est conseillé fortement conseillé de faire appel à des prestataires pour évaluer leur niveau de sécurité et recevoir des préconisations, les entreprises doivent également préparer et former dirigeants, managers et collaborateurs aux risques cyber. Cette directive attend justement des entreprises qu’elles ne dépendent plus simplement de leur service informatique mais que la direction soit en capacité d’approuver des mesures de sécurité.

Cybersécurité, Securite informatique

De faux messages de clients mécontents visent des hôtels

Les experts de VADE viennent de découvrir des tentatives de fraudes, via des courriels piégés, s’attaquant spécifiquement aux hôtels. 

Les premiers messages envoyés ne contiennent pas forcément de pièces jointes ou de liens nuisibles, mais leur rédaction est telle qu’ils sont reconnus comme potentiellement frauduleux par les systèmes de filtrage. Ces courriers électroniques ne sont pas toujours détectés par les filtres anti-spam habituels car ils ne contiennent pas d’éléments malveillants évidents. Le but est d’amener le destinataire, souvent la réception ou la direction de l’hôtel, à répondre à l’arnaqueur. Un second message, potentiellement avec une pièce jointe ou un lien dangereux, serait alors envoyé.

Le Blog ZATAZ, référence depuis plus de 20 ans dans les actualités liées à la lutte contre le cybercrime avait alerté de ce type de fraude, au mois d’août 2023. Même méthode, même excuse : la plainte d’un client.

Les analyses de l’entreprise française Vade suggèrent qu’il s’agit d’un malware versatile, capable de dérober des informations, d’obtenir des droits d’accès supérieurs, de se maintenir dans le système et de récolter des données d’identification, avec un potentiel de dégénérer en ransomware. Des indices laissent penser que cet acteur de menaces pourrait être d’origine chinoise, sans que cela puisse être affirmé avec certitude. « Nos analystes ont trouvé des preuves de l’existence de variantes apparentées qui indiquent qu’il s’agit très probablement d’un acteur chinois, mais les données ne permettent pas de le conclure à 100 %. » indique Romain Basset, directeur des services clients Vade.

Les auteurs se font passer pour des clients mécontents pour engager une conversation avec le personnel, comme l’alerte de ZATAZ au mois d’août 2023. Ces tentatives d’escroquerie sont généralement brèves et exemptes de charge malicieuse, du moins jusqu’à présent, avec l’hypothèse que cela intervient dans les échanges ultérieurs.

Une découverte notable est celle d’un courriel intégrant un lien vers un fichier malicieux sous un faux prétexte visuel. Bien que ces attaques aient jusqu’à présent visé principalement des entités anglophones, elles pourraient s’étendre à d’autres langues. Nos systèmes de détection n’identifient pas toujours ces tentatives, à l’instar d’autres filtres.

Voici quelques exemples de ces emails :

  • « Bonjour, lors de mon séjour à votre hôtel, j’ai subi un désagrément impliquant l’un de vos employés. J’ai dû contacter mon avocat. Pourriez-vous m’assister ?« 
  • « Bonjour, je souhaite signaler un souci rencontré avec ma réservation. J’ai besoin de renseignements et d’aide. Merci de répondre rapidement.« 

Les tentatives semblent viser les adresses email génériques telles que « info@ » trouvées sur les sites des hôtels, souvent consultées par le personnel de gestion. Les pirates créé un prétexte d’urgence dans la réponse [des clients pas content] pour une réponse rapide et une action de la part de la victime, augmentant ainsi les chances de succès de l’arnaque. Le fondateur de ZATAZ, Damien Bancal, a participé au mois d’octobre 2023 à une compétition de Social Engineering, au Québec [il a fini avec la médaille d’argent]. Il a démontré lors de la compétitions de 48 heures, comment les services hôteliers étaient des mines d’informations.

Preuves de l’objectif de l’attaque : Bien que le logiciel semble principalement conçu pour le vol d’informations, il est équipé pour évoluer vers des attaques plus sérieuses, telles que le ransomware, avec des indications d’utilisation de bibliothèques de cryptographie, suggérant une volonté de chiffrer les données et perturber les opérations hôtelières.

Cybersécurité, Securite informatique

Des entités israéliennes cibles des pirates du groupe Agonizing Serpens

Des experts révèlent une campagne de cyberattaques visant les domaines éducatifs et technologiques en Israël.

Ces offensives sont attribuées à un groupe APT, étroitement lié à l’Iran, surveillé par l’Unité 42 sous le nom d’Agonizing Serpens (également connu sous le nom d’Agrius), actif depuis 2020. Ce groupe est spécialisé dans les attaques cybernétiques destructrices, utilisant des malwares Wiper (appelés « essuie-glaces » car ils suppriment intégralement les données des systèmes infectés) et des ransomwares trompeurs visant principalement des institutions israéliennes.

Lancées en janvier 2023 et persistantes jusqu’en octobre 2023, ces attaques sont marquées par des tentatives de dérobement de données confidentielles, incluant des informations personnelles identifiables (PII) et de la propriété intellectuelle.

Les offensives d’Agonizing Serpens ont pour but le vol d’informations sensibles et la destruction massive de données par l’effacement des contenus des systèmes impactés. Les responsables ont subtilisé des données critiques, dont des informations personnelles et de propriété intellectuelle des organisations visées, et les ont divulguées sur les réseaux sociaux ou via des canaux Telegram, probablement dans le but d’intimider ou de nuire à la réputation des victimes.

Les analyses des nouveaux malwares Wiper indiquent que le groupe a peaufiné ses méthodes, privilégiant des techniques discrètes et évasives pour échapper aux systèmes de sécurité, notamment les technologies EDR.

Les chercheurs ont repéré 3 nouveaux Wiper et 1 outil de pillage de bases de données employés récemment par Agonizing Serpens :

  • Wiper multicouche
  • Wiper PartialWasher
  • Wiper BFG Agonizer
  • Sqxtractor – un outil spécifique pour l’extraction de données de serveurs de bases de données

Des détails supplémentaires et une analyse technique détaillée sont disponibles dans le rapport complet.

Qu’est-ce que le groupe APT Agonizing Serpens ?

Agonizing Serpens, aussi appelé Agrius, est un groupe APT associé à l’Iran, actif depuis 2020. Des rapports précédents avaient évoqué l’usage de ransomwares et de demandes de rançon, mais ces éléments se sont avérés être des diversions, comme noté dans le rapport de l’Unité 42 de 2023 sur le ransomware et la cyberextorsion. Lors des récentes attaques, aucune rançon n’a été exigée ; à la place, les conséquences ont été la perte de données et des interruptions d’activité significatives.

Les chercheurs estiment que ces attaques sont l’œuvre d’Agonizing Serpens, lié à l’Iran, basé sur les similitudes de code dans les différents Wipers : le Wiper MultiLayer analysé montre des correspondances de code et des schémas de noms similaires déjà documentés pour les Wipers d’Agonizing Serpens connus sous les noms Apostle, Fantasy et la backdoor IPsec Helper.

Les similitudes de code dans les web shells : les assaillants ont utilisé des web shells variant légèrement de l’un à l’autre, les différences résidant principalement dans les noms de variables et de fonctions. La nature destructrice des attaques : la phase finale des assauts implique une stratégie de « terre brûlée », avec l’utilisation de Wipers sur mesure pour détruire les terminaux et dissimuler les traces.

Enfin, le ciblage exclusif d’organisations israéliennes : la télémétrie de l’Unité 42 n’a relevé aucune victime non israélienne, suggérant une focalisation du groupe APT sur Israël.

Cybersécurité, IA, loi

Décret pour de nouvelles normes liées à l’intelligence artificielle

Le 30 octobre, l’administration du président américain Joe Biden a publié un décret établissant de nouvelles normes en matière de sûreté et de sécurité de l’intelligence artificielle.

Ces nouvelles normes décidées par l’administration Biden, alors qu’au même moment, à Londres, un rendez-vous politique tentait de mettre en place une coalition IA, se divise en 26 points, classé en huit groupes, dont chacun vise à garantir que l’IA est utilisée pour maximiser les bénéfices escomptés et minimiser les risques. En outre, la mise en œuvre du document devrait placer les États-Unis à l’avant-garde de l’identification des obstacles à la technologie et de la promotion de la poursuite de la recherche. Bref, la course aux normes reste la course au monopole visant l’IA. « Le décret […] protège la vie privée des Américains, fait progresser l’égalité et les droits civils, protège les intérêts des consommateurs et des travailleurs, encourage l’innovation et la concurrence, fait progresser le leadership américain dans le monde et bien plus encore« , indique la Maison Blanche.

Le document exige que les développeurs des systèmes d’IA « les plus puissants » partagent les résultats des tests de sécurité et les « informations critiques » avec le gouvernement. Pour garantir la sécurité et la fiabilité de la technologie, il est prévu de développer des outils et des tests standardisés. A noter que cet été, lors de la Def Con de Las Vegas, la grande messe du hacking, un village avait été mis en place afin de hacker les IA proposées par les géants américains du secteur.

Le document parle de la croissance de « la fraude et de la tromperie utilisant l’intelligence artificielle« , de la nécessité de créer des outils pour trouver et éliminer les vulnérabilités des logiciels critiques, ainsi que de l’élaboration d’un mémorandum sur la sécurité nationale. Cette dernière est destinée à guider les actions futures dans le domaine de l’IA et de la sécurité.

« Sans garanties, l’intelligence artificielle pourrait mettre encore davantage en danger la vie privée des Américains. L’IA facilite non seulement l’extraction, l’identification et l’utilisation des données personnelles, mais elle incite également davantage à le faire, car les entreprises utilisent les données pour former les systèmes d’IA« , indique l’ordonnance.

Selon le document, une utilisation irresponsable de la technologie peut conduire à la discrimination, aux préjugés et à d’autres abus. En mai, Sam Altman, PDG d’OpenAI, s’était exprimé devant le Congrès américain et avait appelé le gouvernement à réglementer l’utilisation et le développement de l’intelligence artificielle.

En juin, des représentants de l’ONU avaient déclaré que les deepfakes créés par l’IA nuisaient à l’intégrité de l’information et conduisent à l’incitation à la haine dans la société. Des fakes news et autres deepfakes que la Cyber émission de ZATAZ, sur Twitch, présentait aux spectateurs.

Pendant ce temps, en Angleterre, un accord historique s’est conclu à Bletchley Park : 28 pays leaders en intelligence artificielle ont conclu un accord mondial inédit. Cette Déclaration de Bletchley marque une avancée majeure dans le développement responsable et sécurisé de l’IA avancée. Les États-Unis, l’UE et la Chine, réunis par le Royaume-Uni, ont uni leurs forces pour établir une vision commune des opportunités et des risques liés à l’IA frontalière, soulignant ainsi l’impératif d’une collaboration internationale.

La conférence de Bletchley préfigure les futures instances comme l’AIEA dans le nucléaire (l’Agence Internationale de l’Énergie Atomique). « Une excellente façon de mettre toutes les grandes puissances au même diapason sur une même sémantique avant de trouver un référentiel qui permette à chacun d’évaluer la dangerosité de tel ou tel développement. » confirme Stéphane Roder, CEO d’AI Builders. Une façon aussi de se contrôler les uns les autres, de redonner confiance au public, mais surtout de se donner bonne conscience quand on sait que la Chine fait un usage massif de l’IA pour la notation sociale ou que toutes les armées du monde ont des armes contenant de l’IA.

Bard, l’IA de Google qui renifle vos données

A noter que l’intelligence artificielle lancée par Google, Bard, va bientôt renifler les documents et les mails des utilisateurs des produits du géant américain. Google explique qu’il s’agit d’une évolution pratique et positive pour ses clients. Dans sa dernière mise à jour, Bard Extension, l’Intelligence Artificielle de la firme Californienne peut se connecter à Maps, YouTube, Gmail et à votre calendrier Google. Bard va tout voir, tout savoir afin de mieux répondre à vos requêtes de recherche.

Google indique que cette « connexion entre Bard et vos autres applications n’était pas visible par des humains, mais uniquement utilisée pour entraîner Bard au quotidien […] Les informations ne seraient pas utilisées pour entraîner ses modèles ou pour vous noyer sous les publicités ciblées« . Espérons que cela ne sera pas comme son concurrent Microsoft dont plusieurs millions de documents utilisés pour entrainer son IA ont fuité. Le blog ZATAZ, référence de l’actualité dédiée à la cybersécurité, a expliqué dans son émission sur Twitch [zataz émission sur Twitch] avoir vu en vente dans un espace pirate les données IA de Microsoft.

A noter qu’il est possible de bloquer l’IA Bard de Google. Pour cela, ouvrez un navigateur Web et accédez à la page « Gérer les applications et services tiers ayant accès à votre compte ». Connectez-vous à votre compte Google. Dans la liste des applications et services, recherchez « Bard ». Sélectionnez le bouton « Supprimer l’accès ». Voilà, Bard ne pourra plus accéder à vos applications Google. Je vous conseille de vérifier dans chaque application Google que Bard est bien devenu sourd, aveugle et muet. Pour cela, rendez-vous vous dans les paramètres de vos applications. Recherchez « Bard ».

Chiffrement, cryptage, Cybersécurité

Lutte contre la pédopornagraphie : lettre ouverte de scientifique pour protéger l’anonymat

Des parlementaires européens proposent une alternative à la loi contre la pédopornographie, qui aurait contraint les entreprises du secteur technologique à surveiller massivement les contenus des utilisateurs. Cette nouvelle mouture vise à protéger les enfants sans violer la vie privée des citoyens et à maintenir l’intégrité du chiffrement.

Pendant des mois, la Commission européenne a travaillé sur une régulation visant à freiner la propagation de la pédopornographie. Cette initiative, qui aurait obligé les plateformes technologiques à inspecter systématiquement les appareils des utilisateurs pour du contenu inapproprié via des logiciels basés sur l’IA, a suscité de nombreuses controverses.

Elle aurait aussi signifié la fin du chiffrement. Permettre le scannage de fichiers, machines, correspondances, obligerait de ne pas chiffrer, et sécuriser, les documents pour être lus par l’IA.

Ce projet a soulevé des inquiétudes quant à sa conformité avec les lois européennes sur la vie privée. De plus, des questions ont émergé sur la précision du logiciel de détection : une grand-mère pourrait-elle être faussement identifiée en envoyant une simple photo de son petit-fils à la piscine ? En juillet 2023, environ 150 scientifiques ont exprimé leurs préoccupations concernant les implications de cette proposition sur la vie privée et la sécurité en ligne.

Suite à ces critiques, un groupe de parlementaires a introduit une alternative. Elle demande aux entreprises technologiques et plateformes en ligne d’adopter des mesures proactives, comme la vérification de l’âge des utilisateurs. Les comptes des mineurs sur des plateformes telles qu’Instagram ou YouTube seraient privés par défaut, empêchant ainsi les contacts non désirés. Sont-ils au courant que cela existe déjà ? En France, par exemple, la loi instaure une majorité numérique à 15 ans. Avant, les enfants ne peuvent pas s’inscrire sur les réseaux. La loi oblige les plateformes à mettre des solutions techniques de contrôle. Instagram interdit les inscriptions de personnes de moins de 13 ans. TikTok indique aussi 13 ans [14 ans au Quebec]. Selon le blog du modérateur, le top 3 des réseaux sociaux les plus utilisés par la Gen Z (11 / 14 ans) : Instagram : 90 % (+6 % par rapport à 2022), Snapchat : 80 % (+4 %), TikTok : 63 % (+53 % par rapport à 2020).

Contrairement à la proposition initiale, cette version ne mandate le scan des contenus que dans des circonstances spécifiques, basées sur des preuves fournies par les autorités policières. De plus, les scans ne seraient réalisés que sur des plateformes sans chiffrement, éliminant ainsi la nécessité de créer des « backdoors ».

Cette proposition révisée devrait être examinée par le Conseil de l’Europe et la Commission européenne avant un vote final. – Avec DataNews.

Cybersécurité, Securite informatique

Les appareils Huawei et Vivo considèrent l’application Google comme dangereuse

La guerre commerciale entre la Chine et les USA passe aussi dans les fausses alertes de piratage informatique !

Les appareils Huawei et Vivo considèrent dorénavant l’application Google comme un malware. Voilà la réponse des marques chinoises au blocage américain de ses technologies et l’interdiction d’utiliser les outils Google. Les utilisateurs ont découvert que d’étranges avertissements de menace de sécurité apparaissent sur les smartphones et tablettes Huawei, Honor et Vivo, les invitant à supprimer l’application Google. Les appareils signalent que l’application est reconnue comme un malware TrojanSMS-PA. Un faux positif, mais qui a fait son effet !

Ce problème est signalé en masse sur les forums d’assistance de Google, Reddit et les forums Huawei. L’alerte explique que l' »application a été observée envoyant des messages SMS à l’insu de l’utilisateur, attirant les utilisateurs avec du contenu payant pour adultes, téléchargeant/installant des applications à l’insu de l’utilisateur ou volant des informations sensibles, ce qui peut entraîner des dommages matériels et une fuite de données sensibles. Nous vous recommandons de le supprimer immédiatement ». A noter que l’éditeur de solutions de cybersécurité Avast a annoncé un bug de son service annonçant Google Quick Search Box comme un malware sur les smartphones Huawei, Vivo et Honor.

Du côté de Samsung, des utilisateurs d’appareils Samsung ont commencé à recevoir des avertissements de Google Play Protect dès plus inquiétants. Le service d’analyse des logiciels malveillants intégré aux appareils Android se méfie, depuis octobre, de certaines applications populaires, notamment Samsung Wallet et Samsung Messages. Comme le rapporte 9to5Google, les utilisateurs se sont plaints en masse sur le forum d’assistance de Google du fait que Play Protect signalait les applications du système Samsung comme « dangereuses ».

Pendant ce temps, en Russie, le ministère des communications et contrôle de l’Internet local [Roskomnadzor] a fait interdire dans les moteurs de recherche russes qu’apparaissent dans les résultats : Hetzner Online GmbH ; Network Solutions, LLC ; WPEngine, Inc. ; HostGator.com, LLC ; Ionos Inc. ; DreamHost, LLC ; Amazon Web Services, Inc. ; GoDaddy.com LLC ; Bluehost Inc. ; Kamatera Inc. ; DigitalOcean, LLC.

La loi russe [n° 236-FZ] oblige les hébergeurs étrangers dont les utilisateurs sont situés, y compris sur le territoire de la Fédération de Russie, à remplir les obligations locales. Les hébergeurs doivent créer un compte personnel sur le site Web de Roskomnadzor ; publier un formulaire de commentaires pour les citoyens et organisations russes ; créer un bureau de représentation autorisé en Russie.

Cybersécurité, VPN

Google Chrome masquera les véritables adresses IP des utilisateurs

Google se prépare à commencer à tester une nouvelle fonctionnalité de protection IP dans le navigateur Chrome. Cette solution devrait améliorer la confidentialité des utilisateurs en masquant leurs adresses IP à l’aide des propres serveurs proxy de Google.

Google prévoit de tester la protection IP entre la sortie de Chrome 119 et Chrome 225. Les développeurs expliquent que les adresses IP permettent aux sites et services en ligne de suivre les activités des utilisateurs et aident à créer des profils permanents de personnes.

Google affirme que cela pose de sérieux problèmes de confidentialité car, contrairement aux cookies tiers, il n’existe actuellement aucun moyen direct pour les utilisateurs de se désinscrire et d’éviter un tel suivi secret.

Dans le même temps, les adresses IP sont également utilisées pour exécuter des fonctions aussi critiques que le routage du trafic et la lutte contre la fraude. Les experts de Google sont convaincus que la protection IP n’interférera pas avec cela en dirigeant le trafic tiers de certains domaines via des serveurs proxy et en rendant les adresses IP des utilisateurs invisibles pour ces domaines particuliers.

À mesure que l’écosystème évolue, la protection IP devrait s’adapter pour protéger les utilisateurs du suivi inter-sites, et des domaines supplémentaires seront ajoutés au trafic proxy.

Ainsi, dans un premier temps, la protection des adresses IP sera effectuée à la demande de l’utilisateur, ce qui permettra aux personnes de contrôler leurs paramètres de confidentialité, et Google pourra suivre les tendances.

L’introduction de la nouvelle fonction se fera par étapes, en tenant compte des spécificités régionales. Dans un premier temps, la fonctionnalité ciblera uniquement des domaines spécifiques dans le contexte de tiers, ce qui permettra d’identifier ceux qui, selon les utilisateurs, les espionnent.

Au cours de la première phase, appelée « Phase 0 », Google ne proxy que les requêtes pour ses propres domaines à l’aide d’un serveur proxy propriétaire. Cela permettra à l’entreprise de tester l’infrastructure et donnera aux développeurs le temps de finaliser la liste des domaines. Parmi les domaines sur lesquels Google compte tester cette fonctionnalité figurent les plateformes de l’entreprise telles que Gmail et AdServices.

Pendant la phase 0, seuls les utilisateurs connectés à Google Chrome avec une adresse IP américaine pourront accéder aux serveurs proxy. Ces tests préliminaires seront menés sur un groupe sélectionné, automatiquement sélectionné, mais il est prévu que l’architecture et la conception du système changent au fur et à mesure des tests.

Cybersécurité, Justice, loi

Le Canada interdit les applications WeChat et Kaspersky sur les appareils du gouvernement

Le Canada a annoncé l’interdiction de l’utilisation des applications de Tencent et Kaspersky sur les appareils mobiles gouvernementaux. Invoqué, un niveau inacceptable de risque pour la vie privée et la sécurité du pays.

« Le gouvernement du Canada s’engage à assurer la sécurité des informations et des réseaux gouvernementaux« , a déclaré le porte parole du gouvernement canadien. « Nous surveillons régulièrement les menaces potentielles et prenons des mesures immédiates pour faire face aux risques. » Les derniéres mesures en date sont les interdictions de WeChat et des solutions informatiques de la société russe Kaspersky.

Depuis le 30 octobre, WeChat de Tencent et la suite d’applications de Kaspersky ont été supprimées des appareils mobiles émis par le gouvernement. À l’avenir, les utilisateurs de ces appareils ne pourront plus télécharger les applications montrées du doigt.

« Nous adoptons une approche de cybersécurité basée sur les risques en supprimant l’accès à ces applications sur les appareils mobiles du gouvernement« , a déclaré Anita Anand, présidente du Conseil du Trésor, dans un communiqué, ajoutant que les applications « offrent un accès considérable au contenu de l’appareil ».

Les logiciels russes et chinois dans la ligne de mire

Il est vrai qu’un antivirus connait la moindre information de votre ordinateur, le moindre de vos mails, et si vous n’y prenez pas garde enverra des échantillons à la société cachée derrière l’antivirus. Je vous invite a regarder les nombreuses options qui vont dans ce sens, rien que pour l’antivirus de Microsoft, installé dans tous les Windows 10 et 11 de la planète, automatiquement.

WeChat est une application chinoise de messagerie instantanée, de médias sociaux et de paiement mobile développée par Tencent. L’application tout-en-un compte plus d’un milliard d’utilisateurs actifs par mois, ce qui en fait l’une des plus grandes plateformes en ligne.

Kaspersky a déclaré que cette interdiction semble être fondée sur des motifs politiques et que les actions sont « très mal fondées et constituent une réponse au climat géopolitique plutôt qu’une évaluation globale de l’intégrité des produits et services de Kaspersky« .

Cette décision intervient après que le Canada a interdit TikTok, propriété du chinois ByteDance, des appareils gouvernementaux pour des motifs similaires en février 2023. Auparavant, en mars 2022, la Federal Communications Commission (FCC) des États-Unis avait ajouté Kaspersky à la « liste couverte » des entreprises qui présentent un « risque inacceptable pour la sécurité nationale » du pays.

Cybersécurité, Justice

L’affaire REvil devant un tribunal militaire

Des membres du groupe de ransomware REvil seront jugés par un tribunal militaire russe. Ils étaient militaires au moment des faits qu’ils leurs sont reprochés.

L’affaire des pirates informatiques du groupe russophone REvil ne cesse de faire des vagues. Pour rappel, REvil (Aka Sodinokibi) était un groupe de pirates informatiques spécialisés dans l’infiltration d’entreprise et le chantage numérique. Ils seront arrêtés en 2022, avec le soutien du FBI. Le conflit autour du procès REvil l’a vu passer du tribunal militaire au tribunal civil, puis revenir devant les instances militaires.

Parmi les membres de REvil arrêtés et détenus dans les casernes russes figurent un officier du service militaire, Artem Zayets. Il aurait lancé des cyber attaques alors qu’il servait dans l’armée.

Le sac de nœuds judiciaires lié à cette affaire fait rebondir le dossier de manière assez intéressante. D’abord, au mois d’août 2023, la justice refuse que l’affaire soit portée devant un tribunal militaire. L’affaire REvil va ensuite être renvoyée au bureau du procureur général car elle violait la règle de compétence en matière d’enquête. Voici que maintenant, retour à la case départ. Bilan, c’est le tribunal militaire de la garnison de Saint-Pétersbourg qui va se charger de juger tout ce petit monde.

Argent saisi par le FSB

Alors aidé à l’époque par les informations fournies par le FBI, le FSB a perquisitionné 25 domiciles afin d’arrêter 14 personnes soupçonnées d’avoir participé aux opérations du ransomware-as-a-service REvil. Huit vont comparaitre devant le tribunal. Parmi les membres de REvil arrêtés figuraient l’adjudant supérieur de réserve Artem Zaets, Alexey Malozemov, Andrey Bessonov, Mikhail Golovachuk, Roman Muromsky, Dmitry Korotaev, Daniil Puzyrevsky et Ruslan Khansvyarov.

Tous sont accusés d’être, non pas des instigateurs des cyberattaques, mais d’être des mules et d’avoir permis de blanchir l’argent des rançons. Outre la découverte monétaire, les autorités russes ont également confisqué 20 voitures de luxe que les membres de REvil ont achetées avec l’argent obtenu grâce à des attaques de ransomware.

Les membres du ransomware REvil n’ont pas été extradés vers les États-Unis, et ne sont pas prêts de connaitre les prisons de l’Oncle Sam.

Cybersécurité, Justice, loi, Securite informatique

Ransomware : partage d’informations et suivi des paiements

Une coalition mondiale de dirigeants gouvernementaux en matière de cybersécurité annoncent des efforts visant à renforcer le partage d’informations sur les menaces numériques et à s’attaquer aux paiements en cryptomonnaies des chantages numériques.

Lors de sa réunion à Washington, la Maison Blanche a décidé de mettre les bouchées doubles à l’encontre des rançongiciels et maîtres-chanteurs adeptes de ransomware. L’administration Biden a accueilli des responsables de 47 pays pour son Initiative internationale de lutte contre les ransomwares –  (International Counter Ransomware Initiative – CRI), au cours de laquelle les participants ont dévoilé un certain nombre d’actions.

La Maison Blanche a exhorté, ce 31 octobre, les gouvernements participants à prendre un engagement politique commun annonçant qu’ils ne paieraient pas de rançon aux cybercriminels. « Nous n’en sommes pas encore là, avec 50 pays, ce sera de la haute voltige« , a déclaré Anne Neuberger, conseillère adjointe à la sécurité nationale pour la cybersécurité et les technologies émergentes. Bref, une posture politique déjà prise en octobre 2021.

International Counter Ransomware Initiative

De son côté, le Conseil de sécurité nationale des États-Unis (NSC) exhorte les gouvernements de tous les pays participant à l’Initiative internationale de lutte contre les ransomwares (CRI) à publier une déclaration commune annonçant qu’ils ne paieront pas de rançon aux cybercriminels. La France, via l’ANSSI, l’Agence Nationale de Sécurité des Systèmes d’Information, a été l’une des premiéres structures à rappeler ce fait : ne payez pas !

Il faut dire aussi qu’il n’existe pas de norme mondiale sur la question suivante : Le paiement d’une rançon doit-il être effectué lors d’une cyberattaque ? Une plateforme de partage d’informations doit être mise en place « où les pays pourront s’engager à partager rapidement des informations après un incident majeur ». Une plate-forme gérée par les Émirats arabes unis.

L’argent des pirates, le nerfs de la guerre !

Les américains non jamais partagé auparavant des portefeuilles pirates, ni d’informations concernant les portefeuilles de la blockchain qui déplacent des fonds illicites liés aux ransomwares. D’ici peu, ces données seraient partagées avec les départements du Trésor du monde entier.

Le CRI a été lancé en 2021 avec 31 membres Australie, Brésil, Bulgarie, Canada, République tchèque, République dominicaine, Estonie, Union européenne, France, Allemagne, Inde, Irlande, Israël, Italie, Japon, Kenya, Lituanie, Mexique, Pays-Bas, Nouvelle-Zélande, Nigéria, Pologne, République de Corée, Roumanie, Singapour, Afrique du Sud, Suède, Suisse, Ukraine, Émirats arabes unis, Royaume-Uni et États-Unis) et en a ajouté d’autres à mesure que les ransomware gagnaient du terrain, comme le gouvernement du Costa Rica.

Le pays avait été paralysé après avoir refusé de payer une rançon de 20 millions de dollars aux pirates du groupe CONTI, le 16 avril 2022. L’expérience du Costa Rica montre que la politique peut également jouer un rôle dans la décision d’un gouvernement. Lors d’une comparution au Centre d’études stratégiques et internationales (CSIS) à la fin du mois de septembre, le président costaricien Rodrigo Chaves a déclaré que même si le paiement d’une rançon aurait nécessité une législation, il ne l’aurait pas fait même s’il en avait eu la possibilité.

A noter que cette demande de ne pas payer ne concerne que les Pays. Les paiements de rançons améliorent non seulement les capacités des groupes de cybercriminalité, mais qu’ils peuvent également financer d’autres actions malveillantes ou des Etats-nation aux intérêts criminels et/ou terroristes. Bien qu’aucun gouvernement national n’ait publiquement reconnu avoir payé une rançon, rien n’empêche de penser que certains ont payé le silence des pirates, comme ont pu le faire des milliers d’entreprises privées de part le monde.

Cybersécurité, Securite informatique

Kopeechka : le site web qui permet d’ouvrir des milliers de comptes réseaux sociaux

Un outil web russe inonde les réseaux sociaux de robots permettant, dans certains cas, d’orchestrer des vagues de fakes news.

Des cybercriminels peu qualifiés utilisent un nouvel outil pour créer des centaines de faux comptes de réseaux sociaux en quelques secondes seulement, ont découvert des chercheurs de chez Trend Micro. Appelé Kopeechka (« penny » en russe), le service permet de contourner deux obstacles principaux pour quelqu’un qui tente de créer un faux compte : la vérification par courrier électronique et par téléphone.

J’avoue être très étonné, le site Kopeechka existe depuis plusieurs années [2019] et il est légal. Il affiche être une solution prête à l’emploi pour l’achat groupé de comptes de messagerie sans nécessiter de maintenance supplémentaire de ces comptes. Mais, comme d’habitude, des pirates et autres malveillants ont trouvé le moyen de détourner le service.

Bref, les cyber criminels peuvent utiliser Kopeechka pour mener des campagnes de désinformation, de spam et de promotion de logiciels malveillants. Il semble que ce service a été utilisé pour enregistrer en masse des comptes sur la plateforme de médias sociaux Mastodon afin de mener des campagnes de spam à grande échelle promouvant des plateformes d’investissement frauduleuses en crypto-monnaie.

Une lutte contre les faux comptes

Les géants des médias sociaux comme Instagram, Facebook et X (anciennement Twitter) s’efforcent depuis longtemps de minimiser l’enregistrement massif de faux comptes, également appelés robots, car ils sont souvent utilisés par les pirates informatiques dans leurs activités illégales. Les mesures anti-bot de base, comme la validation de l’adresse e-mail et du numéro de téléphone, l’utilisation d’adresses IP non suspectes et le CAPTCHA (un puzzle sur un site Web conçu pour confirmer qu’il est utilisé par une personne réelle plutôt que par un programme informatique), sont dissuasives.

Les cybercriminels peuvent contourner les CAPTCHA et les contrôles de réputation des adresses IP à l’aide de scripts automatisés, mais obtenir des adresses électroniques et des numéros de téléphone uniques peut s’avérer plus difficile. C’est alors qu’ils se tournent vers des services comme Kopeechka. En plus des principales plateformes de médias sociaux comme Facebook et X, les cybercriminels ont utilisé l’API de Kopeechka pour enregistrer des comptes sur Discord ou encore Telegram.

Un détournement malveillant voulu ?

Des chercheurs de Trend Micro ont également découvert un script Python via Kopeechka qui pourrait être utilisé pour créer des comptes sur Virus Total, un service en ligne qui analyse les fichiers informatiques à la recherche de virus, ce qui implique que certains utilisateurs pourraient enregistrer ces comptes pour tester la détection de leurs logiciels malveillants. Kopeechka permet aux utilisateurs d’accéder aux courriels reçus des plateformes de médias sociaux. Il ne cède pas lui-même le compte de boîte aux lettres, car il est contrôlé par Kopeechka et non par un utilisateur tiers.

Kopeechka dispose de plusieurs comptes de messagerie en stock, notamment avec Hotmail, Outlook ou encore Gmail. L’outil étant russe, Mail.ru fait parti du râtelier du service. Il permet d’utiliser une seule adresse pour plusieurs inscriptions sur différentes plateformes de médias sociaux. Les chercheurs soupçonnent que ces adresses sont soit compromises, soit créées par les acteurs de Kopeechka eux-mêmes.

Pour vérifier les numéros de téléphone des utilisateurs lors de l’enregistrement du compte, Kopeechka offre l’accès à 16 services SMS en ligne différents, provenant pour la plupart de Russie. Le blog ZATAZ a montré, il y a deux ans, dans son espace OSINT, différents sites web permettant de recevoir des SMS, sans être obligé de fournir un numéro de téléphone officiel ou enregistré.

Il faut compter moins de 0.0020$ par message. Deux adresse en .fr sont disponibles : outlook.fr et gmx.fr.

Cybersécurité, Securite informatique

Review Checker, l’application qui detecte les faux commentaires

Une version bêta d’une extension baptisée Review Checker a été publiée pour le navigateur Mozilla Firefox. Elle détecte les fausses critiques de produits.

La fonction « Review Checker » examine tous les avis sur la page, raye ceux que les algorithmes déterminent comme étant faux en fonction de la formulation typique et de la similitude avec d’autres commentaires, puis calcule la note ajustée du produit.

L’extension est actuellement testée auprès d’une petite partie d’utilisateurs américains sur trois plateformes d’achat : Amazon, BestBuy et Walmart. La version 119 de Firefox introduit Review Checker. La sortie officielle devrait avoir lieu en novembre 2023 , mais il n’est pas clair si à l’avenir la fonction prendra en charge des marchés nationaux ou ne se contentera d’entreprises partenaires.

Propulsée par Fakespot de Mozilla, cette fonctionnalité évalue la qualité des avis sur les produits en vous aidant à savoir si les avis proviennent probablement de vrais clients ou s’ils proviennent d’évaluateurs biaisés ou rémunérés. Review Checker utilise la technologie d’IA pour analyser les avis sur Amazon, Best Buy et Walmart.

Il attribue aux avis de chaque produit une note alphabétique, allant de A à F, indiquant leur fiabilité.

Bitcoin, Cybersécurité

Un professeur en cybersécurité se fait pirater

Un enseignant, spécialiste de la cybersécurité, se fait pirater 40 000€ via des appels téléphoniques !

Nous sommes dans la ville de Kemerovo, une ville industrielle de la fédération de Russie. Plusieurs écoles et université et des formations cybersécurité comme un peu partout dans le monde. Un professeur de cybersécurité a démontré que le « tout technique » était une grave erreur.

L’homme a versé, à la suite de plusieurs appels téléphoniques malveillants, pas moins de 40 000€ à des pirates.

Le schéma est pourtant très classique. L’enseignant a été appelé par des « agents des forces de l’ordre« . Les policiers lui ont expliqué que des pirates vendaient les données personnelles des enseignants dans le darkweb. Quelques heures aprés l’appel des fausses autorités, un « employé de banque » s’en est mêlé.

Il va expliquer qu’il fallait réduire au plus vite les possibilités des pirates de voler de l’argent. Ici aussi, un profil basic d’attaque, de social engineering : il fallait transférer tous les fonds de l’enseignant sur un « compte sécurisé« . Et devinez quoi ?

Le malheureux professeur a cru à cette légende, a vendu sa voiture, a contracté 4 crédits et a effectué une vingtaine de transferts d’une valeur de 40 000€.

Allô, Allô, monsieur l’ordinateur !

Pendant ce temps, aux États-Unis, des escrocs attirent les cryptomonnaies pour le compte du FBI. Récemment, le Federal Bureau of Investigation a mis en garde les habitants d’El Paso contre des escrocs qui se font passer pour des responsables du FBI. Ils ont tenté de convaincre les victimes de transférer des crypto-monnaies. Il convient de noter que le processus de traitement mis en place par les voleurs est divisé en plusieurs étapes afin de convaincre la victime de l’authenticité des informations prétendument fournies par le FBI.

Premièrement, les escrocs « réchauffent » une victime potentielle en lui envoyant une notification officielle au nom du bureau local du FBI. Dans le même temps, le faux document est d’assez bonne qualité : il est créé sur la base d’un formulaire officiel, porte le logo du FBI et la signature d’un agent spécial à El Paso. Une méthode utilisée par de nombreux pirates que le blog ZATAZ a infiltré, dans l’opération Border Collie, que vous pouvez découvrir dans cet article.

La fausse lettre du FBI précise qu’une enquête est en cours concernant des fuites de données personnelles ou des cyberattaques de pirates étrangers. L’objectif principal est de convaincre la victime que l’enquête est réelle. Après un certain temps, les escrocs contactent la victime potentielle par téléphone, se faisant passer pour des employés du FBI, et recommandent de transférer temporairement leurs actifs en crypto-monnaie vers un « compte spécial sécurisé du gouvernement américain ».

Chiffrement, cryptage, Cybersécurité, Hacking

Le lecteur flash le plus sécurisé au monde piraté

Des hackers ont réussi à pirater le lecteur flash le plus sécurisé au monde, l’IronKey S200.

IronKey S200, un lecteur flash qui se veut le plus sécurisé au monde. Il utilise un système de protection des données avancé et s’auto détruit irrévocablement si vous entrez 10 fois le mauvais mot de passe.

L’éditeur de Wired a proposé le piratage de l’appareil à la startup Unciphered, spécialisée dans la récupération de portefeuilles cryptographiques et de périphériques matériels. L’équipe a passé 8 mois à développer une méthode de piratage et a finalement réussi.

Après une expérience réussie, la startup s’est tournée vers Stefan Thomas, devenu célèbre pour avoir oublié le mot de passe de son IronKey, où 7002 BTC sont stockés depuis 12 ans. Stefan a refusé l’offre de piratage, affirmant que deux équipes de hackers travaillaient sur le problème depuis longtemps.

Aujourd’hui, la valeur des bitcoins dans le portefeuille de Stefan est d’environ 235 millions de dollars. Il ne lui reste plus que 2 tentatives de mot de passe sur les 10 alloués par l’IronKey.

Le Trésor américain envisage de déclarer les cryptomixers centres de blanchiment d’argent et appelle à des mesures restrictives , affirmant que leurs principaux clients sont des terroristes.

Banque, Bitcoin, Cybersécurité

Le Royaume-Uni instaure une législation permettant la saisie rapide des biens en cryptomonnaie

La loi récemment adoptée sur la transparence des entreprises et la criminalité économique autorise les forces de police à immobiliser et à saisir presque immédiatement les actifs en cryptomonnaie.

La nouvelle loi britannique contre le blanchiment d’argent et la criminalité économique vient de changer la donne pour un grand nombre de malveillants. La nouvelle législation sur la criminalité économique et la transparence des entreprises permet aux forces de l’ordre de geler et de confisquer rapidement les actifs en cryptomonnaie. La loi sera mise en application très prochainement.

Cette législation comprend également des mesures autorisant la saisie d’autres types d’actifs et de propriétés tangibles, facilitant ainsi la localisation des cryptomonnaies liées à un individu suspecté de criminalité. Comme pour la France, avec des spécialistes des cryptomonnaies au sein de la Gendarmerie Nationale ou la Police Nationale, les forces de l’ordre britanniques ont maintenant intégré des experts en criminalité liée aux cryptomonnaies à leur équipe permanente.

Pendant ce temps, l’un des plus grands robots « Telegram » pour le trading de crypto-monnaie, baptisé « Maestro » a été piraté, 280 ETH [etherum] ont été volés malgré le fait que l’équipe a répondu assez rapidement à l’attaque.

Dans les 30 minutes suivant la découverte du piratage, les malveillants ont réussi à voler plus de 500 000 $. L’équipe « Maestro » a annoncé son intention de restituer les fonds à tous les utilisateurs concernés dans un avenir très proche .

Cybersécurité, IOT

L’IA, l’arme ultime pour l’armée américaine

L’ancien chef du Comité interarmées des chefs d’état-major unis des États-Unis, le général Mark Milley, affirme que l’intelligence artificielle (IA) deviendra un élément clé pour que l’armée américaine.

L’Intelligence Artificielle, la nouvelle arme indispensable de l’armée américaine. Le général à la retraite Mark Milley estime que l’intelligence artificielle sera un élément essentiel pour permettre à l’armée américaine de garder une longueur d’avance sur ses adversaires potentiels. « Notre armée va devoir changer si nous voulons continuer à être supérieurs à toutes les autres armées sur Terre » a déclaré l’ancien président des chefs d’état-major interarmées lors d’un entretien avec l’émission « 60 Minutes ».

Selon Milley, les guerres futures seront radicalement différentes avec le développement apparemment rapide de la technologie de l’IA. « Au cœur de toutes ces capacités se trouve la capacité de l’IA à accélérer la compréhension de circonstances difficiles et à réagir rapidement avec des capacités de frappe de précision, exprime Christopher Alexander, ancien opérateur des opérations de guerre de l’information de l’armée. Cela sera transféré des processus du personnel jusqu’au champ de bataille.« 

Bref, Joshua et Skynet risquent de pointer le bout de leurs nez bien plus rapidement que l’a prédit le cinéma !

Cybersécurité, DDoS

HTTP/2 Rapid Reset

Une nouvelle vulnérabilité, nommée HTTP/2 Rapid Reset, a été découverte, mettant en scène des attaques DDoS jamais vues auparavant. Une nouvelle menace à l’origine de la plus volumineuse attaque de l’histoire d’Internet !

Cloudflare, Inc. spécialiste dans le domaine de la connectivité cloud, révèle au public avoir contribué à la divulgation d’une nouvelle vulnérabilité zero-day, baptisée « HTTP/2 Rapid Reset ». Cette vulnérabilité mondiale confère aux acteurs malveillants la possibilité de générer des attaques d’un volume encore jamais observé sur Internet.

Afin d’aider à atténuer les effets de cette nouvelle menace DDoS sur l’ensemble de l’écosystème Internet, le spécialiste a spécialement développé une technologie pour bloquer automatiquement n’importe quelle attaque basée sur Rapid Reset pour ses clients.

La société américaine a tout d’abord atténué ces risques avec succès et mis un terme aux abus potentiels pour tous ses clients, tout en donnant le coup d’envoi d’une procédure de divulgation responsable avec deux autres importants fournisseurs d’infrastructure. Elle a ensuite étendu les mesures d’atténuation de cette vulnérabilité à un large pourcentage d’Internet, avant de révéler l’existence de cette dernière au grand public.

« Si cette attaque DDoS et cette vulnérabilité restent au-dessus du lot à l’heure actuelle, les acteurs malveillants ne manqueront pas d’inventer d’autres tactiques et techniques zero-day évolutives, afin de perpétrer de nouvelles attaques. La constance dans la préparation et la capacité d’intervention face à ces menaces réside au cœur de notre mission visant à bâtir un meilleur Internet. » indique Matthew Prince, CEO de Cloudflare.

Anatomie de la vulnérabilité HTTP/2 Rapid Reset

Fin août 2023, il a découvert une vulnérabilité zero-day, développée par un acteur malveillant inconnu. La vulnérabilité exploite le protocole HTTP/2 standard, un composant fondamental du fonctionnement d’Internet et de la plupart des sites web. Le protocole HTTP/2 est responsable de la manière dont les navigateurs interagissent avec un site web, en leur permettant de « requérir » l’affichage rapide de certains éléments (comme le texte et les images) et tous à la fois, peu importe la complexité du site. Cette nouvelle attaque fonctionne en effectuant des centaines de milliers de « requêtes » et en les annulant immédiatement. En automatisant ce processus de « requête, annulation, requête, annulation » à grande échelle, les acteurs malveillants parviennent à submerger les sites web et peuvent entraîner la mise hors ligne de n’importe quel équipement utilisant le HTTP/2.

La vulnérabilité « Rapid Reset » confère aux acteurs malveillants un tout nouveau moyen, particulièrement puissant, d’attaquer leurs victimes sur Internet à un niveau d’envergure supérieur à tout ce qu’Internet a connu jusqu’ici. Le protocole HTTP/2 constitue la base d’environ 60 % de l’ensemble des applications web. Il détermine la vitesse et la qualité avec laquelle les utilisateurs voient et interagissent avec les sites web.

D’après les données, plusieurs attaques tirant parti de Rapid Reset ont été estimées à une ampleur près de trois fois supérieure à celle de l’attaque DDoS la plus volumineuse de l’histoire d’Internet. Au point culminant de cette campagne d’attaques DDoS, il a été enregistré et traité plus de 201 millions de requêtes par seconde (Mr/s), tout en se chargeant de l’atténuation des milliers d’attaques supplémentaires qui ont suivi.

Déjouer l’attaque en compagnie d’autres pairs du secteur

Les acteurs malveillants utilisant des méthodes d’attaques susceptibles de pulvériser tous les records ont énormément de mal à tester et à comprendre leur efficacité, du fait de leur absence d’infrastructure capable d’absorber les attaques. C’est pourquoi ils les testent souvent contre des fournisseurs, afin de mieux comprendre les performances futures de leurs attaques.

« Bien que les attaques de grande ampleur (comme celles qui tirent parti de vulnérabilités telles que Rapid Reset) puissent se révéler complexes et difficiles à atténuer, elles nous fournissent une visibilité sans précédent sur les nouvelles techniques employées par les acteurs malveillants, et ce à un stade précoce de leur processus de développement. S’il n’existe pas de « procédure parfaite » en matière de révélation de vulnérabilité« .

La NSA et la CISA pointent les principales erreurs de configuration en matière de cyber sécurité 

L’Agence de Sécurité Nationale (NSA) et l’Agence de Cybersécurité et de Sécurité des Infrastructures (CISA) ont révélé les dix erreurs de configuration les plus courantes en matière de cybersécurité, découvertes par leurs équipes dans les réseaux des grandes organisations.

L’avis détaille également les tactiques, techniques et procédures (TTP) utilisées par les acteurs de la menace pour exploiter avec succès ces mauvaises configurations avec différents objectifs, notamment l’accès, le déplacement latéral et le ciblage d’informations ou de systèmes sensibles.

Les dix configurations de réseau les plus courantes découvertes lors des évaluations des équipes et par les équipes de chasse et de réponse aux incidents de la NSA et de la CISA sont les suivantes :

  • Configuration par défaut de logiciels et d’applications;
  • Séparation inadéquate des privilèges de l’utilisateur et de l’administrateur;
  • Surveillance insuffisante du réseau interne;
  • Absence de segmentation du réseau,
  • Mauvaise gestion des correctifs;
  • Contournement des contrôles d’accès au système;
  • Méthodes d’authentification multifactorielle (MFA) faibles ou mal configurées;
  • Listes de contrôle d’accès (ACL) insuffisantes sur les partages et les services du réseau;
  • Mauvaise hygiène des informations d’identification ;
  • Exécution de code sans restriction.
backdoor, Cybersécurité, IOT, Téléphonie

Temu, Epik, Etc. ces applications qui aspirent vos données personnelles

Vous avez toujours rêvé de vous voir figurer dans un annuaire à l’américaine des années 90, avec votre portrait aux côtés de Backstreet Boys et Spice Girls ? Vous adorez acheter des produits chinois ? Les applications Epik et TEMU cachent des collecteurs de données que vous ne pourrez plus maitriser !

Epik, une application d’intelligence, une « IA » qui vous offre la possibilité de donner à votre photo une touche rétro des années 90. Derrière cette « pseudo » expérience nostalgique, des questions juridiques et éthiques se posent. À l’instar d’applications telles que Faceapp, qui permet de visualiser son visage vieilli, ou des filtres Snapchat de transformation masculine/féminine, l’application EPIK – AI Photo Editor, une filiale de la société sud-coréenne Snow Corporation, propose de créer une soixantaine d’images inspirées des années 1990 à partir de 8 à 12 de vos photos personnelles, incluant des tenues et coiffures rétro.

Les résultats de cette application semblent séduire un grand nombre d’utilisateurs, ce qui lui a valu une place parmi les applications les plus populaires sur l’App Store d’Apple, dans la catégorie Photos et vidéos. Sur le Play Store de Google, elle a déjà été téléchargée plus de 50 millions de fois. Un certain nombre de Youtubeur et « vedettes » ont diffusé des posts et autres vidéos vantant l’outil. A se demander, d’ailleurs, si nous n’avons pas là de la promotion cachée, ou du simple « p*te à clic » mettant en danger les données des viewers ainsi attirés.

Soyons clairs, les préoccupations liées à la sécurité et à la confidentialité des données via Epik doivent se poser. Pour générer ces images, l’application utilise la technologie de reconnaissance faciale, collectant ainsi des données biométriques et d’autres informations sensibles. La politique de confidentialité de l’application fournit très peu d’informations et de garanties concernant la protection des données personnelles. Autant dire que le RGPD, alors qu’ils doivent le suivre dans la mesure ou l’application est utilisée par des Européens, n’est pas vraiment cité dans le mode d’emploi. L’application a été développée en Corée du Sud, les lois encadrant les données biométriques y sont moins contraignantes. Il suffit d’ailleurs de lire ce mode d’emploi pour découvrir que l’application collecte pratiquement toutes les données disponibles, y compris des informations sur les autres photos stockées sur votre téléphone.

Bref, à votre de fournir votre visage au diable, le diable n’aura plus besoin de vous pour vous damner !

Application TEMU : logiciel espion possible

En avril 2023, l’application de commerce électronique d’origine chinoise [siège social aux USA], TEMU [concurrent de Wish, AliExpress et d’Amazon], a fait son entrée au Canada, puis en France et a rapidement gagné en popularité. Une société qui a déversé des millions de dollars en publicités sur le sol Américain [lors du Super bowl, entre autre].

Cependant, selon une enquête menée par la société américaine Grizzly Research, qui analyse les plus grandes sociétés cotées du monde, il pourrait y avoir des raisons de s’inquiéter quant à son utilisation. En seulement quelques semaines, TEMU est devenue l’une des applications les plus téléchargées en France, avec une tendance similaire observée aux États-Unis suite à une publicité diffusée lors du Super Bowl. Contrairement à ses concurrents, chinois ou américains, TEMU a réussi à attirer un public inattendu, en particulier parmi les personnes de plus de 40 ans, dont la part du chiffre d’affaires est 65 % supérieure à la moyenne des autres vendeurs Cependant, Grizzly Research a soulevé des préoccupations sérieuses concernant l’application. Selon leurs analyses, TEMU semble comporter des fonctions cachées qui permettent une exfiltration massive de données personnelles des utilisateurs, sans leur consentement explicite.

L’application a un accès pratiquement illimité à toutes les données stockées sur les smartphones des utilisateurs. Comme j’ai pu l’expliquer sur l’antenne de BFM TV ou dans le journal Le Point, les données peuvent, ensuite, être exploitées à de multiples fins [espionnage, marketing agressif, Etc.]. La réputation de TEMU et son succès commercial ne doivent pas occulter les inquiétudes quant à la sécurité et à la confidentialité des données. Il est crucial que les utilisateurs restent vigilants et conscients des risques potentiels associés à l’utilisation de cette application, en particulier en ce qui concerne la protection de leurs informations personnelles.

Bref, deux cas d’applications qui doivent inquiéter. Les avantages commerciaux, le côté « FUN » et la facilité d’utilisation ne doivent pas primer sur la sécurité en ligne.

backdoor, Cybersécurité

Loi chinoise sur la cybersécurité : le ver est dans le Pitaya ?

Depuis 2021, la Chine a mis en place une nouvelle loi obligeant toutes les entreprises technologiques opérant sur son territoire à signaler les vulnérabilités de leurs systèmes aux autorités gouvernementales. Cette initiative, censée renforcer la sécurité nationale, soulève des inquiétudes quant à la manière dont les données sont gérées et utilisées.

Dans un récent rapport publié par l’Atlantic Council, il est révélé que cette loi, en apparence bien intentionnée, présente des implications importantes pour la sécurité en ligne et les relations internationales. La Chine avait précédemment utilisé la CNVD (National Vulnerability Database), une base de données nationale destinée à signaler les vulnérabilités des logiciels, pour protéger le pays contre les cyberattaques. Cependant, la nouvelle loi va plus loin en imposant un délai strict de 48 heures pour signaler toute vulnérabilité découverte.

Conformément à cette loi, les entreprises technologiques doivent signaler les failles à travers une plate-forme en ligne du ministère chinois de l’industrie et de la technologie de l’information. De là, les vulnérabilités sont ajoutées à la Cybersecurity Threat Intelligence Sharing Platform, une base de données qui, selon le rapport de l’Atlantic Council, pourrait être utilisée à des fins potentiellement malveillantes.

L’Atlantic Council met en lumière le fait que les données de cette plate-forme sont également partagées avec d’autres instances gouvernementales en Chine, certaines étant associées à des campagnes d’espionnage et de cyberattaques passées. Cette situation suscite des préoccupations quant à l’utilisation des vulnérabilités signalées, suggérant que certaines d’entre elles pourraient être exploitées pour des activités de piratage.

En plus de signaler les vulnérabilités, la loi exige également que les entreprises enregistrent des informations détaillées sur les produits contenant des vulnérabilités, telles que le nom, le modèle et la version. Les chercheurs de l’Atlantic Council ont constaté que le portail en ligne utilisé pour signaler les vulnérabilités comporte des champs de remplissage obligatoires, obligeant ainsi les entreprises à fournir des détails sur les erreurs du code source, voire à ajouter des vidéos démontrant la nature du bug et son emplacement.

Selon Dakota Cary, chercheuse au Global China Hub de l’Atlantic Council, cette nouvelle loi a suscité des préoccupations dès son annonce. Elle souligne qu’il existe un chevauchement notable entre les individus responsables de ces rapports et ceux qui mènent des opérations de piratage offensives.

Cependant, l’Atlantic Council admet que toutes les entreprises technologiques ne suivront pas nécessairement la loi chinoise de la même manière. Certaines entreprises pourraient ne pas être pleinement conscientes de ce que leurs responsables locaux transmettent aux autorités gouvernementales. L’impact de ce rapport sur les relations internationales entre la Chine et l’Occident reste à déterminer, mais il pourrait potentiellement influencer les décisions politiques futures concernant la technologie chinoise et les cyberattaques.

Cette nouvelle loi chinoise sur la cybersécurité soulève des questions cruciales sur la protection des données, la sécurité en ligne et les relations internationales, et elle continuera à susciter un débat animé dans les années à venir. Dans la foulée, la justice américaine vient de se pencher sur une nouvelle puce produite par la société Huawei. Un processeur de 7 nanomètres.

Une puce intégrée dans le nouveau fleuron de la marque chinoise, le Huawei Mate 60 Pro et Pro +. « Coquine » la société Huawei a lancé son nouveau téléphone au moment de la visite de la secrétaire américaine au commerce, Gina Raimondo, en Chine. (AC)

Banque, Communiqué de presse, Cybersécurité

Fraud Detection Platform : le chasseur de fraude russe

L’écosystème numérique de MTS, l’un des plus important opérateur télécom russe, a annoncé sa transition vers sa propre plateforme de détection de fraude, baptisée « Fraud Detection Platform ».

Le russe MTS, Mobile TeleSystems, l’un des principaux opérateurs de télécommunications du pays a annoncé exploiter son propre outil de veille et de contrôle des fraudes pouvant passer par ses serveurs. Une plateforme de détection des fraudes baptisée Fraud Detection Platform.

Cette solution analyse le comportement des utilisateurs et détecte les anomalies. DataSecurityBreach.fr a repéré cette information via un communiqué de presse diffusé par la société.

« La mise en place de cette plateforme permettra à l’écosystème d’économiser environ 460 millions de roubles par an (4,3 millions d’euros). » Ce système anti-fraude analyse et organise les flux de données provenant de différents équipements et formats, les systématise et identifie des tendances. Fraud Detection Platform traite plus de 5 milliards de transactions par jour, prenant en moyenne moins de 50 millisecondes pour chaque transaction.

En cas de détection d’un comportement suspect de l’utilisateur, le système effectue une analyse et, si nécessaire, de bloquer rapidement les actions frauduleuses.

Les algorithmes de Fraud Detection Platform incluent une détection par apprentissage automatique (ML) basée sur plus de 250 paramètres calculés pour tous les abonnés actifs de MTS.

Cette analyse multifactorielle permet de détecter même les schémas de fraude les plus atypiques. « Auparavant, le système anti-fraude ne prenait en compte que 32 indicateurs pour chaque action sur le réseau, maintenant le nombre de paramètres est illimité », souligne le communiqué.

Fraud Detection Platform conserve les informations sur les opérations pendant une période suffisante pour effectuer une analyse rétrospective, ce suivi aide l’entreprise à développer de nouvelles hypothèses de détection de scénarios de fraude.

Cybersécurité

Des pirates indiens apprennent l’anglais via des vidéos YouTube

Des pirates indiens apprennent l’anglais américain grâce à des vidéos sur YouTube. Des pirates indiens, agissent la plupart du temps, de leur petite maison, dans la campagne.

En Inde, les activités d’un cartel de fraude spécialisé dans l’utilisation de mots de passe à usage unique ont été révélées. Cette enquête a été consacrée par la chaîne de télévision locale NDTV dans un reportage de 25 minutes intitulé « Inside The OTP Mafia: Nuh To New York » (Nuh étant une ville de l’État indien de l’Haryana, où le groupe transnational était basé).

Les criminels qui dirigent ce cartel ne sont pas des experts en technologie assis derrière de grands écrans d’ordinateurs à la pointe de la mode dans de grandes villes. Ces hommes et ces femmes ont abandonné l’école et travaillent sans quitter leurs cabanes situées dans les champs de Jamtara, Nuh, Mathura, Bharatpur et de nombreux autres villages.

L’activité du cartel a effacé les distances et les frontières au maximum : les habitants de Noida (dans l’État d’Uttar Pradesh, une agglomération de New Delhi) appellent tranquillement les habitants de New York, situés à des milliers de kilomètres d’eux. Les statistiques montrent qu’au cours de la dernière année, au moins 45 000 Américains ont été victimes de ces appels frauduleux.

Les escrocs utilisent des téléphones mobiles basiques, des centaines de cartes SIM et des comptes bancaires de « droppeurs » ruraux qui ne se doutent même pas de leur rôle dans ce schéma d’escroquerie mondiale. Je vous expliquais, il y a quelques jours, comment certains groupes pirates achètent des comptes bancaires existant de chômeurs pour faire transiter de l’argent sale.

« Certains habitants de villages de ce pays apprennent à parler comme des Américains en regardant des milliers de vidéos sur YouTube » a déclaré un haut responsable du FBI.

Les schémas de fraude OTP utilisent des milliers de cartes SIM. En avril 2023, la police de New Delhi a confisqué 22 000 cartes SIM à un seul groupe de pirates. Plusieurs hommes impliqués dans l’escroquerie, qui ont été arrêtés puis libérés sous caution, ont raconté qu’ils dépensaient l’argent volé pour s’amuser et mener une vie plus extravagante.

Cyber police en formation

Pendant ce temps, DataSecuritybreach.fr a repéré une information concernant la cyber police en Inde. Cinquante-sept nouvelles unités de cyberpolice seront créées pour lutter contre les fraudeurs. Dans l’État indien d’Uttar Pradesh (le plus grand État du pays avec une population de 200 millions d’habitants), cinquante-sept nouvelles divisions de la cyberpolice seront mises en place au cours des deux prochains mois. Le renforcement des forces de l’ordre dans cette région vise à réduire l’activité des cybercriminels, dont cette zone géographique occupe régulièrement l’une des premières places non seulement en Inde, mais dans le monde entier.

Le chef du gouvernement de l’État a proposé de réformer les unités de cyberpolice de manière que des policiers spécialisés dans ce type de crime soient présents dans chaque zone des 75 districts de la région. De plus, les bases de la sécurité informatiques seront enseignées dans les écoles locales, ce qui devrait sensibiliser les habitants d’Uttar Pradesh aux menaces cyber auxquelles ils peuvent être confrontés dans leur vie quotidienne.

Au Népal, à quelques encablures de l’Inde, pour lutter contre la cybercriminalité, un cyber bureau est en cours de création. L’Agence coréenne de coopération internationale (KOICA), en coordination avec la police népalaise, a posé la première pierre du Cyber bureau du pays. Selon le Kathmandu Post, le coût total de sa construction s’élève à huit millions de dollars. Ce montant comprend également le coût de l’équipement pour les enquêtes sur la cybercriminalité et le laboratoire d’expertise judiciaire numérique.

De plus, des formations sont prévues pour les membres de la police népalaise afin de les aider à lutter contre les crimes dans le domaine numérique. L’ensemble du projet devrait être terminé d’ici 2026. Le bâtiment du cyber bureau lui-même sera achevé plus rapidement, d’ici février 2025. Il convient de noter que l’aide du gouvernement coréen au Népal par le biais de la KOICA a régulièrement augmenté ces dernières années, car ce pays est considéré comme l’un des partenaires étrangers prioritaires de Séoul.

Cybersécurité, Fuite de données

Piratage et fuite de données pour Sourcegraph

Un incident de sécurité majeur a secoué récemment Sourcegraph, la plateforme de développement utilisée par d’importantes entreprises telles qu’Uber, Reddit, Dropbox, et bien d’autres. Un hacker inconnu a réussi à obtenir un accès administratif à Sourcegraph AI, provoquant un véritable remue-ménage.

Diego Comas, le responsable de la sécurité de Sourcegraph, a révélé que le pirate informatique avait exploité un incident malheureux survenu le 14 juillet de cette année, même si l’attaque elle-même a été exécutée plus tard, le 28 août. La faille découle de la diffusion accidentelle d’un jeton d’accès administrateur dans une pull request. En utilisant ce jeton, le hacker a pu élever son propre compte au rang d’administrateur, ouvrant ainsi les portes du système Sourcegraph.

L’attaquant, ou un collaborateur potentiel, a ensuite développé une application proxy ingénieuse, permettant aux utilisateurs d’accéder directement à l’API Sourcegraph et d’utiliser le puissant modèle de langage Large Language Model (LLM). L’idée était de pousser les utilisateurs à créer des comptes gratuits sur Sourcegraph.com, de générer des jetons d’accès, puis de solliciter l’attaquant pour augmenter leurs privilèges.

L’incident a été repéré rapidement, dès le jour de l’attaque, grâce à une augmentation soudaine de l’utilisation de l’API. L’attrait d’un accès gratuit à l’API Sourcegraph a attiré de nombreuses personnes, conduisant à une croissance exponentielle des utilisateurs de l’application proxy.

Diego Comas explique : « L’application et les instructions d’utilisation se sont rapidement répandues sur Internet, collectant environ 2 millions de vues. Au fur et à mesure que de plus en plus d’utilisateurs découvraient l’application proxy, ils créaient des comptes gratuits sur Sourcegraph.com, ajoutaient leurs jetons d’accès et accédaient illégalement à l’API Sourcegraph. »

Il a également été révélé que, pendant l’attaque, le pirate informatique a eu accès à certaines informations client de Sourcegraph, telles que leurs clés de licence, noms et adresses e-mail (pour les utilisateurs de la version gratuite, uniquement les adresses e-mail).

Cependant, il est crucial de noter que cette attaque n’a pas exposé de données sensibles des clients, comme des informations personnelles, des mots de passe ou des noms d’utilisateur. Sourcegraph a affirmé que ces données étaient « isolées » dans des environnements sécurisés.

Dès la découverte de l’attaque, l’équipe de Sourcegraph a pris des mesures immédiates pour contenir la menace. Ils ont désactivé le compte de l’attaquant, temporairement restreint l’utilisation de l’API pour les utilisateurs de la version gratuite, et modifié les clés de licence potentiellement compromises lors de l’incident.

APT, Chiffrement, Cybersécurité

Le ransomware Cuba déploie un nouveau logiciel malveillant

Découvertes concernant le groupe de ransomware connu sous le nom de Cuba : le groupe a récemment déployé des logiciels malveillants qui ont échappé à la détection avancée, et ciblé des organisations partout dans le monde, compromettant ainsi des entreprises œuvrant dans divers secteurs d’activité.

En décembre 2022, des spécialistes  de la cybersécurité détectaient un incident suspect sur le serveur d’un de ses clients, avec la découverte de trois fichiers douteux. Ces fichiers ont déclenché une séquence de tâches qui ont conduit au chargement de la bibliothèque komar65, aussi appelée BUGHATCH.

BUGHATCH est une porte dérobée sophistiquée qui se déploie dans la mémoire du processus. Le programme exécute un bloc de shellcode intégré dans l’espace mémoire qui lui est alloué à l’aide de l’API Windows, qui comprend diverses fonctions. Il se connecte ensuite à un serveur de commande et de contrôle (C2) en attente d’autres instructions. Il peut recevoir des commandes pour télécharger des logiciels tels que Cobalt Strike Beacon et Metasploit. L’utilisation de Veeamp dans l’attaque suggère fortement l’implication de Cuba dans le déploiement de cette attaque.

Un moustique dans le serveur

Le fichier PDB fait notamment référence au dossier « komar », un mot russe signifiant « moustique », ce qui indique la présence potentielle de membres russophones au sein du groupe. En menant une analyse plus poussée, des experts ont découvert d’autres modules distribués par Cuba, qui améliorent les fonctionnalités du logiciel malveillant. L’un de ces modules est chargé de collecter des informations sur le système, qui sont ensuite envoyées à un serveur via des requêtes HTTP POST.

Poursuivant son enquête, les chercheurs ont identifié de nouveaux échantillons de logiciels malveillants attribués au groupe Cuba sur VirusTotal. Certains de ces échantillons étaient passés entre les mailles de la détection avancée fournie par d’autres fournisseurs de sécurité. Ces échantillons représentent de nouvelles itérations du logiciel malveillant BURNTCIGAR, exploitant des données cryptées pour échapper à la détection antivirus.

« Les gangs de ransomware comme Cuba évoluent rapidement, tout en affinant leurs tactiques, il est donc essentiel de rester à l’avant-garde pour contrer efficacement les attaques potentielles. Face à l’évolution constante du paysage des cybermenaces, la connaissance est l’ultime défense contre les groupes cybercriminels émergents« , a déclaré Kaspersky.

Cuba est une souche de ransomware à fichier unique, difficile à détecter, car elle fonctionne sans bibliothèques additionnelles. Ce groupe russophone est connu pour sa victimologie étendue, et cible des secteurs tels que la vente au détail, la finance, la logistique, les agences gouvernementales et la fabrication en Amérique du Nord, en Europe, en Océanie et en Asie. Les agents malveillants œuvrant au sein de Cuba utilisent un mélange d’outils publics et propriétaires, mettent régulièrement à jour leur boîte à outils et utilisent des tactiques telles que BYOVD (Bring Your Own Vulnerable Driver).

L’une des caractéristiques de leur opération consiste à modifier les dates et les heures des fichiers compilés afin d’induire les enquêteurs en erreur. Par exemple, certains échantillons trouvés en 2020 avaient une date de compilation du 4 juin 2020, alors que les horodatages de versions plus récentes étaient affichés comme étant datées du 19 juin 1992. Leur approche unique consiste non seulement à crypter les données, mais aussi à adapter les attaques pour extraire des informations sensibles, telles que des documents financiers, des relevés bancaires, des comptes d’entreprise et du code source. Les entreprises de développement de logiciels sont particulièrement exposées. Bien que Cuba soit sous les feux des projecteurs depuis un certain temps maintenant, ce groupe reste dynamique et affine constamment ses techniques.

Banque, Cybersécurité

L’augmentation de la fraude bancaire électronique au Nigeria : Plus de 11 millions d’euros volés en 2023

Le Nigeria est aux prises avec une épidémie persistante de fraude bancaire électronique qui sévit dans le pays depuis plusieurs années. Selon un récent rapport, les banques nigérianes ont été victimes de vols totalisant environ 11 millions d’euros au cours des huit premiers mois de 2023.

Ce fléau de la fraude électronique a été alimenté par des activités frauduleuses liées aux applications mobiles et aux sites web de sociétés de paris sportifs. Il est intéressant de noter que plus de la moitié de ces pertes massives ont été causées par ce type de fraudes, indiquent les représentants du Système nigérian de compensation interbancaire (NIBBS). Une autre méthode employée par les escrocs consiste à utiliser des terminaux de point de vente (POS) pour mener à bien leurs actes criminels.

Les autorités nigérianes ont pris des mesures strictes en faveur des paiements électroniques sans espèces, ce qui aurait pu influencer directement la recrudescence de ces fraudes. Les experts qualifient ces deux méthodes de « trous noirs » en raison de la difficulté à récupérer les fonds détournés des banques.

Bien que le montant total de l’argent perdu par le système bancaire continue d’augmenter depuis cinq ans, le nombre d’opérations frauduleuses diminue trimestre après trimestre. Cela suggère que les cybercriminels nigérians ont opté pour des fraudes plus importantes et plus lucratives, augmentant ainsi considérablement leurs revenus. (Legit)

Android, Cybersécurité, Sécurité, Téléphonie

Prince au persia hacker

L’auteur des chevaux de Troie Android CypherRAT et CraxsRAT s’est révélé être un pirate syrien nommé EVLF.

Selon un rapport publié récemment par Cyfirma, CypherRAT et CraxsRAT sont des chevaux de Troie conçus pour attaquer les utilisateurs Android, permettant à l’opérateur d’accéder à distance à l’appareil mobile de la victime. Des logiciels malveillants permettant à l’attaquant de contrôler la caméra du smartphone, de suivre la localisation de l’utilisateur et d’écouter à l’aide du microphone.

L’auteur de CypherRAT et CraxsRAT propose ces malwares à d’autres cybercriminels selon le modèle « malware-as-a-service » (MaaS). Environ une centaine de malfaiteurs ont acquis une licence à vie pour utiliser ces chevaux de Troie au cours des trois dernières années.

Le pirate syrien EVLF, suspecté d’être le créateur de ces chevaux de Troie, gère une boutique en ligne où les deux malwares sont disponibles depuis septembre 2022.

CraxsRAT, par exemple, est conçu pour que l’opérateur puisse contrôler l’appareil mobile infecté depuis un ordinateur Windows. De plus, l’auteur continue d’améliorer le cheval de Troie en fonction des demandes des clients. Des options permettent de personnaliser et d’obscurcir [cacher] la charge utile, à choisir l’icône, le nom de l’application et les fonctionnalités. Il est même possible de définir des autorisations individuelles que le malware demandera au système d’exploitation. (Cyfirma)

Cybersécurité, Entreprise

Grande braderie chez les pirates d’accés aux entreprises

Ventes massives d’accès à des entreprises par des pirates informatiques proposant leurs infiltrations entre 100 et 150 000 euros.

Sur un forum Russe particulièrement connu dans la communauté des malveillants numériques, les ventes d’accès à des entreprises Américaines, Britanniques, Australiennes, Etc. se sont accélérés ces derniéres semaines. En cause ? Le besoin de liquidité par les pirates, la hausse des failles et des fuites orchestrées grâce au social engineering, le phishing en tête.

Sur une centaine de « messages » publicitaires mis en ligne dans ce forum, ces commerçants pas comme les autres proposent l’accès à une centaine d’entreprises d’une vingtaine de secteurs différents. Parmi ces secteurs, on retrouve la défense, les télécommunications, la santé, les médias et les services financiers, allant de la banque, en passant par des cabinets de comptables ou d’assurances.

Le blog ZATAZ, une référence en la matière d’actualité liée à la lutte contre cyber criminalité, expliquait, il y a peu, comment un pirate informatique commercialisait, pour 130 000€ l’accès à une entreprise japonaise spécialisée dans le high tech santé.

Un pirate commercialise l’accès à un groupe d’agences immobilières américaines. Une vente aux enchères.

Accéder à une radio pour diffuser des informations malveillantes

À titre d’exemple, acheter l’accès à un média peut permettre à un malveillant politique, mais il peut aussi s’agir de blackmarket comme j’ai pu vous le montre ici, de diffuser n’importe quel message de son choix, à l’antenne.

L’accès proposé dans ce forum pirate russophone parle « d’un accès privilégié à une station de radio américaine« . Si le pirate peut accéder à la programmation, aux fichiers MP3 des publicités, des jingles, des musiques, il pourrait y rajouter n’importe quel message de son choix.

Certaines ventes aux enchères, comme ici un accès « militaire », débutent à 800 $

Le prix varient de 100 à 150 000 euros, moins d’un tiers des offres sont proposées moins de 1 000 euros. L’accès le plus coûteux (soit 120 000 dollars) est lié à un réseau d’une grande maison de vente aux enchères mondialement connue. Selon le vendeur, l’acheteur de ce lot obtiendra un accès privilégié en tant qu’administrateur aux enchères d’articles de collection, notamment des violons Stradivarius et des voitures de collection.

Toujours dans les ventes « étonnantes », un important « shop » européen avec plus de 20 000 cartes de crédit piratées en stock a été mis en vente, avec un prix de départ de 60 000 dollars ou encore 6 000 numéros de cartes de crédit de canadiens, avec une validation de 50 %, sont proposés à la vente pour 10 000 dollars américains.

APT, Cybersécurité

Un groupe d’espionnage aligné avec les intérêts chinois usurpant Signal et Telegram

Des chercheurs identifient deux campagnes actives ciblant les utilisateurs d’Android. L’acteur opérant ces outils d’espionnage pour Telegram et Signal sont attribués au groupe APT GREF, aligné sur les intérêts de la Chine. 

Très probablement actives depuis juillet 2020 et depuis juillet 2022, respectivement pour chaque application malveillante, les campagnes ont distribué le code d’espionnage Android BadBazaar via le Google Play Store, le Samsung Galaxy Store et des sites Web dédiés se faisant passer pour des applications de chat légitimes – les applications malveillantes sont FlyGram et Signal Plus Messenger.

Les fausses applications Signal et Telegram sont obtenues en ajoutant aux applications open source Signal et Telegram pour Android du code malveillant. Signal Plus Messenger est le premier cas documenté d’espionnage des communications Signal; Des milliers d’utilisateurs ont téléchargé les applications d’espionnage.

ESET a signalé des détections sur des appareils Android dans plusieurs pays de l’UE, aux États-Unis, en Ukraine et dans d’autres endroits du monde. Les deux applications ont ensuite été supprimées de Google Play.

« Le code malveillant de la famille BadBazaar était caché dans les applications Signal et Telegram troyenisées. Les victimes installent une d’application fonctionnelle, mais avec des moyens d’espionnage en arrière-plan, explique Lukáš Štefanko, chercheur à ESET, qui a fait la découverte. « L’objectif principal de BadBazaar est d’exfiltrer les informations de l’appareil, la liste de contacts, les journaux d’appels et la liste des applications installées. En plus, l’application espionne les messages Signal en reliant secrètement l’application Signal Plus Messenger de la victime à l’appareil de l’attaquant« .

ESET signale les détections de l’Australie, du Brésil, du Danemark, de la République démocratique du Congo, de l’Allemagne, de Hong Kong, de la Hongrie, de la Lituanie, des Pays-Bas, de la Pologne, du Portugal, de Singapour, de l’Espagne, de l’Ukraine, des États-Unis et du Yémen.

En outre, un lien vers FlyGram dans le Google Play Store a également été partagé dans un groupe Telegram ouïghour. Les applications de la famille de logiciels malveillants BadBazaar ont déjà été utilisées contre les Ouïghours et d’autres minorités ethniques turques en dehors de la Chine.

Les deux applications ont été créées par le même développeur et partagent les mêmes fonctionnalités malveillantes, et les descriptions d’applications sur les deux magasins font référence au même site Web de développeur.

Signal Plus Messenger peut espionner les messages Signal en utilisant à mauvais escient la fonction « périphérique connecté ». Pour ce faire, il associe automatiquement l’appareil compromis au dispositif Signal de l’attaquant. Cette méthode d’espionnage est unique : les chercheurs n’ont jamais vu cette fonctionnalité utilisée à mauvais escient par d’autres logiciels malveillants, et c’est la seule méthode par laquelle l’attaquant peut obtenir le contenu des messages Signal.

En ce qui concerne la fausse application Telegram, FlyGram, la victime doit se connecter via sa fonctionnalité Telegram légitime, comme l’exige l’application officielle Telegram. Avant la fin de la connexion, FlyGram communique avec le serveur C & C et BadBazaar et obtient la possibilité d’exfiltrer des informations sensibles de l’appareil.

FlyGram peut accéder aux sauvegardes Telegram si l’utilisateur a activé cette fonctionnalité spécifique; La fonctionnalité a été activée par au moins 13 953 comptes d’utilisateurs. Le serveur proxy de l’attaquant peut être en mesure d’enregistrer certaines métadonnées, mais il ne peut pas déchiffrer les données et les messages réels échangés dans Telegram lui-même.

Contrairement au Signal Plus Messenger, FlyGram n’a pas la capacité de lier un compte Telegram à l’attaquant ou d’intercepter les communications chifrées de ses victimes.

Cybersécurité, Mise à jour, Patch

Les réseaux VMware Aria menacés par des cyber attaques à distance

VMware publie des mises à jour pour corriger deux vulnérabilités de sécurité dans Aria Operations for Networks qui pourraient être potentiellement exploitées par des pirates. L’une d’elle est CRITIQUE !

La plus grave des failles est la CVE-2023-34039, elle est notée 9,8 sur 10 (Sic!), qui concerne un cas de contournement d’authentification résultant d’un manque de génération de clé cryptographique unique. Cette vulnérabilité a été découverte par deux chercheurs de chez ProjectDiscovery, Harsh Jaiswal et Rahul Maini. « Un acteur malveillant disposant d’un accès réseau à Aria Operations for Networks pourrait contourner l’authentification SSH pour accéder à la CLI d’Aria Operations for Networks » informe l’alerte. La seconde « faiblesse« , la CVE-2023-20890 (7,2/10), est une vulnérabilité d’écriture de fichier qui pourrait être exploitée par un pirate disposant d’un accès administratif pour écrire des fichiers et lancer l’exécution de code à distance. A noter que des pirates ont activement exploité d’autres failles, corrigées aujourd’hui, en juin 2023 (CVE-2023-20887). Les patchs sont disponibles ici.