Archives de catégorie : Social engineering

Cybersécurité, Identité numérique, Social engineering

Réseaux sociaux : quand l’exposition numérique devient un risque réel

Les réseaux sociaux façonnent notre quotidien, mais leur usage insouciant peut avoir des conséquences inattendues. Une bonne hygiène numérique devient indispensable pour se protéger des dangers invisibles mais bien réels de l’exposition en ligne.

Aujourd’hui, il est difficile d’imaginer la vie sans réseaux sociaux. Facebook, Instagram, TikTok, X (ex-Twitter), et consorts font partie intégrante de notre routine. Ils nous relient à nos proches, nous informent, nous instruisent, et nous permettent même de révéler nos passions ou de développer une activité professionnelle. Mais cette vitrine numérique, aussi attrayante soit-elle, est à double tranchant. En partageant notre vie en ligne, souvent de manière inconsciente, nous exposons aussi une partie de notre intimité à des inconnus. Ces données, anodines en apparence, peuvent devenir de véritables outils pour des personnes mal intentionnées. Alors, comment profiter des réseaux sociaux tout en protégeant sa vie privée ? Le défi est plus actuel que jamais.

Les réseaux sociaux ont redéfini la manière dont nous interagissons avec le monde. Ils offrent une multitude de fonctionnalités, allant du simple partage de photos jusqu’à la monétisation de contenus artistiques ou pédagogiques. À mesure que les plateformes se perfectionnent, elles deviennent de plus en plus intuitives et incitent l’utilisateur à publier toujours plus de contenus. Mais cette facilité d’expression masque un danger grandissant : celui de livrer, sans le savoir, des informations sensibles à des inconnus, voire à des cybercriminels.

L’insouciance avec laquelle certaines personnes publient des détails sur leur vie privée alimente un vivier d’informations pour ceux qui cherchent à en tirer profit. Une adresse, un lieu de vacances, une date d’anniversaire ou encore le nom d’un animal de compagnie : autant de données qui peuvent servir à usurper une identité ou à forcer un mot de passe. Car il faut bien le comprendre : tout ce qui est publié sur Internet peut, tôt ou tard, tomber entre de mauvaises mains.

« Les cybercriminels privilégient les cibles faciles : une bonne sécurité de base suffit souvent à les décourager. »

C’est pourquoi il est crucial d’instaurer des règles de base en matière de sécurité numérique. La première étape, souvent négligée, est celle de la confidentialité. Les paramètres de confidentialité permettent de contrôler qui peut voir quoi. Or, bon nombre d’utilisateurs laissent leur profil en accès libre, pensant à tort qu’ils n’ont rien à cacher. Pourtant, cette ouverture facilite le travail des programmes automatisés utilisés par les pirates informatiques, capables de scanner des centaines de profils en quelques secondes à la recherche de failles ou d’informations exploitables.

Limiter l’accès à son profil, c’est déjà réduire les risques de manière significative. Les plateformes comme Facebook, Instagram ou TikTok offrent des options assez poussées pour définir précisément les personnes autorisées à voir les publications. Il est donc recommandé de configurer son compte de façon à ce que seules les personnes de confiance aient accès aux contenus personnels. Cela permet également d’éviter que des inconnus utilisent vos photos ou vos publications pour créer de faux profils ou alimenter des arnaques. Mais soyons honnêtes ! Les dérives du « follows » ; des « J’aime » ; du fantasme de devenir un/une « influenceur/influenceuse » font que la sécurité n’est pas la priorité des utilisateurs.

Vient ensuite la question du contenu publié. Il ne s’agit pas de censurer sa présence en ligne, mais plutôt d’adopter une approche réfléchie. Avant de poster, il est bon de se demander à qui s’adresse le message et quelles informations il contient réellement. Publier une photo de son nouveau logement peut sembler anodin, mais elle peut dévoiler des éléments d’ameublement, un code postal ou même un plan du quartier. De même, annoncer un départ en vacances à l’avance peut signaler une absence prolongée et donc un domicile vide.

La prudence est également de mise lorsqu’on parle d’autres personnes. Une simple publication évoquant un collègue, un enfant ou un ami peut, dans certains cas, engager la responsabilité de l’auteur. En France comme ailleurs, le droit à l’image et le respect de la vie privée sont protégés par la loi. Il est donc nécessaire d’obtenir l’accord explicite des personnes concernées avant toute publication les impliquant.

Mais la prudence ne s’arrête pas aux publications visibles. L’un des aspects les plus critiques de la sécurité numérique repose sur la gestion des mots de passe. Trop souvent, les utilisateurs choisissent des mots de passe évidents, comme une date de naissance, un prénom ou une combinaison simple. Ces informations sont souvent disponibles publiquement ou peuvent être devinées à partir des contenus partagés. Pour minimiser les risques, il est essentiel d’adopter des mots de passe complexes, uniques pour chaque plateforme, et de les changer régulièrement, idéalement tous les deux à trois mois.

« Un mot de passe trop simple, même s’il semble pratique, peut transformer un compte sécurisé en une porte grande ouverte. »

Data Security Breach rappelle qu’à cela s’ajoute un outil de plus en plus indispensable : la double authentification. Présente sur la plupart des grandes plateformes, cette fonctionnalité ajoute une couche de sécurité en exigeant une confirmation supplémentaire, généralement via un SMS ou une application d’authentification. C’est une barrière simple mais redoutablement efficace contre les tentatives d’intrusion.

Les cybercriminels, pour leur part, ne perdent pas leur temps avec les comptes bien protégés. Lorsqu’un pirate ne parvient pas à pénétrer un profil après plusieurs tentatives, il passe souvent à une autre cible. En ce sens, adopter de bonnes pratiques de cybersécurité agit comme un filtre : vous devenez une cible moins attrayante, et donc moins vulnérable.

Il ne faut pas non plus oublier que l’ingénierie sociale reste une méthode très répandue. Cela consiste à manipuler psychologiquement une personne pour obtenir des informations confidentielles. Et dans ce domaine, les réseaux sociaux sont une mine d’or. Un pirate peut par exemple se faire passer pour un ami, un collègue ou un membre de la famille afin d’obtenir des données sensibles ou de vous amener à cliquer sur un lien malveillant. Un VPN permettra de protéger votre géolocalisation. La vigilance reste donc de mise, même dans les interactions les plus banales.

Enfin, la question de l’éducation numérique prend toute son importance. Les jeunes générations, nées avec un smartphone dans les mains, sont souvent plus à l’aise avec les outils numériques mais pas forcément mieux informées sur les dangers qu’ils comportent. Il est essentiel de sensibiliser dès le plus jeune âge à la notion de vie privée en ligne, et d’instaurer une culture du doute et de la vérification. Votre serviteur propose des ateliers et rendez-vous dans les écoles sur ce sujet.

La confiance numérique ne se décrète pas : elle se construit au fil du temps, par des choix réfléchis et une gestion rigoureuse de son image en ligne. Dans un monde où les données personnelles valent de l’or, chaque utilisateur a la responsabilité de préserver sa propre sécurité, mais aussi celle de son entourage.

Banque, Cybersécurité, Social engineering

Les tentatives de fraude par « deepfakes » : +2137% en 3 ans

Les tentatives de fraude utilisant des deepfakes ont explosé de 2137 % en trois ans, selon une étude. Cette évolution inquiète le secteur financier, contraint de renforcer ses mesures de cybersécurité pour contrer ces usurpations d’identité sophistiquées.

Les deepfakes, ces faux contenus générés par intelligence artificielle, ne sont plus seulement une curiosité technologique. Leur utilisation à des fins frauduleuses explose, particulièrement dans le secteur financier, où les tentatives de fraude par usurpation d’identité ont bondi de 2137 % depuis trois ans. L’étude de Signicat révèle une augmentation alarmante des attaques visant à prendre le contrôle des comptes bancaires ou à manipuler les procédures d’authentification. Pourtant, seulement 22 % des institutions financières se sont équipées d’outils de détection basés sur l’IA. Face à cette menace grandissante, les entreprises doivent repenser leurs stratégies et adopter des solutions multicouches alliant biométrie, intelligence artificielle et surveillance continue pour sécuriser leurs clients et leurs opérations.

La montée en puissance des deepfakes dans la fraude financière

Les deepfakes, ces falsifications numériques ultraréalistes générées par intelligence artificielle, ont bouleversé le paysage de la fraude financière. Autrefois peu répandus, ils sont aujourd’hui l’un des types d’usurpation d’identité les plus courants. Selon l’étude, 42,5 % des tentatives de fraude détectées dans le secteur financier reposent sur l’IA. En trois ans, les deepfakes sont passés de l’ombre à la lumière, devenant une arme redoutable pour les cybercriminels. L’un des cas les plus retentissants (et publics) : cette visioconférence où seule la comptable était humaine.

Cette technologie est exploitée principalement à travers deux types d’attaques. Les attaques par présentation consistent à manipuler les systèmes de reconnaissance en utilisant des vidéos en temps réel ou des images truquées. Elles sont souvent utilisées pour tromper les processus d’authentification faciale. L’un des cas les plus connu, avec masque en silicone et visioconférence trouble, l’affaire de l’ex Ministre de la Défense Le Drian.

Les attaques par injection, plus sophistiquées, visent à insérer directement des deepfakes dans des systèmes bancaires via des logiciels malveillants, contournant ainsi les vérifications biométriques et les processus KYC (Know Your Customer).

L’évolution rapide de ces techniques met en difficulté les systèmes traditionnels de détection des fraudes, qui peinent à différencier un deepfake d’une véritable interaction humaine.

Des institutions financières en retard face à la menace

Malgré la montée en flèche des fraudes basées sur l’IA, une grande majorité des institutions financières ne disposent toujours pas d’outils de prévention adaptés. L’étude de Signicat révèle qu’à peine 22 % des entreprises du secteur financier ont intégré des solutions de détection basées sur l’intelligence artificielle. Ce retard expose les banques, fintechs et entreprises de paiement à des risques accrus, alors même que les cybercriminels perfectionnent leurs méthodes.

Le Chief Product & Marketing Officer de Signicat, Pinar Alpay, met en garde : « Il y a trois ans, les attaques par deepfake ne représentaient que 0,1 % des tentatives de fraude détectées. Aujourd’hui, elles représentent 6,5 %, soit 1 cas sur 15. Les fraudeurs exploitent des techniques que les systèmes classiques ne peuvent plus identifier. […] En combinant intelligence artificielle, biométrie et authentification renforcée, les entreprises peuvent mieux protéger leurs clients et leurs opérations« , souligne-t-elle.

L’enjeu dépasse la simple mise à jour des technologies. Il s’agit également d’éduquer les employés et les clients pour qu’ils puissent identifier les signaux d’alerte d’une fraude par deepfake et éviter d’être piégés par ces usurpations d’identité avancées.

Vers une protection multicouche face aux deepfakes

Face à cette explosion des fraudes par deepfake, une seule solution s’impose : adopter une protection multicouche. L’étude insiste sur la nécessité d’une approche combinée, intégrant plusieurs niveaux de défense pour anticiper et bloquer ces attaques sophistiquées.

DataSecuritybreach.fr recommande une approche en quatre étapes :

  1. Une évaluation précoce des risques : identifier rapidement les comportements suspects grâce à l’intelligence artificielle.
  2. Une authentification renforcée : utiliser la biométrie faciale et des méthodes de vérification d’identité avancées.
  3. Une surveillance continue : mettre en place un contrôle en temps réel pour détecter toute tentative de fraude en cours.
  4. La formation et la veille : former ses équipes et mettre en place une veille des fuites de données impactant l’entreprise, les salariés, Etc. peuvent permettre la prise de conscience active face à du Social Engineering via deepfake.

L’adoption de ces nouvelles pratiques devient urgente. Sans une réaction rapide, les entreprises risquent de devenir les victimes privilégiées d’une cybercriminalité dopée à l’IA.

L’essor des deepfakes dans la fraude financière démontre une chose : les cybercriminels ont toujours un temps d’avance sur les systèmes de protection traditionnels. Face à une augmentation vertigineuse des tentatives d’usurpation d’identité, les entreprises doivent accélérer l’intégration de solutions de cybersécurité avancées. Mais seront-elles capables d’adapter leurs systèmes assez vite pour contenir cette menace ?

Pour suivre l’actualité cybersécurité en temps réel, inscrivez-vous à la newsletter et rejoignez nos canaux WhatsApp et réseaux sociaux !

Cybersécurité, Entreprise, Social engineering

Cybermenaces 2025 : l’évolution inquiétante des attaques

L’année 2025 s’annoncerait comme un tournant décisif dans le monde de la cybersécurité. Un rapport met en évidence une escalade alarmante des cyberattaques. Cinq tendances majeures se dégagent : des extorsions plus agressives, une vulnérabilité accrue des chaînes d’approvisionnement et du cloud, une accélération des attaques, l’essor des menaces internes, et l’utilisation croissante de l’IA par les cybercriminels.

Derrière ces évolutions se cachent des groupes de cybercriminels toujours plus sophistiqués et des États-nations exploitant la technologie à des fins stratégiques. Le rapport, basé sur l’analyse de plus de 500 cyberattaques majeures en 2024, révèle une dynamique où la rapidité et la sophistication des attaques dépassent souvent la capacité de réponse des entreprises.

L’extorsion prend une nouvelle dimension : du rançongiciel à la destruction opérationnelle

Les cyberattaques par ransomware continuent d’évoluer. Les groupes criminels ne se contentent plus de chiffrer les fichiers et d’exiger une rançon. Aujourd’hui, la destruction intentionnelle des systèmes devient un levier de pression supplémentaire pour forcer les entreprises à payer. Le rapport décrit trois phases d’évolution des attaques par extorsion :

Phase 1 : le chiffrement des fichiers – Une méthode classique où les pirates bloquent l’accès aux données et réclament une rançon.
Phase 2 : l’exfiltration des données – Les hackers menacent de publier des informations sensibles en plus de bloquer l’accès.
Phase 3 : la perturbation massive des opérations – Au-delà de l’attaque numérique, les pirates suppriment des données, sabotent des infrastructures et harcèlent employés et clients.

86 % des attaques recensées en 2024 ont entraîné des interruptions opérationnelles majeures. Les rançons demandées ont augmenté de 80 %, atteignant une médiane de 1,25 million de dollars.

Chaînes d’approvisionnement et cloud : des failles de plus en plus exploitées

Le rapport de Palo Alto et de son équipe Unit42 révèle une explosion des attaques ciblant les chaînes d’approvisionnement logicielles et les environnements cloud. En 2024, 29 % des incidents concernaient des ressources cloud, et 21 % des cas ont vu des pirates perturber directement ces infrastructures.

Les cybercriminels exploitent des vulnérabilités dans les identités et accès (IAM), profitant d’erreurs de configuration et d’identifiants exposés. Dans un cas étudié par Unit 42, des attaquants ont scanné 230 millions de cibles uniques pour trouver des données sensibles mal protégées.

L’exploitation de failles dans les VPN et les applications SaaS est aussi en hausse. Des groupes comme Bling Libra et Muddled Libra s’infiltrent dans des systèmes cloud en abusant de politiques d’accès trop permissives et d’erreurs humaines, ce qui leur permet d’exfiltrer et de détruire des volumes massifs de données.

Les cyberattaques accélèrent : des heures, voire des minutes, pour réagir

L’un des constats les plus alarmants du rapport est l’accélération sans précédent des cyberattaques. Grâce à l’automatisation, aux kits de hacking prêts à l’emploi et à l’IA, les pirates peuvent compromettre un système et exfiltrer des données en moins d’une heure.

Les chiffres clés

25 % des attaques exfiltrent des données en moins de 5 heures (contre 15 heures en 2021).
19 % des attaques exfiltrent des données en moins d’une heure.
Temps médian pour l’exfiltration : 2 jours – une course contre la montre pour les défenseurs.
Un cas marquant du rapport concerne le groupe RansomHub, qui a infiltré un réseau municipal et exfiltré 500 Go de données en seulement sept heures, après avoir contourné une connexion VPN sans authentification multi-facteurs.

La montée en puissance des menaces internes : le rôle croissant des États-nations

L’année 2024 a vu une explosion des menaces internes orchestrées par des États-nations, notamment la Corée du Nord. Le nombre d’attaques de ce type a triplé, ciblant des secteurs variés comme la finance, les médias, la logistique et même des entreprises technologiques.

Le rapport détaille la tactique du groupe Wagemole, qui infiltre des entreprises via de faux employés en postes techniques sensibles. Ces agents : Exfiltrent des données sensibles. Introduisent des outils de surveillance clandestins. Altèrent du code source pour insérer des portes dérobées dans des logiciels critiques. L’utilisation de dispositifs KVM-over-IP permet également aux attaquants de prendre le contrôle de machines distantes sans être détectés par les outils de cybersécurité traditionnels.

L’IA : nouvelle arme des cybercriminels

Si l’intelligence artificielle est un atout pour les défenseurs, elle devient aussi une arme redoutable pour les attaquants. L’IA générative permet de créer des campagnes de phishing hyper réalistes ; De générer des malwares polymorphes, difficiles à détecter ; De simuler des voix et des visages pour tromper les entreprises et exécuter des attaques d’ingénierie sociale. Un test mené par Unit 42 a montré qu’un cybercriminel utilisant l’IA pouvait accélérer une attaque de 100 fois, réduisant le temps d’exfiltration de 2 jours à seulement 25 minutes.

Cybersécurité, Entreprise, Social engineering

Cyberattaques en 2025 : une menace grandissante et des attaques toujours plus rapides

La cybersécurité fait face à une évolution sans précédent des menaces. Selon le rapport 2025 de l’Unit 42 de Palo Alto Networks, les cyberattaques sont plus rapides, sophistiquées et impactantes que jamais.

En 2025, les entreprises du monde entier doivent redoubler de vigilance face à des cybermenaces en constante mutation. Le rapport annuel sur la réponse aux incidents de l’Unit 42 révèle une évolution marquante des tactiques employées par les cybercriminels. Avec plus de 500 cyberattaques majeures analysées dans 38 pays, ce document met en lumière une tendance croissante aux perturbations intentionnelles des opérations plutôt qu’au simple vol de données. Plus alarmant encore, les attaquants se montrent toujours plus rapides, réussissant à exfiltrer des données en quelques minutes seulement. Alors que les entreprises renforcent leurs dispositifs de sécurité, les cybercriminels perfectionnent leurs stratégies. Comment répondre à ces nouvelles menaces et quelles mesures adopter pour limiter les risques ?

Une évolution vers la perturbation intentionnelle

L’Unit 42 met en évidence une transformation majeure des objectifs des cyberattaques. Alors que le vol de données était historiquement l’une des principales motivations des attaquants, 86 % des incidents en 2024 ont engendré des interruptions d’activité ou des atteintes à la réputation des entreprises concernées. Cette tendance traduit un changement de paradigme : désormais, la perturbation est une arme d’extorsion à part entière.

Les cybercriminels déploient des attaques sophistiquées visant à paralyser les activités d’une organisation en provoquant des pannes systémiques. Ces interruptions coûtent cher, tant sur le plan financier que sur celui de la confiance des clients et partenaires. Une attaque bien orchestrée peut engendrer des pertes de plusieurs millions d’euros et nuire durablement à l’image d’une entreprise. Cette stratégie de sabotage illustre une mutation profonde des motivations des cyberattaquants, qui exploitent les faiblesses des infrastructures informatiques modernes pour maximiser leur impact.

La vitesse d’exfiltration des données s’accélère

Le rapport 2025 de l’Unit 42 souligne une accélération frappante des cyberattaques. Dans 25 % des incidents analysés, les attaquants ont exfiltré des données en moins de cinq heures, une vitesse trois fois plus rapide qu’en 2021. Plus alarmant encore, dans 20 % des cas, l’exfiltration a eu lieu en moins d’une heure.

Cette rapidité est favorisée par plusieurs facteurs. Tout d’abord, l’automatisation des attaques permet aux cybercriminels d’utiliser des outils d’intelligence artificielle et des algorithmes avancés pour voler des données à une vitesse inégalée. Ensuite, l’exploitation des failles systémiques est devenue une stratégie récurrente, les vulnérabilités des systèmes cloud et des chaînes d’approvisionnement offrant des points d’entrée privilégiés pour une infiltration rapide. De plus, les attaquants ont affiné leur connaissance des systèmes informatiques ciblés, leur permettant de cartographier précisément les infrastructures avant de lancer leurs offensives, optimisant ainsi l’efficacité de leurs actions malveillantes. Le Social Engineering a gagné du terrain comme le stipule le rapport.

Des techniques d’attaque toujours plus sophistiquées

L’Unit 42 observe une diversification et une sophistication croissante des cyberattaques. Parmi les principales évolutions relevées :

Les cybercriminels déplacent désormais leurs exfiltrations de données vers le cloud. Dans 45 % des cas analysés, les informations volées sont stockées dans des infrastructures cloud, compliquant leur détection et leur récupération par les entreprises victimes. Par ailleurs, les navigateurs web représentent une surface d’attaque de plus en plus exploitée. En effet, 44 % des incidents impliquent des activités malveillantes utilisant les navigateurs des employés, souvent via des campagnes de phishing réalisées avec des techniques avancées. De plus, les attaques multi-vectorielles deviennent la norme, 70 % des cyberattaques exploitant simultanément plusieurs failles dans le but de contourner les défenses des entreprises.

Comment répondre à ces menaces croissantes ?

Face à cette escalade des menaces, l’Unit 42 préconise plusieurs mesures pour renforcer la cybersécurité des organisations :

Les entreprises doivent adopter le modèle Zero Trust, qui consiste à limiter la confiance implicite et à vérifier systématiquement les accès et identités des utilisateurs. Il est aussi essentiel de renforcer la sécurité des environnements cloud en surveillant et corrigeant rapidement les mauvaises configurations ainsi que les vulnérabilités identifiées. En parallèle, l’amélioration de la visibilité et de la réponse aux incidents passe par une centralisation et une analyse en temps réel des journaux d’activités afin d’identifier et de neutraliser les menaces plus rapidement. Enfin, l’automatisation de la détection et de la réponse aux incidents grâce à l’intelligence artificielle s’avère indispensable pour lutter efficacement contre ces nouvelles formes de cyberattaques.

Vers un futur où la cyberrésilience est essentielle

L’année 2025 marque une nouvelle ère pour la cybersécurité, où la rapidité et la complexité des cyberattaques obligent les organisations à repenser leurs stratégies de défense. Si les entreprises s’adaptent en améliorant leur capacité de détection et de réponse, les attaquants trouvent toujours de nouvelles failles à exploiter.

La question reste ouverte : les entreprises seront-elles capables de maintenir une longueur d’avance sur des cybercriminels de plus en plus sophistiqués ?

Pour suivre l’actualité cybersécurité en temps réel, inscrivez-vous à la newsletter et rejoignez nos canaux WhatsApp et réseaux sociaux !

Cybersécurité, Entreprise, Social engineering

La nouvelle arnaque nord-coréenne : extorsion de fonds par de faux travailleurs informatiques

Une nouvelle forme de cybercriminalité nord-coréenne inquiète les entreprises américaines et britanniques : l’infiltration d’agents nord-coréens sous couvert de travailleurs informatiques. Grâce à des identités volées ou falsifiées, ces individus accèdent à des informations sensibles et, une fois découverts, extorquent des rançons à leurs employeurs.

L’arnaque des faux travailleurs informatiques n’est pas nouvelle, mais ce qui est inédit, c’est la tactique d’extorsion qui s’est développée au sein de ces opérations. Les agents, souvent employés comme sous-traitants informatiques dans de grandes entreprises, commencent par voler des données sensibles dès leur embauche. Lorsqu’ils sont licenciés pour des performances insuffisantes ou démasqués, ces agents menacent de rendre publiques les informations volées à moins de recevoir une rançon.

Par exemple, un sous-traitant a commencé à exfiltrer des données dès les premiers jours de son contrat en 2024. Après son licenciement, l’entreprise a reçu des demandes de rançon à six chiffres en cryptomonnaie. L’agent a envoyé des preuves du vol de données à travers des e-mails provenant de plusieurs adresses anonymes.

Un programme massif et organisé

Ces extorsions sont la partie émergée d’un vaste programme d’infiltration mené par le gouvernement nord-coréen. Depuis plusieurs années, les États-Unis et d’autres pays occidentaux mettent en garde les entreprises contre le recrutement de faux travailleurs informatiques, souvent opérant depuis la Chine ou la Russie, mais se faisant passer pour des résidents locaux grâce à des infrastructures de fermes d’ordinateurs portables. Le programme, qui ciblait initialement les entreprises de cryptomonnaie, s’est élargi aux entreprises du Fortune 100 et à des secteurs variés comme les technologies de l’information, les systèmes de chaîne d’approvisionnement, ou encore la production de puces électroniques.

Selon James Silver, directeur de la sécurité de Secureworks, ces agents ne se contentent pas d’extorquer de l’argent. Ils sont également intéressés par des informations sensibles, allant de la propriété intellectuelle aux données militaires et financières. Cela permet à la Corée du Nord de financer ses programmes militaires tout en profitant d’un flux de revenus via les rançons demandées aux entreprises.

Cependant, certaines de ces infiltrations semblent cibler des données qui ne sont pas traditionnellement d’intérêt pour Pyongyang, ce qui laisse penser qu’il pourrait y avoir une collaboration avec d’autres acteurs, comme la Chine. Stephen Schmidt, directeur de la sécurité chez Amazon, a mentionné lors d’une conférence que certaines informations exfiltrées semblaient plus utiles à Pékin qu’à Pyongyang, suggérant une éventuelle relation d’échange d’informations entre les deux nations.

Techniques utilisées par les agents nord-coréens

Les faux travailleurs nord-coréens utilisent plusieurs méthodes pour éviter d’être démasqués. Ils masquent souvent leur adresse IP et dirigent leurs ordinateurs portables professionnels vers des centres de calcul situés à l’étranger. Ils exploitent des outils tels que Chrome Remote Desktop ou AnyDesk pour accéder à distance aux systèmes de leurs employeurs.

Un autre indice de leur activité frauduleuse réside dans leur réticence à participer à des appels vidéo, souvent demandés par les entreprises pour vérifier l’identité des employés. Pour contourner ce problème, ces agents ont commencé à utiliser des outils comme SplitCam, qui permet de gérer plusieurs conversations vidéo en même temps à partir d’une seule webcam, brouillant ainsi davantage leur identité.

Les recherches menées ont révélé une tendance au partage d’identités parmi les agents nord-coréens. Dans certains cas, plusieurs individus semblent utiliser la même adresse e-mail ou CV pour postuler à différents postes. Lorsqu’un agent est démasqué ou licencié, il est parfois remplacé par un autre individu du même réseau, ce qui complique la tâche des entreprises pour identifier les véritables responsables.

Les défis de la détection et les risques pour les entreprises

Les entreprises touchées par ces infiltrations se trouvent confrontées à des défis majeurs. L’utilisation de faux profils, combinée à des méthodes de travail à distance, rend la détection des agents malveillants particulièrement difficile. Il a été observé que les agents nord-coréens mettent à jour fréquemment leurs informations bancaires et utilisent des services comme Payoneer pour éviter les systèmes de contrôle traditionnels. Cela permet de masquer les flux financiers et de rendre plus difficile l’identification des transactions suspectes.

De plus, ces agents travaillent souvent en réseau, se recommandant les uns les autres auprès des entreprises et partageant des identités et des outils pour faciliter l’infiltration. Dans certains cas, une seule personne peut adopter plusieurs identités ou utiliser différents styles de communication pour tromper ses employeurs.

Le risque pour les entreprises ne se limite plus à la perte de données ou à l’extorsion financière. Le vol de propriété intellectuelle, en particulier dans les secteurs technologiques et militaires, peut avoir des conséquences graves sur la sécurité nationale, en plus des pertes économiques. Les entreprises qui embauchent par inadvertance ces agents nord-coréens se retrouvent souvent dans des situations délicates, où elles doivent non seulement gérer les répercussions internes mais aussi les risques de réputation et de responsabilité légale.

La combinaison de cybercriminalité, d’espionnage industriel, et d’extorsion à grande échelle fait de ce phénomène un défi croissant pour les entreprises à travers le monde. Avec des méthodes de plus en plus sophistiquées et une expansion rapide de leurs cibles, les acteurs nord-coréens posent une menace sérieuse que les forces de l’ordre internationales peinent à contenir.

Avez-vous embauché un agent nord-coréen sans le savoir ? 

Parmi les comportements suspects observés, si un employé insiste pour utiliser ses propres appareils, évite de se présenter à la webcam, et modifie fréquemment ses services de paiement, il pourrait s’agir d’un agent nord-coréen infiltré. Ces tactiques sont utilisées par Nickel Tapestry, un groupe soutenu par l’État nord-coréen, pour placer de faux travailleurs dans des entreprises commerciales basées aux États-Unis, au Royaume-Uni, et en Australie.

Utilisation d’équipements personnels : Les faux employés demandent souvent à utiliser leur propre ordinateur portable ou une infrastructure de bureau virtuel pour éviter de se connecter avec l’équipement de l’entreprise, ce qui complique la surveillance de leurs activités.
Camouflage de leur emplacement : Certains employés font envoyer leur équipement de travail à des adresses anonymes ou utilisent des fermes d’ordinateurs portables masquées par des adresses IP américaines.
Évitement des appels vidéo : Lorsqu’ils sont contraints d’utiliser les appareils de l’entreprise, ces agents invoquent des « problèmes techniques » pour éviter de se présenter lors des réunions en visioconférence. Dans certains cas, ils utilisent même des logiciels de clonage vidéo pour simuler leur présence.

Une infiltration bien orchestrée

Les agents de Nickel Tapestry ne se contentent pas de travailler seuls. Ils créent des réseaux entiers de faux employés et de fausses entreprises, fournissant des références professionnelles crédibles et gérant les paiements. Si un agent est découvert ou licencié, il est rapidement remplacé par un autre, permettant ainsi au système de continuer à fonctionner sans interruption. Les documents et CV utilisés par ces agents présentent souvent des similitudes dans leur style d’écriture, laissant supposer que plusieurs personnages sont contrôlés par une seule et même personne, ou par un groupe coordonné. Pour éviter d’être repérés par les banques, ces agents mettent à jour leurs comptes bancaires de manière régulière ou utilisent des services de paiement numérique comme Payoneer, qui a indiqué travailler de manière proactive pour lutter contre cette menace.

Le programme de cybercriminalité nord-coréen : une source de revenus vitale

L’infiltration des entreprises étrangères est devenue une source de revenus essentielle pour la Corée du Nord, qui est soumise à de sévères sanctions internationales limitant ses débouchés économiques. En 2022, le FBI, le département du Trésor et le département d’État des États-Unis ont publié un avertissement public, qualifiant le programme d’infiltration des travailleurs informatiques nord-coréens de « source de revenus cruciale » pour le régime de Pyongyang.

Les agents nord-coréens placés dans des entreprises occidentales, mais opérant en réalité depuis la Chine ou la Russie, peuvent gagner jusqu’à 300 000 dollars par an, ce qui représente un revenu dix fois supérieur à celui d’un ouvrier moyen en Corée du Nord.

Ces fonds servent à financer les projets militaires du pays, notamment son programme d’armement nucléaire. Le dirigeant nord-coréen, Kim Jong Un, a investi massivement dans les infrastructures informatiques et la formation des informaticiens du pays. De nombreux Nord-Coréens reçoivent des diplômes en informatique via des programmes rigoureux mis en place dans des centres de recherche régionaux, tant en Corée du Nord qu’à l’étranger. (treasury.gov)

Cybersécurité, escroquerie, Social engineering

Opération texonto : campagne de désinformation russophone

Mise à jour d’une nouvelle vaste campagne de désinformation psychologique déployée via des courriels, visant à influencer l’opinion publique ukrainienne par la diffusion de fausses informations suggérant que la Russie prenait l’avantage dans le conflit.

Lancés en deux temps, en novembre puis fin décembre 2023, ces courriers électroniques propageaient des messages sur les coupures de chauffage, les manques de médicaments, et les pénuries de nourriture, reprenant les thèmes récurrents de la propagande russe. En outre, en octobre 2023, la société ESET a découvert une attaque par hameçonnage ciblant une entreprise de défense ukrainienne, suivie en novembre par une attaque similaire visant une agence de l’UE, utilisant de fausses pages de connexion Microsoft dans le but de dérober des identifiants de connexion à Microsoft Office 365. La similarité des infrastructures réseau utilisées pour ces différentes campagnes permet de les associer avec une grande certitude.

Avec le conflit en cours en Ukraine, des groupes pro-russes comme Sandworm se sont illustrés par des attaques visant à saboter l’infrastructure informatique ukrainienne au moyen de logiciels destructeurs. Ces derniers temps, une intensification des activités de cyber espionnage a été notée, notamment de la part du groupe Gamaredon, tristement célèbre. L’opération Texonto illustre un tournant dans l’utilisation des technologies numériques pour influencer le cours de la guerre. A noter que certains groupes, comme Killnet, se sont rabattus sur leur business de base, les fraudes bancaires. D’autres groupes sont apparus, comme NighMare, sans vraiment afficher une efficacité militaire et étatique.

L’association inhabituelle d’espionnage, de manipulation de l’information et de faux messages médicaux rappelle les agissements de Callisto, un groupe de cyberespionnage aligné sur la Russie, dont deux membres ont été inculpés le 7 décembre 2023 par le département américain de la Justice. Bien que Callisto soit connu pour cibler des fonctionnaires gouvernementaux et des organisations militaires via des sites d’hameçonnage, aucune connexion technique directe n’a été établie entre Texonto et Callisto. Néanmoins, en raison des méthodes, cibles, et messages diffusés, Texonto est attribué avec une haute confiance à un groupe soutenu par la Russie.

Les enquêteurs ont observé la réutilisation d’un serveur de messagerie par les assaillants, initialement pour les opérations de désinformation, puis pour envoyer des spams typiques des pharmacies canadiennes, une pratique courante au sein de la communauté cybercriminelle russe. D’autres investigations ont révélé des domaines liés à l’opération Texonto et à des affaires internes russes, comme le cas d’Alexeï Navalny, opposant russe emprisonné décédé le 16 février 2024, suggérant des tentatives de cibler des dissidents russes et les partisans de Navalny.

La première salve d’emails visait à instiller le doute chez les Ukrainiens avec des messages préoccupants sur le chauffage ou des manques de médicaments, sans inclure de liens malveillants, se concentrant purement sur la désinformation. Un domaine imitant le ministère ukrainien de la Politique agricole proposait des remèdes à base de plantes en remplacement des médicaments et suggérait des recettes improbables comme du « risotto au pigeon ».

Un mois plus tard, une seconde vague d’emails a été lancée, ciblant non seulement les Ukrainiens mais aussi des citoyens d’autres pays européens, avec des messages plus sinistres incitant à des mutilations pour échapper à la conscription. Cette campagne reflète les tactiques de guerre psychologique utilisées dans les conflits.

cyberattaque, Social engineering, Téléphonie

Une nouvelle version d’un logiciel espion visant les citoyens iraniens, Furball, caché dans une application de traduction

Une nouvelle version du malware Android FurBall utilisée dans une campagne « Domestic Kitten » impacte les citoyens iraniens. Et cela dure depuis 2016 !

Des chercheurs ont récemment identifié une nouvelle version du malware Android FurBall. Cette version est utilisée dans une campagne nommée Domestic Kitten. Le groupe de pirates APT-C-50 opère des actions de surveillance visant des smartphones de citoyens iraniens. Depuis juin 2021, le malware est diffusé sous couvert d’une application de traduction par l’intermédiaire d’une copie d’un site web iranien fournissant des articles, des revues et des livres traduits. La campagne Domestic Kitten remonte au moins à 2016 et est toujours active.

Cette version de FurBall possède les mêmes fonctionnalités de surveillance que les versions précédentes. Comme la fonctionnalité de cette variante n’a pas changé, l’objectif principal de cette mise à jour semble être d’échapper aux logiciels de sécurité. Ces modifications n’ont cependant eu aucun effet sur les solutions ESET, qui ont détecté cette menace sous le nom de Android/Spy.Agent.BWS. FurBall,. Ce malware Android utilisé depuis le début de ces campagnes, a été créé à partir du stalkerware commercial KidLogger.

L’échantillon analysé par l’éditeur d’antivirus ESET ne demande qu’une seule permission intrusive ; celle d’accéder aux contacts. La raison pourrait être son objectif d’éviter d’être détecté, mais d’un autre côté, nous pensons également qu’il pourrait s’agir de la phase préliminaire d’une attaque d’hameçonnage ciblé menée par SMS. Si l’auteur de la menace élargit les autorisations de l’application, il pourrait être également possible d’exfiltrer d’autres types de données à partir des téléphones concernés, comme les SMS, la géolocalisation de l’appareil, les appels téléphoniques et bien plus encore.

Cette application Android malveillante est diffusée via un faux site web imitant un site légitime qui propose des articles et des livres traduits de l’anglais au persan (download maghaleh). D’après les coordonnées du site web légitime, ce service est proposé depuis l’Iran, ce qui nous amène à penser avec quasi-certitude que le faux site web cible des citoyens iraniens. « Le but est de proposer une application Android à télécharger après avoir cliqué sur un bouton qui indique en persan « Télécharger l’application ». Le bouton porte le logo Google Play, mais cette application n’est pas disponible dans Google Play Store. Elle est téléchargée directement depuis le serveur de l’attaquant « déclare Luká tefanko, chercheur chez ESET.

cyberattaque, Social engineering

Le phishing, au plus haut depuis 2020

Les attaques par hameçonnage vocal hybride (téléphone et email) ont progressé de 625 % depuis le premier trimestre 2021. Plus de 58% des attaques de phishing destinées à dérober des identifiants visaient Office 365.

Les attaques basées sur la réponse ciblant les boîtes emails des entreprises viennent d’atteindre un niveau record depuis 2020, représentant à elles seules 41 % de la totalité des escroqueries par e-mail ciblant les salariés ayant eu lieu au cours du deuxième trimestre de cette année. Tel est le principal enseignement du dernier rapport trimestriel de la société HelpSystems. Entre avril à juin 2022 des centaines de milliers d’attaques par phishing et sur les réseaux sociaux visant les entreprises et leurs collaborateurs ont été repérées.

Les fraudes 419 toujours très présentes

La fraude 419 (scam 419 / arnaque nigériane) consiste en une attaque d’ingénierie sociale reposant sur la réponse des victimes à travers un canal de communication choisi. Phishing, vishing/smishing (ciblage par appel vocal ou SMS) et la fraude 419 ou “arnaque nigériane”. L’arnaque à l’amour, la plus connue, ou autres fausses ventes et propositions commerciales piégées.

Les escroqueries par fraude 419 ont représenté 54 % de toutes les menaces par e-mail basées sur la réponse au deuxième trimestre enregistrant une hausse de 3,4 % en part des signalements jusqu’à présent en 2022, et constituant régulièrement la majorité de ces attaques. La compromission des e-mails professionnels (BEC), qui permet aux acteurs de la menace de se faire passer pour une source de confiance, comme un salarié de l’entreprise ou un sous-traitant, s’est également intensifiée au cours de cette période, contribuant à 16 % du volume global des attaques. Si la part des attaques parmi les autres menaces de la catégorie « Response-Based » a baissé par rapport au premier trimestre, les attaques par vishing hybride (hameçonnage vocal amorcé par e-mail) ont pour leur part également progressé, atteignant un niveau record sur six trimestres, soit un bond de 625 % en volume par rapport à Q1 2021.

« Les attaques basées sur la réponse représentent toujours une part significative du volume de phishing, ce qui montre que les techniques d’ingénierie sociale continuent de se révéler efficaces pour les criminels », commente John Wilson, chercheur principal de l’unité Recherche sur les menaces de HelpSystems. « Nous constatons d’ailleurs que ces derniers continuent à perfectionner les leurres 419, de vishing et de BEC ; ils ne se réinventent pas, mais s’appuient majoritairement sur les nouvelles variantes des menaces d’ingénierie sociale ayant fait leurs preuves par le passé. »

Le site ZATAZ révélait, fin septembre, plusieurs fraudes aux paiements de loyer ou encore à la feuille d’imposition utilisant cette technique.

Autres enseignements clés de ce rapport

Le phishing ne cesse de progresser avec des attaques en croissance de 6 % par rapport au premier trimestre 2022. Au deuxième trimestre, les attaques sur les réseaux sociaux ont augmenté de 20 % par rapport au premier trimestre, avec une moyenne de près de 95 attaques par entreprise et par mois. Avec un bond de plus de 100 % des attaques au cours des 12 derniers mois, les plateformes sociales représentant les outils les plus accessibles pour escroquer le plus grand nombre de victimes.

Au deuxième trimestre, le cheval de Troie Emotet a officiellement regagné son statut de principale charge utile après avoir progressé de 30 % pour représenter près de la moitié de toutes les attaques par malware. Le nouveau venu, Bumblebee, s’établit à la troisième place, et serait potentiellement lié aux anciens payloads très prisés que sont Trickbot et BazaLoader.

Les attaques par vol d’informations d’identification visant les comptes Office 365 ont atteint un niveau record sur six trimestres en termes de part et de volume au cours de la période analysée. Plus de 58% de tous les liens de phishing destinés à dérober des identifiants visaient ceux liés à Office 365 (+ 17,7 % sur l’année).

Social engineering

Comment créer un questionnaire en ligne efficace ?

Vous souhaitez créer un questionnaire mais ne savez pas par où débuter ? Différentes étapes sont importantes dans le cheminement de l’élaboration d’un questionnaire. Dans cet article, nous vous donnons quelques conseils pour en créer un efficace autant pour vous que pour vos participants !

Les étapes à suivre pour réaliser un questionnaire

  • Les objectifs du questionnaire

Avant de rédiger les questions destinées à vos futurs participants, faites le point sur les objectifs du questionnaire. Il est aussi essentiel de déterminer à qui le questionnaire sera distribué. Pour cela, déterminez le type de personnes dont vous avez besoin. Si vous le souhaitez, vous pouvez établir une liste d’informations qui vous permet de cibler les bonnes personnes : âge, nationalité, sexe, études/travail, etc. Ces informations sont demandées au début du questionnaire et vous permettent de faire une étude statistique plus poussée sur vos participants.

  • Type de questionnaire

Sous quelle forme souhaitez-vous proposer ce questionnaire ? Quiz, sondage… Réfléchissez à la manière dont les personnes vont répondre et donc quel type de questionnaire est le plus adapté à vos objectifs.
Pour cibler au mieux le type de réponse que vous souhaitez de la part des candidats, prenez également le temps de réfléchir sur les options qui s’offrent à vous : réponse libre, réponse à choix multiples, notation…

  • L’élaboration

Vous avez désormais fait le plus dur, les objectifs sont notés. Vous pouvez désormais créer votre questionnaire en ligne : voir sur ce site. Choisissez quel format de questionnaire vous souhaitez et lancez-vous !

  • Distribuez votre questionnaire

Votre questionnaire est terminé, c’est le moment de le distribuer. N’hésitez pas à le partager sur les réseaux sociaux via son lien. Aussi, vos connaissances peuvent vous aider à le distribuer ou à trouver des candidats.

  • Analyse des résultats

Après avoir récolté les résultats obtenus, vous pouvez passer à l’analyse des graphiques. C’est la dernière étape qui vous permet de vérifier vos hypothèses de départ si vous en aviez, ou de comparer les objectifs aux résultats.

Nos conseils pour un questionnaire efficace

  • Allez droit au but

Si cela est possible, évitez les questionnaires trop longs. Les utilisateurs risquent de quitter le questionnaire sans avoir terminé. Si des questions vous semblent superflues ou douteuses, retirez-les ou trouvez un moyen de mieux les intégrer. Le but est que les personnes questionnées restent jusqu’au bout et répondent au maximum des questions !

La barre de progression est par exemple une idée astucieuse pour que le participant voit les étapes restantes avant de la fin. En effet, pour montrer l’avancée du processus afin que la personne se situe dans le questionnaire, vous pouvez insérer cette barre.

  • Employez la bonne formulation

Le but est de rester neutre : ne laissez pas paraître votre opinion dans le questionnaire. Vous récoltez des réponses et les personnes interrogées ne doivent pas être influencées. C’est pourquoi il est important de bien réfléchir aux formulations employées pour garder un ton formel.
Attention également à ne pas être ambigu dans vos demandes pour que la personne comprenne bien la question et réponde le plus sincèrement possible. Évitez les questions trop personnelles ou complexes.

Cybersécurité, Social engineering

Suivre un avion sur le web, une violation de la vie privée ?

Le jet privé d’Elon Musk a été suivi par un jeune programmeur pendant plus d’un an. Il évoque les voyages du fondateur de Tesla sur Twitter devant un public de plusieurs centaines de milliers de personnes. Musk a d’abord essayé de soudoyer l’étudiant, en lui proposant 5 000 dollars, puis l’a carrément bloqué sur les médias sociaux. Mais ça n’a pas aidé.

La chose la plus importante ici est de relier une personne spécifique à un avion spécifique. Et à l’avenir, il suffit de configurer le robot pour collecter des données sur le début du mouvement d’un avion particulier. Des données supplémentaires seront nécessaires pour s’assurer que Musk est physiquement à bord. Et ils seront probablement plus largement sécurisés. Le plan de vol comprendra les personnes qui volent. »

Sur le moteur de recherche le plus populaire qui suit les avions en temps réel, comme Flightradar24, plane finder, flight aware, tous les jets d’affaires sont « secrets ». En d’autres termes, les propriétaires d’avions paient des services pour que leur numéro de vol et leur type d’avion restent cachés. Et ils demandent généralement que les photos de l’avion soient également retirées. Il existe cependant des abonnements platine où chacun peut facilement retracer d’où il est parti, où il est allé.

Ce type d’information n’est soumis à aucune restriction universelle. Comme ces informations sont diffusées, elles ne sont pas secrètes, de sorte qu’il n’y a pas d’incidents dans les airs ou en mer. Et la seule chose que l’on puisse dire ici est qu’il s’agit d’une violation de la vie privée.