Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Banque, Bitcoin, Cybersécurité

Comment éviter les arnaques d’investissement et protéger vos fonds

Dans l’ère numérique actuelle, il devient de plus en plus difficile de distinguer les opportunités d’investissement légitimes des arnaques. Les publicités promettant des rendements élevés en un temps record pullulent sur les réseaux sociaux et les moteurs de recherche. Comment pouvez-vous savoir si une opportunité est réelle ou une arnaque ? Dans cet article, nous vous présenterons des conseils essentiels pour repérer les signes d’une arnaque d’investissement et protéger vos fonds.

De nos jours, cela peut être difficile de distinguer une arnaque d’une réelle opportunité d’investissement. Vous avez certainement déjà vu des publicités sur les réseaux sociaux et les moteurs de recherche qui promettent des bénéfices élevés, comme : « Obtenez le double de votre argent en 24 heures » ou « Devenez riche grâce aux crypto-monnaies dès maintenant ! » Elles peuvent vous inviter à investir dans l’or, l’immobilier, la crypto-monnaie et même le vin, en vous promettant des rendements rapides et susceptibles de changer votre vie. Ces publicités sont généralement accompagnées de commentaires et de témoignages d’autres investisseurs qui racontent leur expérience et vantent l’argent qu’ils ont remporté. Cela peut être difficile de repérer les faux sites Web, publicités, commentaires, e-mails et SMS lorsqu’ils semblent relever d’une réelle opportunité d’investissement. Voici donc notre guide sur comment repérer une arnaque. Voici les signes d’une arnaque à l’investissement potentielle :

Des rendements sur investissement irréalistes

Vous voyez des publicités sur les réseaux sociaux qui vous offrent des retours sur investissements étrangement élevés et rapides avec peu ou pas de risque, même s’ils semblent parrainés par une célébrité, un influenceur connu ou une agence gouvernementale.

Contact non sollicité

On vous a contacté(e) à l’improviste par téléphone, par e-mail, ou sur les réseaux sociaux pour vous parler d’une opportunité d’investissement.

Pression pour prendre une décision rapide

Quelqu’un vous met la pression pour que vous preniez une décision rapidement par rapport à un investissement, sans vous laisser le temps de réfléchir aux différentes options.

Demande d’accès à distance

On vous demande de télécharger des logiciels de partage d’écran ou d’accès à distance pour vous « accompagner » pendant le processus d’investissement. Une réelle institution financière ne vous demandera jamais de faire cela.

Comment éviter une arnaque d’investissement

Vérifiez l’existence de la société d’investissement : Consultez la liste des institutions financières et des fonds d’investissement de la Banque centrale européenne pour vous assurer que l’entreprise existe réellement. Effectuez une recherche approfondie : Recherchez le nom de l’entreprise sur internet et appelez un numéro de téléphone provenant d’une autre source. Recherchez les avis négatifs ou les commentaires d’autres consommateurs concernant d’éventuelles arnaques.

Méfiez-vous des appels téléphoniques non sollicités : Si vous recevez un appel ou un message concernant une opportunité d’investissement, la meilleure chose à faire est de raccrocher et d’ignorer les messages vocaux automatisés. Soyez toujours vigilant. Discutez de l’opportunité avec un membre de votre famille ou un ami de confiance afin d’évaluer sa légitimité.

Consultez un conseiller financier professionnel indépendant : Si vous avez des doutes quant à une opportunité d’investissement en fonction de votre situation, demandez conseil à un conseiller financier professionnel agréé avant de vous engager.

Protéger vos fonds et éviter les arnaques d’investissement nécessite une certaine prudence et une recherche approfondie. Ne vous laissez pas séduire par des promesses de rendements extravagants et rapides sans prendre le temps d’évaluer la crédibilité de l’opportunité. Restez informé des pratiques frauduleuses courantes et n’hésitez pas à vous tourner vers des sources fiables pour obtenir des conseils d’investissement.

En fin de compte, la clé est de faire preuve de discernement et de ne jamais prendre de décisions hâtives lorsque vous investissez votre argent. La vigilance est votre meilleur allié dans la protection de vos fonds contre les arnaques d’investissement.

DGCCRF et les influenceurs

De son côté, la DGCCRF souhaite prévenir les pratiques commerciales trompeuses des influenceurs en les exposant publiquement, mais en veillant à éviter une stigmatisation excessive. La mesure de « name and shame » vise à utiliser la réputation comme un moyen de dissuasion supplémentaire, en faisant prendre conscience aux influenceurs de leur responsabilité sociale. Certains ayant diffusé des communications sur des tradeurs de cryptomonnaie troubles.

Cette action de la DGCCRF a un impact significatif sur l’industrie des réseaux sociaux, car elle remet en question les pratiques courantes des influenceurs et envoie un message fort à l’ensemble de la communauté. Les influenceurs doivent désormais se conformer strictement à la réglementation en matière de publicité, de transparence et d’information des consommateurs, sous peine de voir leur image ternie publiquement.

Il est important de noter que la DGCCRF respecte les procédures légales et offre aux professionnels la possibilité de contester les injonctions devant les juridictions administratives. Cette approche garantit que les décisions prises sont fondées sur des bases solides et équitablement évaluées.

Banque, Cybersécurité, Phishing

Hameçonnage : Les banques contraintes de rembourser, la Banque de France intervient

Le phishing est une menace croissante qui expose de nombreux Français à des fraudes bancaires. Malgré les protections légales en place, les banques ont souvent échappé à leurs obligations de remboursement, ce qui a conduit la Banque de France à prendre des mesures. Cet article examine les recommandations récentes de la Banque de France et souligne l’importance pour les banques de respecter les droits des victimes de phishing. Il met également en évidence les décisions de justice favorables aux clients et appelle à une vigilance accrue de la part des consommateurs et des entreprises.

Les recommandations de la Banque de France pour le remboursement des victimes de phishing

La fraude par phishing a connu une augmentation significative ces dernières années, exposant de nombreux utilisateurs de cartes bancaires à des risques financiers. Consciente de ce problème, la Banque de France, à travers son « Observatoire de la sécurité des moyens de paiement », a émis des recommandations claires le 16 mai 2023 pour garantir le remboursement des victimes de phishing par les banques. Ces recommandations insistent sur le respect du droit applicable et soulignent que les clients victimes de phishing doivent être remboursés, à moins qu’une négligence grave de leur part ne puisse être démontrée.

Le phishing est une méthode de fraude sophistiquée qui trompe les utilisateurs en les incitant à divulguer leurs informations bancaires personnelles par le biais de courriels non sollicités. Les fraudeurs se font passer pour des institutions financières légitimes en créant des sites web qui ressemblent à ceux des banques. Ils incitent les destinataires à mettre à jour leurs informations de compte en prétextant un problème technique ou une mise à jour nécessaire. Une fois que les victimes ont partagé leurs données personnelles, les fraudeurs peuvent accéder à leur compte bancaire et détourner des fonds en utilisant de faux ordres de paiement.

Selon les recommandations de la Banque de France, les banques sont tenues de rembourser les victimes de phishing. Le droit des opérations de paiement prévoit une protection solide pour les utilisateurs de cartes bancaires. Lorsqu’une opération non autorisée est effectuée après que des tiers aient obtenu les informations d’identification du titulaire du compte, la banque doit immédiatement rembourser le client afin de rétablir le solde du compte comme s’il n’y avait pas eu d’opération non autorisée.

Toutefois, les pertes liées à des opérations de paiement non autorisées ne peuvent être imputées au client que s’il a fait preuve d’une négligence grave dans la sécurisation de ses données personnelles. Il incombe à la banque de prouver cette négligence et cela ne peut être déduit simplement du fait que les informations de paiement ou les données personnelles du client ont été utilisées frauduleusement.

La Banque de France a souligné ces principes importants dans son communiqué, car dans la pratique, de nombreuses banques ont cherché à éviter les remboursements en accusant leurs clients de faute.

Les décisions de justice favorables aux clients et l’appel à la vigilance

Malgré les tentatives des banques de se soustraire à leurs responsabilités, certaines victimes de phishing ont réussi à obtenir justice grâce à des recours judiciaires. Les tribunaux ont régulièrement statué en faveur des clients, soulignant que les banques ne peuvent pas simplement imputer la responsabilité à leurs clients en se basant sur des éléments tels que le piratage de l’adresse e-mail ou la connaissance de la signature du titulaire du compte par des pirates, car ces informations peuvent être facilement obtenues par des fraudeurs habiles.

De plus, les décisions judiciaires ont mis en évidence l’obligation des banques de garantir l’inviolabilité de leurs plateformes et de prévenir toute opération frauduleuse permettant l’accès aux données personnelles et confidentielles des clients, y compris les informations figurant sur les cartes de code. Ainsi, les banques doivent assumer la responsabilité de prouver la sécurité de leurs systèmes, plutôt que de mettre en doute la négligence de leurs clients.

La Banque de France rappelle également l’importance de la vigilance tant pour les consommateurs que pour les entreprises. Il est crucial de renforcer les mesures de sécurité et de sensibilisation pour prévenir les attaques de phishing. Les utilisateurs de services bancaires en ligne doivent être attentifs aux courriels non sollicités et aux sites web suspects. Il est essentiel de ne jamais divulguer d’informations personnelles ou bancaires en réponse à de telles communications.

En réponse aux recommandations de la Banque de France, les établissements bancaires sont tenus de renforcer leurs systèmes de sécurisation des plateformes pour s’assurer du consentement et de la protection des titulaires de comptes lors des opérations de paiement. Cela inclut des mesures telles que l’authentification à deux facteurs, des systèmes de détection d’activité suspecte et des alertes de sécurité pour les utilisateurs.

En conclusion, l’hameçonnage reste un défi majeur pour les utilisateurs de services bancaires en ligne. Les recommandations de la Banque de France visent à garantir le remboursement des victimes de phishing par les banques, en mettant l’accent sur le respect du droit applicable. Les décisions de justice ont également soutenu les droits des clients et rappelé aux banques leur obligation de sécurité. En restant vigilants et en renforçant les mesures de sécurité, les consommateurs et les entreprises peuvent contribuer à lutter contre cette forme de fraude et à protéger leurs informations personnelles et financières.

Banque, Cybersécurité, loi

Plus de 500 millions de données volées à 80 millions de russes !

Près d’un million de cybercriminels russophones opèreraient actuellement dans le darknet. Ils auraient réussi à piéger plus de 80 millions de Russes.

Lobbying interessant à suivre que celui de Stanislav Kuznetsov, vice-président de la Sberbank, la plus importante banque Russe. Alors que cette entreprise financière va placer des caméra biométrique sur l’ensemble des distributeurs de billets du pays, le chef d’entreprise vient d’indiquer que la Russie était noyée de pirate. Selon Stanislav Kuznetsov, le darknet compte de nombreux escrocs russophones.

« Ces criminels peuvent opérer depuis différents pays, échappant souvent aux autorités locales et aux institutions financières » explique le banquier. Il est vrai qu’un certain nombre de pirates Russes ont été arrêtés aux USA, au Canada ou dans d’autres parties du monde. Bref, un discours amplement utilisé par d’autres pays. Cependant, et le blog ZATAZ l’a démontré il y a déjà bien longtemps, la légende du « pirate russe qui n’attaque pas la russie » est une vaste blague [1] [2]. Il suffit de regarder quelques groupes tels que Kraken, Sprut, Etc. pour découvrir l’ampleur du  phénomène.

Stanislav Kuznetsov a souligné que plus de 500 millions de lignes de données avaient déjà été volées à 80 millions de Russes. Il précise toutefois que de nombreuses données sont redondantes et que différentes informations personnelles de citoyens russes apparaissent dans différentes lignes. Certains enregistrements contiennent le nom complet, d’autres le numéro de téléphone, tandis que d’autres encore comprennent des noms de famille, des prénoms, des numéros de carte bancaire, des adresses de résidence, des lieux de travail, des postes occupés, des véhicules enregistrés au nom d’une personne, etc.

Bref, rien de bien nouveau, sauf que Kuznetsov suit le mouvement politique local : récupérer l’argent des pirates ; faire interdire le darknet ; accentuer la cyber surveillance ; bloquer les VPN ; Etc.

Selon Stanislav Kuznetsov, le nombre d’attaques contre son institution a diminué de 20 à 30 % ces derniers mois. CQFD : il y a beaucoup de pirates, mais chez Sberbank, il y a une meilleure protection, donc venez chez Sberbank !

Pendant ce temps, une vaste escroquerie impliquant le vol de cryptomonnaie a été découverte visant les résidents de la Russie et des pays de la CEI.

La société Trend Micro a publié un rapport sur les activités du groupe de cybercriminels nommé Impulse Team, spécialisé dans les escroqueries liées aux cryptomonnaies. Selon les chercheurs, ce groupe opère depuis 2018 et cible les résidents de la Russie et des pays de la CEI.

Le schéma des escrocs consiste à créer de faux sites web et des applications pour le trading de cryptomonnaies, se faisant passer pour des plateformes légitimes. Les cybercriminels attirent ensuite des victimes via les réseaux sociaux, la publicité, le spam et d’autres canaux. Les victimes s’inscrivent sur les faux sites et effectuent des dépôts en cryptomonnaie, qui sont ensuite transférés sur les portefeuilles des escrocs.

Tous les sites découverts sont liés au programme d’affiliation Impulse Project, promu sur plusieurs forums criminels russophones. Pour devenir membre du projet, les nouveaux affiliés doivent contacter Impulse Team et s’abonner au service.

Selon les chercheurs, Impulse Team utilise diverses techniques pour convaincre les victimes d’investir davantage d’argent ou de ne pas retirer leurs fonds. Par exemple, ils proposent des bonus, des avantages, des consultations et du soutien. Les fraudeurs simulent également des transactions commerciales et des bénéfices sur les comptes des victimes pour créer l’apparence d’un trading réussi. Si une victime essaie de retirer ses fonds, elle se heurte à divers obstacles, tels que l’obligation de payer des frais, des impôts ou des amendes.

Plus de 150 faux sites web et applications liés à Impulse Team ont été découverts. 170 portefeuilles Bitcoin et Ethereum sur lesquels les dépôts des victimes étaient réceptionnés mis à jour. Le montant total des fonds volés s’élèverait à environ 50 millions de dollars.

Cybersécurité, Justice, Piratage

Le diffuseur de Gozi / Zeus / SpyEte condamné à trois ans de prison aux États-Unis

Un hacker malveillant roumain a été condamné à trois ans de prison fédérale aux États-Unis pour avoir dirigé l’infrastructure derrière plusieurs souches de logiciels malveillants.

Mihai Ionut Paunescu, âgé de 39 ans, était un acteur clé d du site PowerHost[.]ro, un service d’hébergement pas comme les autres. La spécialité de Power Host, permettre de stocker et déployer des codes malveillants. Un bulletproof hosting ! Parmi les codes pirates diffusés par ce biaias, le virus Gozi, le cheval de Troie Zeus, le trojan SpyEye et le logiciel malveillant BlackEnergy.

Paunescu louait des serveurs et des adresses IP auprès de fournisseurs internet légitimes. Puis, via son « bulletproof hosting« , il mettait ces outils à la disposition des cybercriminels, leur permettant de rester anonymes et de lancer des attaques. En plus de ces activités, Paunescu a été accusé d’avoir permis des attaques par déni de service distribué (DDoS) et des campagnes de spam. Les serveurs de son bulletproof hosting offrant la possibilité à d’autres pirates d’installer leurs script DDoS ou encore de phishing. Selon le procureur américain Damian Williams, « Paunescu permettait aux cybercriminels d’acquérir une infrastructure en ligne pour leurs activités illégales sans révéler leur véritable identité« .

Paunescu, surnommé « Virus », a été arrêté en juin 2021 à l’aéroport international El Dorado de Bogota, en Colombie, après avoir été initialement arrêté en décembre 2012 à Bucarest, en Roumanie. Les autorités américaines l’avaient inculpé en janvier 2013 pour son rôle dans la distribution du logiciel malveillant Gozi, qui était essentiel pour le vol de données bancaires électroniques par des cybercriminels, mais elles n’avaient pas réussi à obtenir son extradition de la Roumanie.

Le Gozi malware a infecté plus de 40 000 ordinateurs aux États-Unis, y compris ceux de la National Aeronautics and Space Administration (NASA) ainsi que d’autres en Europe. Les responsables américains ont déclaré que ce logiciel malveillant avait permis aux pirates de voler des dizaines de millions de dollars à des particuliers, des entreprises et des entités gouvernementales en raison de sa capacité à échapper aux logiciels antivirus.

Bien qu’il ait été impossible d’extrader Paunescu de Roumanie après son arrestation en 2012, les procureurs américains l’ont surveillé jusqu’à son arrestation en Colombie. Initialement passible de 65 ans de prison, il a plaidé coupable de chefs d’accusation moins graves le 24 février. Paunescu a déjà passé 14 mois de sa vie en détention en Roumanie et en Colombie avant d’être extradé aux États-Unis.

Lors de son procès, la juge de district américaine Lorna G. Schofield a déclaré que Paunescu avait facilité la diffusion de « certains des logiciels malveillants les plus virulent de l’époque » et qu’il en avait tiré « beaucoup d’argent » : parmi ces logiciels on retrouve Zeus ou encore SpyEye ». Les deux autres responsables du Gozi sont Nikita Kuzmin, un Russe arrêté en Californie en 2013 et libéré en 2016, et Deniss Calovskis, arrêté en Lettonie mais jamais extradé.

Le code source du logiciel malveillant a été diffusé en ligne en 2013. Il a servi de base à plusieurs souches utilisées pour attaquer les clients de banques.

Gozi, gozi !

Le code malveillant Gozi, également connu sous le nom de Gozi Virus, est un logiciel malveillant largement utilisé par des cybercriminels pour voler des informations financières et commettre des fraudes en ligne. Il a été actif entre 2007 et 2013 et a causé des dommages considérables à de nombreux utilisateurs d’Internet, notamment aux États-Unis et en Europe.

Gozi est un cheval de Troie bancaire, ce qui signifie qu’il est spécifiquement conçu pour cibler les informations financières des utilisateurs, telles que les identifiants de connexion, les numéros de carte de crédit et les mots de passe liés aux services bancaires en ligne. Le logiciel malveillant a été conçu pour infecter discrètement les ordinateurs des victimes et de permettre de siphonner les fonds des comptes bancaires des victimes. Une des caractéristiques principales de Gozi aura été sa capacité à éviter la détection par les logiciels antivirus. Il utilisait des techniques sophistiquées pour se dissimuler et modifier régulièrement son code afin d’éviter d’être détecté par les outils de sécurité informatique.

Le code source de Gozi a été divulgué en ligne en 2013, ce qui a permis à d’autres cybercriminels de l’utiliser comme base pour développer de nouvelles souches de logiciels malveillants. Depuis lors, différentes variantes du code Gozi ont été détectées, chacune avec des fonctionnalités légèrement différentes, mais toutes dans le même but : voler des informations financières sensibles.

Nymaim est une variante de Gozi qui a été découverte pour la première fois en 2013. Il est principalement utilisé pour diffuser d’autres logiciels malveillants, tels que des ransomwares et des chevaux de Troie bancaires. Également connu sous le nom de Gozi-ISFB, Ursnif est une autre variante de Gozi (2014). Il est spécialisé dans le vol d’informations bancaires et est souvent distribué via des campagnes de phishing et des spams. L’Interactive Service For Banking (ISFB) est une autre variante de Gozi (2012) aprés un retro ingeenering de la concurence. Il est utilisé pour infecter les navigateurs web des utilisateurs et voler des informations de connexion aux services bancaires en ligne une fois que l’internaute se connecte à son site bancaire. GozNym est une combinaison du code Gozi et du code Nymaim. Cette variante a été découverte en 2016.

Banque, Bitcoin, Cybersécurité, Justice

Le ministère de la Justice des États-Unis accuse deux hackers russes, Alexey Bilyuchenko et Aleksandr Verner, d’être impliqués dans le piratage de l’échangeur de crypto-monnaie Mt. Gox.

Le ministère de la Justice des États-Unis accuse deux hackers russes, Alexey Bilyuchenko et Aleksandr Verner, d’être impliqués dans le piratage de l’échangeur de crypto-monnaie Mt. Gox.

Les accusations, qui ont été déposées en 2019 mais rendues publiques récemment, affirment que Bilyuchenko et Verner ont volé 647 000 bitcoins à Mt. Gox et les ont utilisés pour soutenir leurs activités illicites sur la plateforme de crypto-monnaie BTC-e entre 2011 et 2017.

En outre, Bilyuchenko est accusé d’avoir dirigé BTC-e en collaboration avec Alexander Vinnik, un autre ressortissant russe qui a été extradé vers les États-Unis en 2022 après son arrestation en Grèce en 2017. Vinnik est accusé d’avoir blanchi plus de 4 milliards de dollars grâce à BTC-e.

Les accusations portées contre Bilyuchenko et Verner comprennent portent sur un certain nombre d’infractions liées au blanchiment d’argent.

Les procureurs affirment que Bilyuchenko a joué un rôle clé dans la création de BTC-e, qui aurait servi de plateforme de blanchiment d’argent pour des criminels du monde entier, notamment des pirates informatiques, des auteurs de rançongiciels, des trafiquants de drogue et des fonctionnaires corrompus.

Selon Ismail Ramsey, un avocat américain, Bilyuchenko et ses complices auraient exploité un bureau de change numérique qui a permis de blanchir des milliards de dollars pendant de nombreuses années. Ces allégations rejoignent celles des enquêteurs qui ont précédemment étudié cette affaire.

Les documents judiciaires déposés auprès du tribunal du district sud de New York révèlent que Bilyuchenko, Verner et d’autres complices non identifiés ont piraté les serveurs de Mt. Gox, basés au Japon, qui contenaient les portefeuilles de crypto-monnaie des clients de la plateforme. Ils ont ensuite transféré les fonds volés vers des adresses bitcoin contrôlées par les voleurs.

Selon le ministère de la Justice, le groupe aurait réussi à détourner les 647 000 bitcoins de Mt. Gox entre septembre 2011 et mai 2014, vidant ainsi les avoirs de la plateforme dans cette devise. Mt. Gox a finalement fermé ses portes en 2014.

En avril 2012, les accusés auraient conclu un accord avec un service de courtage de bitcoins anonyme pour convertir la monnaie volée en virements électroniques importants vers des comptes bancaires offshore. Entre mars 2012 et avril 2013, environ 6,6 millions de dollars ont été transférés sur des comptes bancaires à l’étranger. Ces comptes étaient contrôlés par Bilyuchenko, Verner et d’autres personnes. Il est allégué que Bilyuchenko, Verner et les autres membres de ce piratage ont utilisé cette « lessiveuse » de cryptomonnaie pour blanchir plus de 300 000 bitcoins qui avaient été volés à Mt. Gox. Les détails spécifiques de la façon dont le blanchiment a été effectué ne sont pas mentionnés.

Transfert de fonds volés vers BTC-e

La maison de courtage a effectué des transferts d’environ 6,6 millions de dollars vers des comptes bancaires à l’étranger contrôlés par Bilyuchenko, Verner et leurs complices. En retour, la maison de courtage a reçu un « crédit » sur une autre plateforme de crypto-monnaie contrôlée par le groupe. Il est estimé que plus de 300 000 bitcoins volés à Mt. Gox ont été blanchis via cette lessiveuse non citée.

Pendant de nombreuses années, l’ancien PDG de Mt. Gox, Mark Karpeles, a été accusé d’être à l’origine du vol et de l’effondrement de la plateforme. Cependant, les récentes accusations portées contre Bilyuchenko et Verner ont apporté de nouvelles preuves suggérant leur implication directe dans le piratage de Mt. Gox et le détournement des bitcoins.

En ce qui concerne BTC-e, Bilyuchenko est également accusé d’avoir collaboré avec Alexander Vinnik et d’autres pour diriger cette plateforme de crypto-monnaie jusqu’à sa fermeture par les forces de l’ordre en juillet 2017. Selon le ministère de la Justice, BTC-e était une plaque tournante d’activités criminelles, servant de moyen principal pour les cybercriminels du monde entier de transférer, blanchir et stocker les produits de leurs activités illégales.

La plateforme aurait compté plus d’un million d’utilisateurs dans le monde, facilitant le blanchiment des produits de nombreuses intrusions informatiques, piratages, ransomwares, usurpations d’identité, fonctionnaires corrompus et réseaux de trafic de drogue.

Damian Williams, procureur américain pour le district sud de New York, affirme que Bilyuchenko et Verner pensaient pouvoir échapper à la loi en utilisant des techniques de piratage sophistiquées pour voler et blanchir d’énormes quantités de crypto-monnaie. Cependant, les récentes accusations et les dernières arrestations dans le monde de la cryptomonnaie malveillante démontrent que les autorités ont des outils particulièrement efficaces pour stopper tout ce petit monde.

backdoor, Cybersécurité, Fuite de données

Fuite de données : le gouvernement Suisse s’inquiète !

Le gouvernement suisse a récemment averti la population que des données opérationnelles gouvernementales pourraient avoir été compromises lors d’une attaque visant une société informatique. Cette attaque, revendiquée par le groupe de rançongiciels Play, a visé Xplain, une société suisse fournissant des services à plusieurs agences fédérales du pays.

Selon le gouvernement suisse, les données opérationnelles de l’administration fédérale pourraient également avoir été affectées par cette attaque de rançongiciels. Des données volées ont été publiées sur le darknet, suscitant des inquiétudes quant à la sécurité des informations sensibles. Les agences gouvernementales concernées sont actuellement en train de déterminer l’ampleur de l’impact et les unités spécifiques touchées. Bien que des détails plus précis sur les types de données volées et leur contenu n’aient pas été divulgués, il est crucial de comprendre si des informations personnelles de citoyens ou d’employés gouvernementaux ont été compromises.

Suite à cette attaque de rançongiciels, Xplain a immédiatement informé le Centre national de cybersécurité (NCSC) et a signalé l’infraction pénale à la police cantonale de Berne. Le NCSC travaille en étroite collaboration avec Xplain et les procureurs pour résoudre cette affaire et assurer la sécurité des données gouvernementales. Jusqu’à présent, aucune preuve n’indique que les pirates ont tenté d’accéder aux systèmes fédéraux pendant leur attaque contre Xplain.

Concentration des risques et leçons à tirer

Les autorités suisses ont critiqué la décision d’autoriser plusieurs agences gouvernementales à utiliser le même fournisseur informatique, soulignant qu’une certaine concentration des risques est compensée par une meilleure rentabilité. Cependant, ils soulignent également que le nombre limité d’entreprises capables de fournir les services requis rend difficile l’adoption d’une approche plus diversifiée. Il est crucial de noter que l’utilisation de plusieurs fournisseurs entraîne des interfaces et des échanges de données supplémentaires, augmentant potentiellement le risque d’incidents de sécurité. Cette situation souligne l’importance de mettre en place des mesures de sécurité robustes et de revoir les politiques de gestion des fournisseurs pour réduire les vulnérabilités potentielles.

L’attaque de rançongiciels en Suisse non liée à une récente attaque DDoS contre le parlement

En plus de l’attaque de rançongiciels qui a compromis des données gouvernementales en Suisse, le gouvernement a également tenu à clarifier que cette attaque n’était pas liée à une récente attaque par déni de service distribué (DDoS) contre le parlement du pays. Les autorités suisses ont attribué cette attaque DDoS au groupe de piratage NoName, qui a émergé après l’invasion de l’Ukraine par la Russie et a ciblé les gouvernements de plusieurs pays européens avec des centaines d’attaques DDoS.

Confirmation de l’attaque DDoS contre les sites web gouvernementaux

Dans une déclaration distincte, le gouvernement suisse a confirmé que plusieurs sites web de l’administration fédérale ont été mis hors ligne en raison de l’attaque DDoS. Cependant, les spécialistes de l’administration fédérale ont rapidement détecté cette attaque et sont en train de prendre des mesures pour rétablir l’accessibilité des sites web et des applications affectés dans les plus brefs délais. Il est crucial de garantir la disponibilité et la sécurité des systèmes gouvernementaux pour maintenir les services essentiels et préserver la confiance des citoyens.

Cybersécurité, Mise à jour, Patch

Les dernières mises à jour de sécurité de Microsoft : protégez-vous contre les vulnérabilités

Microsoft a récemment publié ses mises à jour mensuelles. Le lot de correctifs de juin 2023 résout un total de 78 failles, dont 38 pouvant potentiellement entraîner l’exécution de code à distance. Parmi ces failles, Microsoft en a identifié six comme étant critiques, pouvant causer des attaques de déni de service (DoS), des élévations de privilèges, et l’exécution arbitraire de code à distance.

La répartition des vulnérabilités corrigées se présente comme suit : 17 failles d’élévation de privilèges, 3 contournements de systèmes de protection, 32 vulnérabilités d’exécution de code à distance (RCE), 5 problèmes de divulgation d’informations, 10 attaques de déni de service (DoS), 10 tentatives de spoofing, et une faille spécifique à la version Chromium d’Edge.

Heureusement, cette fois-ci, aucune vulnérabilité zero-day n’a été signalée, ce qui permet aux administrateurs système de déployer les correctifs à leur propre rythme. Cependant, il est essentiel de souligner deux vulnérabilités particulièrement dangereuses qui nécessitent une attention immédiate :

CVE-2023-29357 : Cette faille concerne une élévation de privilèges dans Microsoft SharePoint Server. Selon Microsoft, cette vulnérabilité est exploitée dans des attaques, mais aucune information détaillée sur son exploitation n’a été divulguée.

CVE-2023-32031 : Cette vulnérabilité permet l’exécution de code à distance dans Microsoft Exchange Server. Un attaquant non authentifié peut exploiter cette faille pour exécuter un code malveillant dans le contexte du compte du serveur.

Les mises à jour de sécurité de Microsoft jouent un rôle crucial dans la protection des utilisateurs contre les vulnérabilités et les attaques potentielles. En installant rapidement ces correctifs, vous pouvez renforcer la sécurité de votre système et réduire les risques liés à l’exécution de code à distance, aux élévations de privilèges et aux autres formes d’attaques. Assurez-vous de rester à jour avec les dernières mises à jour de sécurité et de suivre les recommandations de Microsoft pour maintenir un environnement informatique sûr.

Cybersécurité, Securite informatique

Nouvelle technique d’attaque utilisant OpenAI ChatGPT pour distribuer des packages malveillants

Les chercheurs ont récemment découvert une nouvelle technique d’attaque qui exploite les capacités du modèle de langage OpenAI ChatGPT. Cette technique permet aux attaquants de distribuer des packages malveillants dans les environnements de développement. Dans un avis conjoint publié aujourd’hui, les chercheurs ont alerté sur cette nouvelle menace et ont souligné l’importance de prendre des mesures pour atténuer les risques.

Selon les auteurs du rapport technique, ChatGPT a été observé en train de générer des URL, des liens et même des bibliothèques et des fonctions de code qui n’existent pas réellement. Ce phénomène, connu sous le nom d’hallucinations des grands modèles de langage, a été documenté auparavant et pourrait résulter de données d’apprentissage obsolètes. Ces hallucinations ou recommandations erronées peuvent être exploitées par les attaquants pour tromper les utilisateurs.

L’hallucination du package AI

La nouvelle technique de distribution de packages malveillants, baptisée « l’hallucination du package AI« , repose sur l’interaction entre les attaquants et ChatGPT. Les attaquants posent une question à ChatGPT en demandant un package pour résoudre un problème d’encodage, et en réponse, ils obtiennent plusieurs recommandations de package, y compris certains qui ne sont pas publiés dans des référentiels légitimes. Les attaquants remplacent ensuite ces packages inexistants par leurs propres packages malveillants, incitant ainsi les utilisateurs futurs à faire confiance aux recommandations de ChatGPT.

Atténuation des risques et meilleures pratiques

La détection des packages malveillants issus de l’IA peut être difficile car les attaquants utilisent des techniques d’obscurcissement et créent des packages de chevaux de Troie fonctionnels. Cependant, il existe des mesures que les développeurs peuvent prendre pour atténuer les risques. Tout d’abord, il est essentiel d’examiner attentivement les bibliothèques proposées par ChatGPT, en tenant compte de facteurs tels que la date de création, le nombre de téléchargements, les commentaires et les notes jointes. Une certaine prudence et un certain scepticisme à l’égard des packages suspects sont également importants pour assurer la sécurité des logiciels.

Les opportunités de l’IA générative et les risques associés

L’intelligence artificielle (IA), en particulier l’IA générative, représente une avancée majeure dans le domaine de la science et de la technologie. Elle offre des opportunités passionnantes dans de nombreux domaines, tels que la création de contenu, le design, la musique, la recherche médicale et bien d’autres. Cependant, cette avancée technologique soulève également des inquiétudes quant à son utilisation potentielle à des fins malveillantes.

L’IA générative est capable de créer du contenu de manière autonome, imitant et produisant des résultats indiscernables de ceux créés par des humains. Cela ouvre de nouvelles perspectives créatives et permet des avancées significatives dans de nombreux domaines. Cependant, cette même capacité peut être exploitée par des individus mal intentionnés pour des activités telles que la manipulation de l’opinion publique, la production de contrefaçons, la falsification de documents, voire la création de faux médias.

Il est donc impératif de sécuriser l’IA contre le vol, la falsification, la manipulation et autres attaques. Les chercheurs et les entreprises du secteur ont pris conscience de ces enjeux et travaillent activement pour développer des solutions de sécurité pour l’IA générative.

Le Secure AI Framework (SAIF) de Google pour la protection de l’IA

Le 8 juin 2023, Google a présenté le Secure AI Framework (SAIF), un cadre conceptuel conçu pour protéger les technologies d’IA contre les attaques malveillantes. SAIF s’appuie sur l’expérience de Google dans le développement de modèles de cybersécurité éprouvés, tels que le cadre collaboratif de niveaux de chaîne d’approvisionnement pour les artefacts logiciels (SLSA) et BeyondCorp, une architecture de confiance zéro.

SAIF repose sur six principes fondamentaux pour sécuriser l’IA générative

Étendre des bases de sécurité solides à l’écosystème de l’IA : Cela inclut l’utilisation de protections d’infrastructure par défaut, telles que les techniques de prévention des injections SQL, pour renforcer la sécurité des systèmes d’IA générative.

Développer la détection et la réponse : Il est essentiel de surveiller attentivement les entrées et les sorties des systèmes d’IA générative afin de détecter les anomalies potentielles. En utilisant les renseignements sur les menaces, il est possible de prévoir et de contrer les attaques.

Automatiser la protection : Face aux menaces existantes et émergentes, l’automatisation joue un rôle crucial pour garantir la sécurité de l’IA générative. En automatisant les processus de protection, il est possible de réagir rapidement aux attaques.

Harmoniser les contrôles au niveau de la plateforme : Pour assurer une sécurité cohérente dans toute l’organisation, il est nécessaire de mettre en place des contrôles de sécurité standardisés au niveau de la plateforme.

Adapter les contrôles : Il est important d’ajuster les mesures d’atténuation pour sécuriser l’IA générative. Cela comprend l’utilisation de techniques telles que l’apprentissage par renforcement basé sur les incidents et les commentaires des utilisateurs, la mise à jour des ensembles de données de formation, le réglage des modèles pour une réponse stratégique aux attaques et l’utilisation de commandes de drapeaux rouges.

Contextualiser les risques des systèmes d’IA : Il est essentiel de comprendre les risques associés aux systèmes d’IA générative dans le contexte des processus métier environnants. Cela nécessite des évaluations complètes des risques pour déterminer comment les organisations utiliseront l’IA de manière sécurisée. Google s’est engagé à publier plusieurs outils open source pour aider à mettre en œuvre les éléments du SAIF et renforcer la sécurité de l’IA générative. De plus, la société étendra ses programmes de recherche de bogues pour encourager la communauté à contribuer à la sécurité et à la fiabilité de l’IA.

article partenaire, Cybersécurité

La cybersécurité des e-mails entrants : un enjeu crucial pour protéger les entreprises

Dans notre ère numérique, les e-mails sont devenus un moyen de communication essentiel pour les entreprises. Cependant, ils constituent également l’une des principales portes d’entrée pour les cybercriminels. En effet, selon les experts en sécurité informatique, près de 9 attaques d’entreprises sur 10 commencent par un e-mail malveillant. Il est donc impératif de comprendre les dangers liés aux e-mails entrants et de mettre en place des mesures de protection efficaces pour préserver la sécurité des entreprises.

Les e-mails entrants représentent une menace sérieuse pour la sécurité des entreprises. Les cybercriminels utilisent diverses techniques pour tromper les destinataires et les inciter à ouvrir des pièces jointes infectées ou à cliquer sur des liens malveillants. Les conséquences de ces attaques peuvent être dévastatrices : vol de données sensibles, interruption des activités commerciales, atteinte à la réputation et pertes financières importantes. Un « Cyberscore » pour courriel pourrait être une idée, comme celle proposée par LetzRelay d’AlSego. Cette dernière annonce proposer un Cyberscore & Sécurité des e-mails Internet.

Parmi les exemples concrets d’attaques basées sur des e-mails, on peut citer le célèbre cas du rançongiciel « WannaCry » en 2017. Cette attaque mondiale a touché des milliers d’organisations, dont des hôpitaux et des entreprises, en exploitant une vulnérabilité présente dans les e-mails et en demandant des rançons pour le déchiffrement des fichiers.

Méthodes de protection

Pour se protéger contre les attaques basées sur les e-mails, les entreprises doivent mettre en place des mesures de sécurité robustes.

Sensibilisation des employés : L’éducation et la sensibilisation des employés sont essentielles pour les aider à identifier les e-mails suspects et à éviter les pièges. Des programmes de formation réguliers sur les bonnes pratiques de sécurité informatique doivent être mis en place.

Filtres anti-spam et anti-phishing : L’utilisation de filtres avancés peut aider à détecter les e-mails indésirables et à bloquer les messages malveillants avant qu’ils n’atteignent la boîte de réception des employés.

Authentification des e-mails : La mise en place de protocoles d’authentification tels que SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting, and Conformance) peut aider à vérifier l’origine des e-mails et à réduire les risques d’usurpation d’identité.

Solutions de sécurité avancées : Les entreprises doivent investir dans des solutions de sécurité avancées telles que les passerelles sécurisées de messagerie et les systèmes de détection des intrusions pour détecter et bloquer les menaces en temps réel. Les Cyberscores seront des indicateurs instantanés précis offrant une information immédiate sur les courriels reçus.

La cybersécurité des e-mails entrants est un enjeu critique pour les entreprises. Les attaques basées sur les e-mails représentent une menace majeure, pouvant entraîner des conséquences graves pour la sécurité et la stabilité des organisations. En sensibilisant les employés, en utilisant des filtres anti-spam et anti-phishing, en mettant en place des protocoles d’authentification et en adoptant des solutions de sécurité avancées, les entreprises peuvent renforcer leur cybersécurité et réduire les risques liés aux e-mails entrants.

Il est également important de rester informé des dernières tendances en matière de cyberattaques et de se tenir au courant des meilleures pratiques de sécurité. Les entreprises peuvent s’appuyer sur des ressources spécialisées et des partenaires de confiance pour les aider à mettre en place des mesures de protection adéquates.

Enfin, il convient de souligner que la responsabilité de la sécurité des e-mails entrants incombe à tous les acteurs, des employés aux gestionnaires informatiques en passant par les dirigeants d’entreprise. En travaillant ensemble et en adoptant une approche proactive, il est possible de réduire considérablement les risques et de préserver la sécurité des entreprises.

Références :
« WannaCry ransomware attack » – US-CERT
« How to Protect Your Business From Phishing Attacks » – Security Intelligence
« Implementing DMARC to Prevent Email Spoofing » – National Cybersecurity and Communications Integration Center (NCCIC)

Argent, Banque, Cybersécurité

Le logiciel pirate Vidar utilisait contre les vendeurs en ligne

Des hackers malveillants exploitent le logiciel pirate stealer Vidar pour piéger les administrateurs de boutiques en ligne en se faisant passer pour des clients mécontents !

Depuis quelques jours a été détecté une nouvelle campagne malveillante au cours de laquelle des cybercriminels envoient des plaintes aux administrateurs de boutiques en ligne. Des courriels et via les formulaires de contact du site web. Les courriers électroniques sont prétendument rédigés par des clients de ces boutiques en ligne. Ils reprochent que les boutiques ont débité de leur compte bancaire de l’argent alors que la commande, qui n’a jamais été passé, a échoué. Les pirates espèrent ainsi piéger les services après-ventes des boutiques et infiltrer leur informatique afin de voler des informations sensibles.

Les vendeurs en ligne sont une cible attrayante pour les pirates, car l’accès à leurs données d’identification leur donne la possibilité de s’introduire dans la partie serveur des sites de commerce électronique, ouvrant ainsi la voie à une gamme d’attaques considérablement élargie. Par exemple, une fois que les cybercriminels ont accès à la partie serveur de la boutique en ligne, ils peuvent injecter des scripts JavaScript malveillants pour voler les données des cartes bancaires et les informations personnelles des acheteurs au moment de la validation de la commande (appelées attaques MageCart). Ils peuvent aussi modifier prix et produits.

Voici un exemple d’un des e-mails malveillants propagés dans le cadre de cette campagne malveillante : « Je vous écris pour exprimer ma profonde préoccupation et ma déception concernant une récente transaction que j’ai effectuée sur votre site web. Le 14 mai 2023, j’ai passé une commande d’une valeur de plus de 550 euros dans votre magasin. Cependant, un problème important nécessitant votre attention immédiate est survenu. Juste après avoir effectué mon achat, j’ai remarqué un message d’erreur sur votre page web indiquant que le paiement n’a pas pu être effectué et que les fonds n’ont pas été débités de ma carte bancaire. À ma grande surprise, après avoir vérifié mon compte bancaire, j’ai découvert que le paiement avait bel et bien été effectué et que le même montant avait été débité. Je vous exhorte vivement à résoudre ce problème dans les plus brefs délais et à le corriger rapidement. Il est important que vous analysiez la cause de cet écart et que vous preniez des mesures immédiates pour rembourser le montant déduit. À titre de preuve d’achat, je joins ci-dessous une copie de mon relevé bancaire où le débit est clairement visible. Cela devrait constituer une preuve irréfutable du paiement et souligner l’urgence d’un remboursement complet. J’apprécierais sincèrement vos actions immédiates. Voici le lien hypertexte vers ma déclaration : bit[.]ly/xxxx« 

Comme tout bon phishing, le texte de cet hameçonnage est rédigé de manière à créer un sentiment d’urgence, exigeant du vendeur un remboursement immédiat et une enquête sur la cause première du problème. Il s’agit d’une technique classique d’ingénierie sociale.

Autre détail, personne ne doit accepter le lien bit[.]ly dans le cadre professionnel. Je vous montrer d’ailleurs, dans une vidéo, comment connaître l’url caché derriere ce raccourcisseur d’adresse web.