Archives de catégorie : Fuite de données

Base de données, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Securite informatique

Dell sous pression : le cyberchantage d’un groupe rebaptisé WorldLeaks tourne court

Dell fait face à une nouvelle tentative de cyberchantage, orchestrée par WorldLeaks, mais assure que les informations volées sont inexploitables. Le climat cyber reste cependant sous haute tension.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

Dell Technologies a confirmé une tentative de cyberchantage orchestrée par le groupe WorldLeaks, exfiltrant 1,3 To de données issues de leur environnement de démonstration « Solution Center ». Selon Dell, ces fichiers n’ont aucune valeur, ne contenant ni données sensibles ni informations sur les clients. Cet incident survient dans un contexte de recrudescence des attaques par extorsion de données, un phénomène accentué par le récent « rebranding » de groupes cybercriminels. L’affaire rappelle également une fuite majeure survenue en 2023 ayant impliqué de véritables données clients. Analyse d’un incident révélateur des mutations actuelles dans la cybercriminalité.

Une attaque orchestrée par WorldLeaks : un coup d’épée dans l’eau ?

Le 22 juillet, la scène cybercriminelle bruisse d’une annonce : WorldLeaks, nouvelle appellation d’une ancienne équipe de rançongiciels, revendique l’infiltration du réseau Dell. Les chiffres avancés impressionnent : 1,3 To de données, soit plus de 416 000 fichiers, exfiltrés depuis les serveurs du géant informatique. Leur objectif ? L’extorsion, en menaçant de publier ces informations à moins d’obtenir un paiement.

Dell réagit rapidement, en coupant court à tout vent de panique. Selon l’entreprise, il ne s’agit là que d’ensembles de données synthétiques, stockés dans une zone de test entièrement isolée, sans aucun lien ni avec les clients, ni avec les partenaires, ni avec les opérations en production. La valeur de ces fichiers serait donc nulle, rendant toute tentative de chantage inopérante.

L’enjeu des environnements isolés et la réponse de Dell

Dans un contexte de multiplication des cyberattaques, Dell insiste sur la ségrégation stricte de son « Solution Center », laboratoire conçu pour les démonstrations produits. Cette séparation physique et logique vise à limiter l’impact des brèches potentielles. Les fichiers concernés par l’attaque seraient destinés uniquement à des scénarios de tests, totalement dépourvus d’informations sensibles ou d’identifiants clients.

Contactée par la presse spécialisée, la direction de Dell refuse d’évoquer le montant éventuel des rançons demandées. La seule certitude affichée : aucune information confidentielle n’a filtré. « Comme beaucoup d’autres entreprises, nous travaillons en continu à renforcer nos défenses. La sécurité de nos clients reste notre priorité absolue », martèle le groupe.

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

 

L’incident intervient sur fond de souvenirs douloureux : en 2023, Dell avait reconnu le vol de données réelles concernant près de 49 millions de commandes clients, incluant noms, adresses et détails techniques sur les équipements. En mai 2024, une notification officielle avait confirmé la compromission, illustrant la réalité des risques cyber même pour les géants du secteur.

Plus inquiétant encore, cette attaque survient après la dissolution annoncée du groupe Hunters International, qui a profité de sa sortie pour « offrir » aux victimes les clés de déchiffrement de leurs données. Mais, selon les experts, ce départ ne serait qu’un écran de fumée destiné à permettre un repositionnement stratégique. Les cybercriminels, confrontés à la baisse de rentabilité des ransomwares traditionnels, semblent désormais privilégier l’exfiltration et la menace de publication des données.

Analyse : La cyber-extorsion, nouvelle norme ou impasse ?

Le cas Dell illustre la transition du paysage cybercriminel : face à des défenses mieux préparées et des ransomwares de moins en moins rentables, la menace s’oriente vers le vol d’informations et le chantage à la publication. Pourtant, cette tactique n’est pas sans risque pour les attaquants, qui peinent parfois à monétiser des données peu exploitables d’autant plus que certains pays, comme le Royaume-Unis font interdire le moindre paiement lors d’une demande de rançon.

Dell, pour sa part, semble avoir tiré les leçons du passé en compartimentant ses systèmes critiques. Mais l’affaire rappelle que la vigilance reste de mise et que chaque brèche, même anodine, peut devenir une vitrine pour les groupes malveillants en quête de légitimité. Sans parler du risque de fermer boutique comme ce fût le cas, il y a peu, pour un important transporteur de fret.

La tentative de chantage contre Dell, si elle s’avère sans effet immédiat, montre à quel point la cyber-extorsion s’est ancrée dans les pratiques des groupes criminels. L’évolution des méthodes — passage du rançongiciel à la pure exfiltration — témoigne d’une professionnalisation du secteur, mais aussi de la nécessité, pour les entreprises, d’investir en continu dans la cybersécurité et la gestion de crise. La question n’est plus de savoir « si » une attaque aura lieu, mais « quand » — et surtout comment y répondre sans céder à la panique ni à la pression.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

Cybersécurité, Entreprise, Fuite de données

Le casse des capteurs militaires au cœur de la Silicon Valley

Un ingénieur modèle, deux passeports, et un sacré culot. À la clef : un braquage discret mais colossal de secrets militaires américains, orchestré depuis un banal bureau californien.

Un ingénieur à double nationalité, passé par Stanford et la Silicon Valley, a orchestré le vol de plus de 3 600 fichiers confidentiels sur des capteurs et caméras militaires de pointe, destinés à protéger les avions contre les missiles et à surveiller l’espace. Recruté par des programmes chinois visant à rapatrier l’innovation, il a exploité les failles internes de son employeur américain avant d’être démasqué par une enquête numérique. Retour sur un crime aux répercussions internationales, révélateur des enjeux de la guerre technologique et du pillage de la propriété intellectuelle, où un seul individu a mis en péril la sécurité nationale.

Un voleur aux deux passeports : le profil d’un ingénieur discret

Chengguan Gong, 59 ans, incarne la réussite de l’immigration dans la Silicon Valley. Entré aux États-Unis en 1993, formé à Clemson puis à Stanford, il devient citoyen américain en 2011 – tout en conservant sa nationalité chinoise. C’est un spécialiste reconnu des capteurs CMOS et des technologies sensibles, courtisé par des entreprises du secteur militaire.

Derrière cette success story, une ambition plus trouble émerge : dès 2014, Gong commence à postuler aux « programmes de rapatriement de talents » chinois, ces concours subventionnés à coup de centaines de milliers de dollars, destinés à drainer vers Pékin compétences… et secrets industriels.

Entre fin mars et avril 2023, Gong opère à la vitesse de l’éclair. Il copie méthodiquement plus de 3 600 fichiers – plans, schémas, documentation technique – de son poste de travail vers un simple clé USB et deux disques durs. Le timing n’a rien d’anodin : le 5 avril, il signe chez un concurrent direct dans le domaine des capteurs infrarouges. Il intensifie alors les copies, double les sauvegardes sur son ordinateur personnel, et prépare sa fuite numérique.

Son butin ? Des technologies critiques : capteurs capables de protéger des avions contre les missiles à guidage thermique, caméras résistant aux radiations pour l’observation spatiale, et circuits intégrés conçus pour repérer les lancements de missiles et d’objets hypersoniques. Le tout estimé à plusieurs centaines de millions de dollars par la société lésée.

L’affaire Gong révèle un angle mort inquiétant : la porosité entre recherche militaire américaine et programmes étatiques chinois. Entre 2014 et 2022, Gong multiplie les candidatures aux “talent programs” chinois, propose les mêmes technologies que celles développées dans ses fonctions américaines, et finit même demi-finaliste d’un concours… en présentant des photos du matériel de son entreprise.

Ce système de chasse aux cerveaux, installé dès les années 1990 en Chine, offre primes et financements massifs aux ingénieurs expatriés prêts à ramener “leur” expertise. Pour Gong, la récompense : près de 2 800 dollars pour une simple participation, et la promesse de sommes bien plus importantes à la clef.

Les failles internes et la riposte numérique

Gong pensait son stratagème à l’abri derrière la routine du télétravail et un départ “pour raisons familiales”. Mais les équipes IT de son employeur veillent au grain. En mars, un audit interne met au jour des mouvements de fichiers anormaux. L’alerte est donnée, le FBI entre en scène, commence sa surveillance, saisit les supports physiques et découvre l’ampleur de la fuite.

Les preuves sont accablantes. Gong reconnaît les faits, expliquant avoir commencé à copier des documents dès son arrivée aux États-Unis – preuve d’un projet de longue haleine plus qu’un simple “coup d’opportunité”. Accusé d’avoir mis en péril la sécurité nationale, il encourt jusqu’à dix ans de prison.

Analyse : le crime d’un homme seul ou le symptôme d’une guerre invisible ?

Au-delà de l’affaire, c’est tout l’écosystème de la recherche technologique qui tremble. Une simple négligence interne, un employé sous le radar, et la propriété intellectuelle la plus sensible se retrouve potentiellement à disposition d’États concurrents. L’affaire Gong rappelle que la guerre de l’innovation ne se joue plus seulement dans les laboratoires, mais aussi dans les back-offices des entreprises les plus prestigieuses.

La conclusion s’impose : à l’heure de la guerre économique mondiale, la vigilance doit être maximale, la cybersécurité renforcée, et la protection du “capital humain” aussi stratégique que celle des data centers.

Cybersécurité, Entreprise, Fuite de données, Justice

Vodafone sanctionné de 45 millions d’euros pour violations graves de la protection des données

L’autorité allemande de protection des données inflige une amende historique à Vodafone pour des manquements graves liés à des pratiques commerciales frauduleuses et des failles de sécurité.

Rejoignez-nous sur vos réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

 

Depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD) en 2018, l’Union européenne a multiplié les sanctions contre les entreprises ne respectant pas les règles strictes imposées en matière de confidentialité et de sécurité. L’Allemagne, particulièrement vigilante sur ce terrain, vient de frapper fort en sanctionnant Vodafone à hauteur de 45 millions d’euros. En cause, des pratiques commerciales trompeuses menées par des agences partenaires de l’opérateur et des failles importantes dans ses systèmes d’authentification, qui ont exposé les données de ses clients. Une décision qui s’inscrit dans une tendance croissante de surveillance renforcée par les régulateurs européens, soucieux de garantir la confiance numérique des citoyens.

Un double manquement pointé par le régulateur

Le 3 juin 2024, le Bureau fédéral de la protection des données (BfDI), autorité allemande indépendante chargée de veiller au respect du RGPD, a annoncé avoir infligé à Vodafone une amende totale de 45 millions d’euros (51,2 millions de dollars). Cette décision découle de deux types d’infractions distinctes. D’abord, le régulateur a reproché à l’entreprise son absence de contrôle sur les agences de vente partenaires, responsables de pratiques qualifiées de « malveillantes ». Ensuite, il a dénoncé des « failles critiques » dans les procédures d’authentification de Vodafone, qui ont permis à des tiers non autorisés d’accéder à des profils de clients, notamment à travers le système eSIM.

Selon le communiqué publié par le BfDI, l’enquête a révélé que certaines agences partenaires, mandatées pour vendre des services au nom de Vodafone, ont abusé de leur position. Elles auraient manipulé les contrats, falsifié des données clients ou modifié les termes sans consentement, dans le but d’atteindre des objectifs commerciaux.

La seconde infraction, bien plus lourde sur le plan financier, concerne les mécanismes d’authentification utilisés par Vodafone dans son portail en ligne et via sa hotline. Le BfDI estime que ces systèmes présentaient des vulnérabilités importantes qui ont facilité l’accès non autorisé à des données personnelles sensibles.

« Les failles découvertes permettaient notamment à des tiers d’accéder illégalement aux profils eSIM des utilisateurs« , a précisé l’autorité dans son communiqué.

Cette deuxième série de manquements a justifié une sanction de 30 millions d’euros (34 millions de dollars), les services de l’État considérant que Vodafone n’avait pas pris les mesures minimales nécessaires pour garantir la confidentialité des informations. Or, le RGPD exige des entreprises qu’elles mettent en œuvre des technologies et des protocoles de sécurité rigoureux, dès la conception de leurs produits et services.

Réactions et mesures correctives

Face à ces accusations, Vodafone a reconnu des insuffisances dans ses systèmes de protection des données. Dans un communiqué publié le jour même de la sanction, l’entreprise a exprimé ses regrets et a indiqué avoir revu en profondeur ses procédures internes.

« Les actions des agences partenaires ont révélé des lacunes dans nos contrôles de protection des données« , a déclaré un porte-parole de Vodafone. « Nous regrettons que des clients aient été impactés négativement« .

« Les systèmes et les mesures en place à l’époque se sont révélés insuffisants« , ajoute l’entreprise, affirmant que la nouvelle direction a fait de la protection des données une priorité absolue.

Depuis le début de l’enquête menée par le BfDI, Vodafone affirme avoir renforcé de manière significative ses mesures de sécurité. Des audits internes ont été menés et des mécanismes d’authentification plus robustes ont été déployés sur ses plateformes. Le régulateur a confirmé que des « progrès notables » ont été constatés dans les mois ayant suivi le début de la procédure.

Cette sanction contre Vodafone s’inscrit dans un contexte européen marqué par une augmentation significative des sanctions liées à la protection des données personnelles. Les autorités européennes, coordonnées par le Comité européen de la protection des données (EDPB), appliquent désormais avec rigueur les dispositions du RGPD.

️ VEILLE ZATAZ, VOTRE RADAR CYBER

Adoptée et approuvée par 96 % de nos abonnés !

Découvrir la veille maintenant

Aucune publicité. Alerte directe. Veille éthique.

En mai 2023, Meta avait été condamnée à une amende record de 1,2 milliard d’euros (1,37 milliard de dollars) pour des transferts de données jugés non conformes entre l’Union européenne et les États-Unis. Uber, de son côté, a écopé d’une sanction de 290 millions d’euros (330 millions de dollars) pour avoir transféré des données de conducteurs sans garanties suffisantes.

Pour Louisa Specht-Riemenschneider, la commissaire fédérale allemande à la protection des données, cette vigilance accrue est essentielle pour préserver la confiance du public. « La protection des données est un facteur de confiance pour les utilisateurs de services numériques et peut devenir un avantage concurrentiel », a-t-elle souligné dans un communiqué.

La responsable insiste également sur l’importance de la prévention, affirmant que « les entreprises doivent être en mesure de respecter la législation en matière de protection des données avant même que les violations ne surviennent ».

Une surveillance qui s’intensifie

L’affaire Vodafone illustre clairement les attentes grandissantes des régulateurs à l’égard des multinationales. Si la répression devient plus visible, c’est aussi parce que la société numérique génère des volumes de données toujours plus importants, augmentant ainsi les risques d’exploitation abusive ou de compromission.

En Allemagne, le BfDI multiplie depuis deux ans les contrôles sectoriels, notamment dans les télécommunications et les services bancaires. Ces secteurs traitent quotidiennement des données hautement sensibles, allant des informations d’identification jusqu’aux transactions financières. Toute faille ou dérive dans la gestion de ces données expose les entreprises à des sanctions sévères.

Vodafone, présent dans plus de 20 pays, n’est pas à sa première controverse en matière de gestion des données. En 2019, l’opérateur avait déjà été interpellé en Italie pour avoir laissé des agents commerciaux sous-traitants démarcher illégalement des clients, ce qui avait entraîné une sanction de 12 millions d’euros par le Garante per la protezione dei dati personali.

La répétition de ces incidents montre que la gestion des partenaires externes représente un maillon faible pour les grandes entreprises opérant dans plusieurs juridictions. C’est d’ailleurs un point d’attention majeur dans les audits RGPD, qui insistent sur la nécessité de responsabiliser l’ensemble de la chaîne de traitement des données, sous-traitants compris.

Un avertissement pour l’ensemble du secteur

Avec cette nouvelle sanction, le message du BfDI est clair : les entreprises qui ne surveillent pas leurs partenaires ou qui négligent la sécurité des données encourent des conséquences financières lourdes. Au-delà du montant de l’amende, c’est aussi l’image de l’entreprise qui en sort écornée, dans un contexte où la protection des données est devenue un critère de différenciation pour les consommateurs.

Les prochains mois diront si Vodafone parvient à restaurer la confiance et à faire oublier cet épisode. Pour l’heure, l’entreprise affirme avoir « fondamentalement revu ses systèmes et processus« , tout en assurant que la protection des données est désormais « une priorité de la direction« . Reste à savoir si ces mesures suffiront à prévenir de nouveaux incidents.

Rejoignez-nous sur vos réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

Cyber-attaque, Fuite de données, Piratage

Dracula : une machine bien huilée siphonne les données de millions d’utilisateurs

Un clic, une carte volée. Derrière chaque lien frauduleux, une machine bien huilée siphonne les données de millions d’utilisateurs à travers le monde.

Depuis 2023, une opération de cyberfraude d’une ampleur inédite s’est déployée dans l’ombre, orchestrée à travers une plateforme méconnue du grand public : Darcula. En seulement sept mois, ce système automatisé et tentaculaire a permis à des cybercriminels de subtiliser les données de près de 884 000 cartes de paiement, en attirant plus de 13 millions d’internautes vers des pages frauduleuses. Son fonctionnement repose sur un service de phishing par abonnement, qui fournit à ses clients une panoplie complète d’outils pour escroquer à grande échelle. L’arme principale : des SMS déguisés en notifications administratives ou livraisons fictives. Ce nouveau visage du phishing, plus crédible et insidieux que jamais, expose les failles d’un monde numérique où la géographie ne protège plus personne.

Ce qui distingue Darcula des vagues de phishing classiques, c’est son degré d’industrialisation. La plateforme ne se contente pas de fournir un kit de base pour escrocs du dimanche. Elle propose une véritable infrastructure clé en main, avec interface utilisateur, tableau de bord centralisé, et une assistance technique digne des services professionnels. En clair, tout individu doté d’un minimum de compétences peut, contre un abonnement, devenir opérateur de cette fraude planétaire. Cette démocratisation de la cybercriminalité à grande échelle brouille les pistes et rend la lutte d’autant plus complexe pour les autorités.

L’étude conjointe réalisée par des médias spécialisés et la société norvégienne Mnemonic a révélé une cartographie saisissante de ce système globalisé. Actif dans plus de cent pays, Darcula exploite près de 20 000 domaines frauduleux qui usurpent les marques les plus connues, des opérateurs téléphoniques aux services postaux, en passant par les banques et plateformes de commerce en ligne. Ces domaines sont utilisés pour piéger les internautes via des messages bien ficelés, envoyés en masse grâce à des fermes SIM automatisées et des modems configurés pour inonder le monde de fausses alertes.

Darcula s’appuie sur un écosystème sophistiqué de 20 000 faux domaines actifs, capables d’imiter à la perfection les plus grandes marques mondiales.

L’un des éléments centraux de l’opération est un framework malveillant baptisé Magic Cat, une structure logicielle modulaire conçue pour générer automatiquement des pages de phishing personnalisées. Ce code, qui permet une mise en ligne rapide de faux sites imitant n’importe quel service légitime, serait l’œuvre d’un développeur chinois originaire du Henan. Bien que l’entreprise à laquelle il est affilié ait démenti toute implication, arguant qu’elle se contente de créer des outils de webdesign, la chronologie des événements suggère une autre réalité. Peu après ces déclarations publiques, une nouvelle version de Magic Cat a refait surface sur le darknet, dotée de fonctionnalités encore plus avancées.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

La force de Darcula réside également dans sa capacité à évoluer. En février 2025, la plateforme s’est enrichie de services inédits, tels que la création de cartes bancaires virtuelles ou encore l’intégration de modes furtifs. Mais c’est en avril de cette même année qu’un cap technologique a été franchi avec l’introduction d’un réseau neuronal génératif. Ce dernier permet de produire, en quelques secondes, des scénarios de fraude hautement personnalisés, dans n’importe quelle langue, adaptés à la culture, au contexte économique et aux habitudes numériques de la cible.

Ce raffinement des méthodes a pour conséquence directe un taux de conversion dramatique : les victimes ne se doutent de rien, même après avoir cliqué, tant l’illusion est parfaite. Ce n’est qu’une fois leur compte vidé ou leur carte bloquée qu’elles découvrent l’étendue du piège. Les escrocs, eux, disposent d’un canal de revente sécurisé et de circuits de blanchiment anonymes, rendus possibles par les crypto-monnaies et des places de marché fermées sur Telegram.

Le réseau Darcula s’appuie sur des IA génératives pour produire des campagnes de phishing localisées, parfaitement adaptées à chaque cible.

Sur ces forums clandestins, des échanges constants ont été observés : tutoriels pour novices, résultats financiers partagés en captures d’écran, ventes de lots de données bancaires, ou encore recommandations de fournisseurs pour le matériel logistique. Parmi les images récupérées par les chercheurs, on retrouve des photographies de véritables usines de fraude, avec rangées de modems, ordinateurs alignés, et cartes SIM empilées par centaines. Cette réalité, longtemps cantonnée à la fiction cyberpunk, est désormais bien tangible.

Les chercheurs ont pu identifier environ 600 opérateurs ayant utilisé les services de Darcula. Une grande partie d’entre eux opèrent par proxy, en sous-traitant certaines fonctions ou en revendant les accès à des tiers, ce qui complexifie encore le travail des enquêteurs. Malgré cela, tous les éléments collectés ont été transmis aux services de police internationaux, notamment Europol et Interpol, dans l’espoir de remonter la chaîne de responsabilités. Mais dans un monde où un simple clic peut franchir des frontières, où les attaques proviennent d’ordinateurs fantômes répartis sur cinq continents, la réponse judiciaire reste lente et inadaptée à la fluidité des cyberattaques.

Pour les entreprises et les particuliers, le principal levier de défense reste la vigilance. Aucun antivirus, aussi sophistiqué soit-il, ne peut empêcher un utilisateur de cliquer sur un lien s’il pense qu’il provient de sa banque ou d’un service de livraison. C’est là toute la perversité du système Darcula : il n’exploite pas une faille technique, mais humaine. Le doute, l’urgence, la peur de la sanction ou l’attente d’un colis sont des émotions que l’algorithme sait activer au bon moment, avec la bonne formulation.

À mesure que les frontières entre réalité et simulation s’estompent, il devient plus difficile de distinguer le vrai du faux. L’industrialisation du phishing, soutenue par des intelligences artificielles toujours plus persuasives, marque une rupture dans l’histoire de la cybersécurité. Elle démontre que la guerre numérique ne se joue plus entre des experts cachés dans l’ombre, mais entre chaque individu connecté et des systèmes conçus pour le tromper, jusqu’au moindre détail.

Reste à savoir comment les États, les entreprises et les citoyens parviendront à reprendre le contrôle de cet espace numérique devenu si vulnérable. La question est d’autant plus cruciale que des plateformes comme Darcula ne cessent de se perfectionner, chaque mois, dans une course à l’efficacité et à l’invisibilité. Dans un avenir proche, verrons-nous apparaître des campagnes de fraude totalement automatisées, adaptables en temps réel au profil psychologique de chaque cible ?

Et si la prochaine guerre mondiale ne se faisait plus sur terre, ni dans l’espace, mais par message interposé, à travers des clics silencieux et invisibles ?

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

Cybersécurité, Fuite de données

Piratage et fuite de données pour Sourcegraph

Un incident de sécurité majeur a secoué récemment Sourcegraph, la plateforme de développement utilisée par d’importantes entreprises telles qu’Uber, Reddit, Dropbox, et bien d’autres. Un hacker inconnu a réussi à obtenir un accès administratif à Sourcegraph AI, provoquant un véritable remue-ménage.

Diego Comas, le responsable de la sécurité de Sourcegraph, a révélé que le pirate informatique avait exploité un incident malheureux survenu le 14 juillet de cette année, même si l’attaque elle-même a été exécutée plus tard, le 28 août. La faille découle de la diffusion accidentelle d’un jeton d’accès administrateur dans une pull request. En utilisant ce jeton, le hacker a pu élever son propre compte au rang d’administrateur, ouvrant ainsi les portes du système Sourcegraph.

L’attaquant, ou un collaborateur potentiel, a ensuite développé une application proxy ingénieuse, permettant aux utilisateurs d’accéder directement à l’API Sourcegraph et d’utiliser le puissant modèle de langage Large Language Model (LLM). L’idée était de pousser les utilisateurs à créer des comptes gratuits sur Sourcegraph.com, de générer des jetons d’accès, puis de solliciter l’attaquant pour augmenter leurs privilèges.

L’incident a été repéré rapidement, dès le jour de l’attaque, grâce à une augmentation soudaine de l’utilisation de l’API. L’attrait d’un accès gratuit à l’API Sourcegraph a attiré de nombreuses personnes, conduisant à une croissance exponentielle des utilisateurs de l’application proxy.

Diego Comas explique : « L’application et les instructions d’utilisation se sont rapidement répandues sur Internet, collectant environ 2 millions de vues. Au fur et à mesure que de plus en plus d’utilisateurs découvraient l’application proxy, ils créaient des comptes gratuits sur Sourcegraph.com, ajoutaient leurs jetons d’accès et accédaient illégalement à l’API Sourcegraph. »

Il a également été révélé que, pendant l’attaque, le pirate informatique a eu accès à certaines informations client de Sourcegraph, telles que leurs clés de licence, noms et adresses e-mail (pour les utilisateurs de la version gratuite, uniquement les adresses e-mail).

Cependant, il est crucial de noter que cette attaque n’a pas exposé de données sensibles des clients, comme des informations personnelles, des mots de passe ou des noms d’utilisateur. Sourcegraph a affirmé que ces données étaient « isolées » dans des environnements sécurisés.

Dès la découverte de l’attaque, l’équipe de Sourcegraph a pris des mesures immédiates pour contenir la menace. Ils ont désactivé le compte de l’attaquant, temporairement restreint l’utilisation de l’API pour les utilisateurs de la version gratuite, et modifié les clés de licence potentiellement compromises lors de l’incident.

backdoor, Cybersécurité, Fuite de données

Fuite de données : le gouvernement Suisse s’inquiète !

Le gouvernement suisse a récemment averti la population que des données opérationnelles gouvernementales pourraient avoir été compromises lors d’une attaque visant une société informatique. Cette attaque, revendiquée par le groupe de rançongiciels Play, a visé Xplain, une société suisse fournissant des services à plusieurs agences fédérales du pays.

Selon le gouvernement suisse, les données opérationnelles de l’administration fédérale pourraient également avoir été affectées par cette attaque de rançongiciels. Des données volées ont été publiées sur le darknet, suscitant des inquiétudes quant à la sécurité des informations sensibles. Les agences gouvernementales concernées sont actuellement en train de déterminer l’ampleur de l’impact et les unités spécifiques touchées. Bien que des détails plus précis sur les types de données volées et leur contenu n’aient pas été divulgués, il est crucial de comprendre si des informations personnelles de citoyens ou d’employés gouvernementaux ont été compromises.

Suite à cette attaque de rançongiciels, Xplain a immédiatement informé le Centre national de cybersécurité (NCSC) et a signalé l’infraction pénale à la police cantonale de Berne. Le NCSC travaille en étroite collaboration avec Xplain et les procureurs pour résoudre cette affaire et assurer la sécurité des données gouvernementales. Jusqu’à présent, aucune preuve n’indique que les pirates ont tenté d’accéder aux systèmes fédéraux pendant leur attaque contre Xplain.

Concentration des risques et leçons à tirer

Les autorités suisses ont critiqué la décision d’autoriser plusieurs agences gouvernementales à utiliser le même fournisseur informatique, soulignant qu’une certaine concentration des risques est compensée par une meilleure rentabilité. Cependant, ils soulignent également que le nombre limité d’entreprises capables de fournir les services requis rend difficile l’adoption d’une approche plus diversifiée. Il est crucial de noter que l’utilisation de plusieurs fournisseurs entraîne des interfaces et des échanges de données supplémentaires, augmentant potentiellement le risque d’incidents de sécurité. Cette situation souligne l’importance de mettre en place des mesures de sécurité robustes et de revoir les politiques de gestion des fournisseurs pour réduire les vulnérabilités potentielles.

L’attaque de rançongiciels en Suisse non liée à une récente attaque DDoS contre le parlement

En plus de l’attaque de rançongiciels qui a compromis des données gouvernementales en Suisse, le gouvernement a également tenu à clarifier que cette attaque n’était pas liée à une récente attaque par déni de service distribué (DDoS) contre le parlement du pays. Les autorités suisses ont attribué cette attaque DDoS au groupe de piratage NoName, qui a émergé après l’invasion de l’Ukraine par la Russie et a ciblé les gouvernements de plusieurs pays européens avec des centaines d’attaques DDoS.

Confirmation de l’attaque DDoS contre les sites web gouvernementaux

Dans une déclaration distincte, le gouvernement suisse a confirmé que plusieurs sites web de l’administration fédérale ont été mis hors ligne en raison de l’attaque DDoS. Cependant, les spécialistes de l’administration fédérale ont rapidement détecté cette attaque et sont en train de prendre des mesures pour rétablir l’accessibilité des sites web et des applications affectés dans les plus brefs délais. Il est crucial de garantir la disponibilité et la sécurité des systèmes gouvernementaux pour maintenir les services essentiels et préserver la confiance des citoyens.

Cybersécurité, Fuite de données

Exploitation d’une faille zero-day dans MOVEit Transfer

Des hackers exploitent une nouvelle vulnérabilité zero-day affectant un outil populaire de transfert de fichiers, MOVEit Transfer, utilisé par des milliers de grandes entreprises.

MOVEit Transfer, un outil a été créé par Progress Software, a publié un avis sur une faille 0Day utilisé contre son logiciel et les usagers. « Il a été découvert une vulnérabilité dans MOVEit Transfer qui pourrait entraîner une élévation des privilèges et un accès non autorisé potentiel à l’environnement. Si vous êtes un client de MOVEit Transfer, il est extrêmement important que vous preniez des mesures immédiates telles que décrites afin de protéger votre environnement MOVEit Transfer, en attendant que notre équipe publie un correctif », a déclaré l’entreprise.

La société a exhorté les clients à désactiver tout le trafic HTTP et HTTPS vers leur environnement MOVEit Transfer. Elle a également indiqué que les clients devraient être vigilants quant aux téléchargements de fichiers inattendus et volumineux, ainsi qu’à la création de fichiers inattendus dans certains dossiers sur toutes leurs instances MOVEit Transfer, y compris les sauvegardes.
La société a déclaré que des correctifs pour la faille sont actuellement en cours de test et seront publiés dès que possible.

Caitlin Condon, directrice principale de la recherche sur les vulnérabilités chez Rapid7, a déclaré qu’au 31 mai 2023, il y avait environ 2 500 instances de MOVEit Transfer exposées sur Internet public, la majorité étant aux États-Unis.

Le chercheur en cybersécurité Kevin Beaumont a partagé des images d’au moins une instance connectée au Département de la Sécurité Intérieure des États-Unis. « Chaque instance en ligne est toujours vulnérable. Cela inclut certaines grandes banques, etc. – Les webshells ont commencé à être implantés il y a quelques semaines, plusieurs incidents se sont produits dans différentes organisations pendant cette période où des activités ont été détectées.« 

Condon a expliqué qu’il y avait des preuves que les hackers avaient déjà automatisé l’exploitation de la faille, et BleepingComputer a rapporté que les hackers ont déjà commencé à télécharger en masse des données provenant des entreprises affectées. L’attaque contre MOVEit serait la dernière en date visant un outil populaire de transfert de fichiers utilisé par de grandes organisations cette année.

En février 2023, des groupes de ransomwares, dont Cl0p, ont exploité une vulnérabilité affectant le produit de transfert de fichiers GoAnywhere MFT de Fortra. Les gouvernements de Toronto et de Tasmanie avaient été touchés par cet incident, aux côtés de géants de l’entreprise tels que Proctor & Gamble, Virgin et Hitachi. Une faille pourtant corrigée 1 an auparavant.

Le groupe de ransomwares derrière cette exploitation, Cl0p, était déjà responsable d’une attaque généralisée contre un autre outil de transfert de fichiers en 2021, Accellion. A l’époque, l’Université du Colorado, Kroger, Morgan Stanley et Shell avaient été impactés.

Cybersécurité, Fuite de données

Tendances 2023 en matière d’identité numérique

Evolution législative, vérification de l’âge, digitalisation des échanges. Tendances 2023 en matière d’identité numérique.

Des évolutions législatives à l’échelle européenne : Le règlement européen eIDAS qui encadre l’identité numérique va évoluer en 2023. Désormais, un portefeuille numérique unique et sécurisé permettra de simplifier et homogénéiser les processus d’authentification des identités dans l’espace numérique européen.

Une généralisation du KYC : Initialement utilisé dans le secteur de la finance, le KYC s’étend à d’autres activités telles que les réseaux sociaux qui introduisent la vérification de l’âge des utilisateurs, les institutions publiques qui dématérialisent de plus en plus les procédures dans lesquelles il leur est nécessaire de vérifier l’identité des administrés ou encore certains secteurs du e-commerce.

Identité numérique en perpétuelle évolution

Une digitalisation des échanges toujours plus présente : La crise du COVID 19 a donné un coup d’accélérateur à la digitalisation des échanges. Cette tendance devrait se poursuivre en 2023 et amènera nécessairement des problématiques liées à l’identité.

La question de la fraude à l’identité : Pour lutter contre les arnaques aux comptes CPF, le gouvernement français a lancé France Connect +, une version plus sécurisée de sa plateforme. Avec la multiplication des opérations frauduleuses de tous types, la vérification poussée et en temps réel de l’identité devrait prendre de plus en plus d’ampleur. Une veille sur votre identité, vos données, votre entreprises doit devenir un reflexe. De nombreuses possibilités existent comme le service veille ZATAZ. Il permet de veiller, alerter, rassurer sur toutes fuites d’informations possibles pouvant vous concerner.

Chiffrement, Cybersécurité, Fuite de données

Le ransomware Ryuk cible désormais les serveurs Web

Nouvelles conclusions sur les opérations stratégiques du groupe Ransomware-as-a-Service – Ryuk. Ryuk est un ransomware exclusivement utilisé dans des attaques ciblées – détecté comme Ransom-Ryuk –  il chiffre les fichiers d’une machine et demande un paiement en crypto-monnaie Bitcoin pour divulguer les clés utilisées lors du chiffrement. Les résultats dévoilent que ce nouvel échantillon Ryuk cible également les serveurs Web.

Le ransomware a pour la première fois été observé en août 2018 lors d’une campagne qui a ciblé plusieurs entreprises. L’analyse des premières versions du ransomware a révélé des similitudes et un code source partagé avec le ransomware Hermes – un malware vendu sur des forums clandestins, qui a été utilisé par de multiples acteurs malveillants.

Pour chiffrer les fichiers, Ryuk utilise une combinaison de chiffrement symétrique AES (256 bits) et asymétrique RSA (2048 bits ou 4096 bits). La clé symétrique est utilisée pour chiffrer le contenu du fichier, tandis que la clé publique asymétrique est utilisée pour chiffrer la clé symétrique. Lors du paiement de la rançon, la clé privée asymétrique correspondante est révélée, ce qui permet de déchiffrer les fichiers cryptés.

En raison de la nature ciblée du ransomware Ryuk, les premiers vecteurs d’attaque sont adaptés à la victime. Parmi eux, les plus courants sont : les emails d’harcèlement, l’exploitation d’identifiants compromis pour accéder à des systèmes à distance. À titre d’exemple, la combinaison d’Emotet et de TrickBot a souvent été observée dans les attaques de Ryuk.

Se protéger des ransomwares

Les équipes IT doivent être à l’affût de toutes traces et comportements en corrélation avec des outils de pentest open source tels que winPEAS, Lazagne, Bloodhound et Sharp Hound, ou des cadres de piratage tels que Cobalt Strike, Metasploit, Empire ou Covenant, ainsi que du comportement anormal d’outils non malveillants avec un double usage. Ces outils considérés légitimes (comme ADfind, PSExec, PowerShell, etc.) peuvent être utilisés pour l’énumération et l’exécution. Il faut également être attentif à l’utilisation anormale de Windows Management Instrumentation WMIC (T1047).

En examinant d’autres familles similaires de Ransomware-as-a-Service, l’équipe de recherche McAfee Entreprise a réalisé que certains vecteurs d’entrée sont assez courants chez les criminels du ransomware :

  • Le Spear Phishing (T1566.001) est souvent utilisé pour  s’insérer directement au sein d’un réseau. L’e-mail de phishing peut également être lié à une souche de malware différente, qui sert de chargeur et de point d’entrée aux attaquants pour continuer à compromettre le réseau de la victime. Ce phénomène a été observé dans le passé avec des programmes comme Trickbot et Ryuk ou Qakbot et Prolock, etc.
  • L’exploitation d’applicationgrand public (T1190) est un autre vecteur d’entrée courant, car les cybercriminels s’informent sur les dernières annonces (cyber)sécurité et sont toujours à l’affût d’une nouvelle tentative. Les entreprises doivent être rapides et diligentes lorsqu’il s’agit d’appliquer les mises à jour de solutions de sécurité. Il existe de nombreux exemples dans le passé où des vulnérabilités concernant des logiciels d’accès à distance, des serveurs web, des équipements de périphérie de réseau et des pare-feu ont été utilisées comme point d’entrée.
  • L’utilisation de comptes valides (T1078) a toujours été une méthode éprouvée par les cybercriminels pour s’immiscer au sein de différents réseaux. L’accès RDP faiblement protégé est un excellent exemple de cette méthode d’entrée.
  • Les Infostealers (logiciel malveillant) peuvent également obtenir des comptes valides en volant les identifiants sur l’ordinateur d’une victime. Les journaux d’Infostealer contenant des milliers d’identifiants peuvent être achetés par les criminels du ransomware pour rechercher des identifiants VPN et d’entreprise. C’est pourquoi, les organisations doivent absolument disposer d’un système robuste de gestion d’identifiants et d’authentification automatique des comptes utilisateurs.

Principales conclusions :

  • Le ransomware Ryuk est exclusivement utilisé dans des attaques ciblées
  • Le dernier échantillon cible désormais les serveurs web
  • La nouvelle note de rançon invite les victimes à installer le navigateur Tor pour faciliter le contact avec les acteurs malveillants
  • Après le chiffrement du fichier, le ransomware imprime 50 copies de la note de rançon sur l’imprimante par défaut.
Cybersécurité, Fuite de données

Neuf internautes sur dix prêts à partager leurs données persos pour accéder à du gratuit

D’après une nouvelle enquête, près de neuf internautes français sur dix (87 %) sont prêts à partager leurs données personnelles pour accéder gratuitement à des services en ligne. 35 % seulement des internautes français ont le sentiment d’avoir le contrôle sur leurs données contre 52 % à l’échelle européenne. 36 % des Français font confiance à leur gouvernement pour le traitement des données confidentielles. Plus de 8 Français sur 10 (85 %) craignent que leurs données ne tombent entre de mauvaises mains lors des deux prochaines années (84 % à l’échelle de l’Europe)

D’après une nouvelle étude commanditée par Kaspersky, près de neuf internautes français sur dix (87 %) sont disposés à partager leurs données personnelles avec des sites et des applications pour accéder gratuitement à des services numériques. La carte interactive de sensibilité à la confidentialité des données, élaborée par Kaspersky, met en exergue la façon dont les consommateurs de neuf pays d’Europe abordent la question de la confidentialité. Malgré quelques réserves, cette carte indique que les Français sont globalement disposés à permettre que leur comportement en ligne soit suivi s’ils peuvent bénéficier en échange de promotions (39 %), d’une meilleure fluidité de l’expérience (43 %) et de cadeaux (36 %). Un comportement relativement en ligne avec les attitudes européennes, bien qu’un peu plus méfiant.

 93 % des Français indiquent que la confidentialité des données est importante pour eux, mais seulement un peu plus d’un tiers (35 %) ont le sentiment de contrôler le nombre d’entités ayant accès à leurs données personnelles.

Peu de confiance envers les entreprises & gouvernements…

C’est une source de préoccupation puisque plus de huit répondants français sur dix (85 %) craignent que leurs données ne tombent entre de mauvaises mains lors des deux prochaines années, tandis que 71 % d’entre eux ont peur que leurs données ne soient dérobées et utilisées à des fins malveillantes (66 % en Europe). Des inquiétudes qui ne se traduisent pas nécessairement dans leurs comportements.

Les internautes témoignent également d’une confiance mitigée envers les entités avec lesquelles ils partagent leurs données. Globalement, Amazon et Google jouissent d’une plutôt bonne réputation en Europe avec 47 % des internautes qui leur font confiance pour traiter les données de manière sure. Les Français sont un peu plus sceptiques, seuls 40 % étant de cet avis. Cela positionne ces entreprises devant les gouvernements respectifs des Européens avec un indice de confiance à 47 % et qui tombe à seulement 36 % en France. Parmi les grandes entreprises de la tech, Facebook est l’organisation qui suscite le plus de méfiance pour ce qui est du respect de la confidentialité : 29 % des Européens et 24 % des Français font confiance à l’entreprise pour le respect de la confidentialité des données.

Mais une tendance à partager ses données quand même, quitte à en perdre le contrôle !

Malgré cela, la perspective de bénéficier de services en ligne utiles fait que de nombreux internautes sont moins disposés à prendre des précautions pour protéger leurs données ou contrôler la manière dont leurs informations personnelles sont utilisées. De fait, six Français sur dix (60 %) acceptent tous les cookies lorsqu’ils naviguent rapidement sur un site. Plus inquiétant, trois internautes Français sur dix (30 %) utilisent le même mot de passe sur de nombreux sites ou applications. Ce chiffre monte même à 35 % au Danemark.

Des disparités de comportement à travers l’Europe

Le Danemark est également le pays où les internautes craignent le moins que leur données ne finissent entre de mauvaises mains (seulement 77 %, contre 94 % au Portugal). À l’inverse, la France est le pays où les internautes ont le moins le sentiment de contrôler leurs données personnelles (35 %). C’est aussi en France que les internautes ont le moins confiance dans le traitement de leurs données personnelles – seulement 36 % des Français font confiance à leur gouvernement pour traiter leurs données de manière sécurisée.

« Jamais nous n’avons eu autant de données personnelles hébergées en ligne. Parallèlement à cette plus grande présence en ligne des données, il y a un risque accru qu’elles ne tombent entre de mauvaises mains », commente David Emm, Principal Security Researcher, Kaspersky.

« La carte interactive de sensibilité à la confidentialité des données démontre que les internautes européens n’ont pas le sentiment d’avoir la main sur les entités ayant accès à leurs données. Malgré ces inquiétudes, beaucoup acceptent cet aspect « intrusif » pour accéder à des services numériques pratiques. Il n’est jamais trop tard pour tenter de reprendre le contrôle de notre identité numérique et protéger nos données en ligne. Pour ce faire, les internautes doivent surveiller les informations qu’ils partagent, bien examiner les politiques en matière de cookies ainsi que les autres paramètres de confidentialité, et veiller à utiliser des mots de passe robustes et uniques pour chaque site ou application. »