backdoor, Cybersécurité, Espionnae

APPLE AVERTIT LES ARMÉNIENS DE TENTATIVES DE PIRATAGE SOUTENUES PAR L’ÉTAT

Récemment, Apple a envoyé des alertes à ses clients en Arménie, les informant que leurs téléphones sont ciblés par des pirates informatiques soutenus par un État.

Le logiciel d’espionnage Pegasus est-il caché derrière l’alerte lancée par Apple, au début du mois de novembre, à l’encontre de plusieurs personnalités Arméniennes ? CyberHUB, une organisation arménienne de droits numériques qui enquête sur ces incidents, a observé une augmentation constante des infections par logiciels espions dans le pays au cours des deux dernières années. De nombreuses infections seraient liées au gouvernement azerbaïdjanais, connu pour son histoire conflictuelle avec l’Arménie, en particulier concernant la région contestée du Haut-Karabakh.

« Dans le cas de l’Arménie, ces avertissements signifient que le téléphone a été infecté par le logiciel espion Pegasus« , a déclaré Samvel Martirosyan, co-fondateur de CyberHUB, faisant référence à l’outil de surveillance développé par la firme israélienne NSO Group et vendu à des gouvernements du monde entier. NSO Group qui a demandé, il y a quelques jours, une demande de réunion avec la Maison Blanche pour expliquer l’importance de son outil lors du conflit entre Israël et le Hamas. Une entrevue, demandée par l’avocat de l’entreprise, qui indique d’ailleurs un élément important : le gouvernement israélien semble cautionner et utiliser Pegasus.

Bien qu’Apple n’ait pas précisé le logiciel espion utilisé ni identifié les responsables du piratage, il existe certaines preuves que la dernière vague d’infections a utilisé Pegasus, selon Natalia Krapiva, conseillère juridique et technologique chez Access Now, une organisation à but non lucratif pour les droits numériques. Cependant, elle souligne qu’il est difficile de le savoir avec certitude tant que l’enquête est en cours. Martirosyan a indiqué que le logiciel espion a probablement été installé sur ordre du gouvernement azerbaïdjanais. Pendant la guerre entre l’Arménie et l’Azerbaïdjan en 2020, le logiciel espion Pegasus a été utilisé pour cibler des journalistes, des militants, des fonctionnaires gouvernementaux et des civils arméniens. Bien que l’identité des pirates derrière ces attaques reste floue, des chercheurs suggèrent que l’Azerbaïdjan est l’un des suspects potentiels.

Le Citizen Lab de l’Université de Toronto a identifié au moins deux opérateurs présumés de Pegasus en Azerbaïdjan qui ont ciblé des individus à l’intérieur comme à l’extérieur du pays. Krapiva est également d’avis que « le suspect probable est l’Azerbaïdjan », en raison de son histoire avec Pegasus et de ses liens étroits avec Israël. Les tensions entre l’Arménie et l’Azerbaïdjan sont élevées et ont atteint un point critique en septembre lorsque l’Azerbaïdjan a lancé une offensive militaire à grande échelle au Haut-Karabakh, violant ainsi un accord de cessez-le-feu de 2020.

CyberHUB, qui enquête sur les infections par Pegasus depuis deux ans, a signalé que le nombre de piratages augmente en Arménie. Cependant, l’étendue réelle de ces piratages est difficile à déterminer, car de nombreuses victimes préfèrent ne pas rendre leurs cas publics, selon Krapiva. Elle ajoute que les utilisateurs d’Android ne reçoivent pas du tout de telles notifications. La plupart des infections surviennent lors d’escalades entre l’Arménie et l’Azerbaïdjan. Les cibles en Arménie ont inclus des politiciens de haut rang, des représentants de la société civile, des militants, des journalistes et des rédacteurs.

En septembre, l’Assemblée parlementaire du Conseil de l’Europe a qualifié l’utilisation du logiciel espion Pegasus par plusieurs pays de la région de potentiellement illégale.

Précision : Une version précédente de cet article indiquait que Pegasus avait été utilisé pour cibler des militants en Russie — il a en fait été spécifiquement utilisé contre une journaliste russe lors de son voyage en Allemagne, et elle a reçu la notification en Lettonie.

Cybersécurité, Mise à jour, Patch

L’EXPLOIT PERMETTANT DE CONTOURNER WINDOWS DEFENDER SMARTSCREEN DIVULGUÉ

Le code d’exploitation de démonstration (preuve de concept, PoC) d’une vulnérabilité critique dans Windows Defender a été rendu public.

Cette vulnérabilité, identifiée sous le nom de CVE-2023-36025, permet aux pirates informatiques de contourner efficacement la fonction de sécurité SmartScreen de Windows. Autant dire que cela risque de devenir un sérieux problème si vous n’avez pas encore mis en place le patch qui corrige cette faille.

Microsoft, conscient de l’urgence, a répondu rapidement en déployant un correctif dans sa mise à jour de novembre. Cependant, il est alarmant de constater que, avant même la publication de ce correctif, la vulnérabilité CVE-2023-36025 était déjà exploitée activement dans des cyberattaques, lui conférant ainsi le statut redouté de vulnérabilité « zero-day« .

L’exploit zero-day en question permet aux attaquants d’insérer du code malveillant en déjouant les contrôles de Windows Defender SmartScreen, sans déclencher d’alertes de sécurité. Le vecteur d’attaque implique l’utilisation de raccourcis Web (.url) spécialement conçus ou de liens vers de tels fichiers, nécessitant la participation active de la victime, souvent par le biais de clics imprudents. Un hameçonnage [du Social Engineering via un phishing] aux couleurs de votre entreprise par exemple !

Les systèmes affectés incluent Windows 10, Windows 11 et Windows Server 2008, avec une mention particulière dans l’ensemble de correctifs de novembre en raison de sa haute priorité. Le PoC récemment publié est en soi un simple fichier de raccourci Internet, mais représente un outil puissant pour exploiter la faille CVE-2023-36025. Le spécialiste à l’origine de cette publication met en garde : « Bien que ce fichier .URL conduise à un site malveillant, il peut être déguisé en raccourci inoffensif. Les attaquants peuvent distribuer un tel fichier via des e-mails de phishing ou des ressources Web compromises.« 

L’exploitation de cette vulnérabilité pourrait ouvrir la voie à une distribution massive de logiciels malveillants, des attaques de phishing réussies et diverses autres cybermenaces comme un rançongiciel [ransomware].

Cybersécurité, double authentification

Une solution cyber à double anonymat pour prouver son âge sur le web

Docaposte expérimente une solution sécurisée et souveraine de preuve de majorité qui garantit le double anonymat. Une solution en cours de test sur des sites pour adultes !

Docaposte, la filiale numérique du groupe La Poste, expérimente, dans le cadre du Laboratoire de la protection de l’enfance porté par le Gouvernement, une solution délivrant une preuve d’âge destinée à limiter l’accès aux sites pour adultes aux personnes majeures. La solution développée par Docaposte répond à un triple enjeu : la protection des mineurs, le respect de l’anonymat des utilisateurs et un système ouvert proposant un choix de plusieurs moyens d’identification.

Constituée d’une plateforme numérique et d’une application mobile, la solution propose un dispositif unique de double anonymat, sans transmission d’informations sur l’identité des utilisateurs ni de traçabilité des sites fréquentés. De plus, un hébergement souverain de la solution dans les datacenters installés en France de l’opérateur.

La solution a vocation à être généralisée en début d’année 2024 aux services en ligne nécessitant une vérification sécurisée de l’âge des utilisateurs.

La garantie de l’anonymat et l’absence de traçabilité

La solution est un dispositif sécurisé qui garantit l’anonymat de l’utilisateur et l’absence de traçabilité des sites qu’il consulte. La solution est constituée d’une plateforme internet et d’une application mobile. Ces deux composants ont chacun leur rôle : la plateforme internet sert d’intermédiaire entre l’utilisateur et le site auquel il souhaite accéder. L’application mobile récupère uniquement la preuve d’âge de l’utilisateur, qui est une donnée anonymisée.

Ces deux composants garantissent le double anonymat : le site consulté ne connaît pas l’identité de l’utilisateur et le moyen d’identification choisi par l’utilisateur ne connaît pas le site consulté avec la preuve d’âge.

Concrètement, lorsqu’un utilisateur souhaite accéder à un site requérant un âge minimum, il se connecte sur la plateforme qui confirmera son âge auprès du site pour en autoriser l’accès, en transmettant uniquement une preuve d’âge, sans transmettre la moindre information personnelle sur l’identité de l’utilisateur. De la même manière, le moyen d’identification utilisé (par exemple, L’Identité Numérique La Poste ou un numéro de carte bancaire Mastercard) ne connaît pas le site accédé avec la preuve d’âge.

Une solution sécurisée, souveraine et ouverte

Cette solution est hébergée en France dans ses propres datacenters. La sécurité des données est assurée par un stockage en compartiments étanches empêchant l’accès à l’ensemble des informations personnelles des utilisateurs et des usages de leur preuve d’âge. Conçue dans une logique de plateforme ouverte à différents moyens d’identification, la solution offre aux utilisateurs le choix de la modalité d’identification qui leur convient le mieux.

Dans la phase d’expérimentation, la plateforme propose L’Identité Numérique La Poste, l’utilisation de sa pièce d’identité (contrôlée par un service de vérification d’identité à distance) ou un numéro de carte bancaire Mastercard. Des négociations sont en cours en vue de l’intégration de nouveaux partenaires et de l’élargissement du nombre d’options d’identification proposées aux utilisateurs.

L’expérimentation, lancée depuis plusieurs semaines avec des sites pour adultes, s’achèvera début 2024. Une généralisation de la solution est par la suite prévue. Au-delà des sites pour adultes, elle apporte une réponse aux besoins de protection des mineurs et de respect de la loi en matière de vérification d’âge par des activités réglementées tels que les jeux vidéos à contenu violent ou adulte ou l’achat d’alcool et de tabac en ligne.

Cybersécurité, Mise à jour, Securite informatique

Black Friday, Cyber monday : les commerçants Français confrontés à une augmentation des cyber attaques

Dans le paysage en constante évolution du commerce en ligne, les commerces français font face à une menace croissante en matière de cybersécurité. Selon de récentes données, 60% des attaques ciblant ces entreprises sont des attaques de logique commerciale, dépassant largement la moyenne mondiale de 37%. Cette tendance inquiétante met en lumière les défis croissants auxquels le secteur du e-commerce est confronté en France.

De plus, une proportion significative du trafic non désiré sur les sites français de vente au détail est désormais associée à des robots avancés, dépassant la moyenne mondiale de 53%. Ces « bad bots » posent un problème sérieux en matière de sécurité en ligne, car ils sont souvent utilisés pour des activités malveillantes.

L’évolution des attaques est également préoccupante. Au cours des 12 derniers mois, on a observé une augmentation spectaculaire de 4 fois des attaques DDoS de niveau 7 chez les commerçants français. De plus, les attaques DDoS de la couche applicative ont augmenté de près de 10 fois pendant la période des achats de Noël par rapport à l’année précédente. Ces attaques automatisées, en particulier celles visant la logique commerciale des applications, représentent une menace majeure pour les commerces.

Les cybercriminels cherchent à exploiter les vulnérabilités des applications, des API et des données du secteur du e-commerce, avec des conséquences potentiellement désastreuses pour les entreprises visées.

Karl Triebes, SVP et GM de la sécurité des applications chez Imperva, met en garde : « Les risques sécuritaires auxquels le secteur du e-commerce est confronté sont de plus en plus élaborés, automatisés et difficiles à détecter. Cette automatisation sophistiquée peut sérieusement affecter les résultats financiers des retailers, compromettant ainsi les ventes de fin d’année.« 

Les perspectives pour la période des fêtes de fin d’année 2023 sont également inquiétantes. Une récente augmentation des attaques de bots malveillants, en particulier sur les sites de e-commerce basés aux États-Unis et en France, laisse présager une perturbation potentielle des ventes pendant le Black Friday et le Cyber Monday. Les attaques DDoS au niveau des applications sont en hausse par rapport à la même période l’année dernière, accentuant les risques pour la période des fêtes.

Cybersécurité, IA

YouTube impose des règles pour les contenus générés par l’IA

La révolution de l’intelligence artificielle (IA) est en train de bouleverser notre monde à bien des égards, et l’une des dernières frontières à être touchée est l’industrie du contenu vidéo en ligne. YouTube, la plate-forme vidéo la plus importante du monde, est en train de prendre des mesures pour réglementer ces nouvelles formes de médias créés par des machines intelligentes. Dans cet article, nous allons examiner les nouvelles règles que YouTube a mises en place pour encadrer les contenus générés par l’IA.

L’IA à l’assaut de YouTube ? Il est indéniable que l’IA est devenue une force majeure dans le monde de la création de contenu. Des algorithmes sophistiqués peuvent désormais générer des vidéos, des images et même des textes de manière quasi indiscernable de ce que produiraient des créateurs humains. YouTube, anticipant une augmentation future du nombre de vidéos créées par des machines, a décidé d’établir des directives claires pour ces types de contenus.

La transparence en premier

Une des règles majeures mises en place par YouTube est la nécessité de transparence. Les créateurs doivent désormais indiquer clairement si une vidéo a été générée par l’IA ou si elle contient des éléments créés ou adaptés par des algorithmes. Cela est particulièrement important pour les contenus qui semblent réalistes, car il est essentiel que les téléspectateurs sachent si des outils d’IA ont été utilisés dans leur création.

Un porte-parole de YouTube a expliqué cette décision en déclarant : « Nous voulons que les utilisateurs aient un contexte lorsqu’ils regardent un contenu réaliste. Cela leur permet de savoir si des outils d’IA et d’autres changements synthétiques ont été utilisés pour le créer. » Cette mesure vise à éviter que les téléspectateurs ne soient induits en erreur par des vidéos qui semblent être le fruit du travail humain.

Les conséquences du non-respect des règles

YouTube prend ces nouvelles règles très au sérieux. Les créateurs qui ne respectent pas l’obligation d’indiquer l’utilisation de l’IA dans leurs vidéos peuvent être bannis de la plate-forme. Cette mesure vise à garantir l’intégrité et la confiance des utilisateurs dans le contenu qu’ils consomment sur YouTube.

YouTube n’est pas la première plate-forme à devoir faire face à la question de la réalité des contenus générés par l’IA, et elle ne sera certainement pas la dernière. Avec l’avancée rapide des outils d’IA, la distinction entre ce qui est « réel » et ce qui ne l’est pas devient de plus en plus floue. Les réseaux sociaux tels que TikTok et Instagram sont depuis longtemps critiqués pour l’utilisation de filtres d’IA qui modifient l’apparence des utilisateurs. Cela peut créer des idéaux de beauté irréalistes, en particulier pour les adolescents qui sont de grands consommateurs de ces plateformes.

De plus, les outils d’IA sophistiqués peuvent être utilisés pour créer des « deepfakes », des vidéos hyper-truquées dans lesquelles des personnalités politiques ou célèbres disent des choses qu’elles n’ont jamais dites. YouTube a déjà mis en place des outils pour signaler et supprimer de telles vidéos.

Cybersécurité, santé

Guide CNIL : durées de conservation des données dans le secteur social et médico-social

Dans le domaine complexe et crucial des secteurs social et médico-social, la gestion des données est une préoccupation majeure. Pour aider les acteurs de ces secteurs à naviguer efficacement dans ce paysage, un nouveau référentiel a été élaboré par la CNIL. Son objectif ? Guider de manière opérationnelle les acteurs dans l’identification et la détermination des durées de conservation pertinentes pour les traitements qu’ils mettent en œuvre.

Ce référentiel s’avère être une ressource inestimable pour les responsables de traitement. Il les oriente vers les durées de conservation obligatoires, conformément à la réglementation en vigueur, notamment le code de l’action sociale et des familles ainsi que le code de la santé publique. De plus, il met en lumière les durées recommandées par la CNIL, offrant ainsi des points de repère essentiels pour déterminer la durée pertinente.

Il est important de noter que ce référentiel ne prétend pas à l’exhaustivité. Il se concentre sur les traitements les plus fréquents dans ces secteurs d’activité. Cependant, pour une gestion encore plus efficace des durées de conservation, une fiche pratique dédiée est mise à disposition de tous les acteurs, qu’ils soient salariés, bénévoles, ou autre, afin de leur offrir des recommandations pratiques pour la gestion quotidienne des durées de conservation des données.

Un référentiel indispensable qui, espérons le, pourra éviter de voir des fuites comme celles repérées par le blog ZATAZ, référence mondiale concernant les fuites de données et la lutte contre le cybercrime, ICI et LA.

À qui s’adressent ces ressources ?

Le référentiel et la fiche pratique sont conçus pour répondre aux besoins de l’ensemble des organismes, qu’ils soient privés ou publics, opérant dans les secteurs social et médico-social. Cela inclut, entre autres, les services mandataires et judiciaires à la protection des majeurs (SMJPM), les services d’accompagnement à la vie sociale (SAVS), les établissements et services d’aide par le travail (ESAT), les établissements d’hébergement pour personnes âgées dépendantes (EHPAD), et bien d’autres.

Un guide complet pour aller encore plus loin

Pour ceux qui souhaitent approfondir leurs connaissances en matière de gestion des durées de conservation des données, la CNIL a publié en 2020 un guide pratique plus général. Ce guide a pour objectif de répondre aux questions les plus courantes des professionnels concernant le principe de limitation de la conservation des données. Il détaille les éléments clés de cette obligation et offre des conseils pratiques pour faciliter sa mise en œuvre au sein des organismes, qu’ils soient publics ou privés.

Ce nouveau guide 2023 a été élaboré en partenariat avec le Service interministériel des archives de France (SIAF), et il met en relation les obligations du RGPD (Règlement général sur la protection des données) avec celles du code du patrimoine. Une ressource inestimable pour tous ceux qui cherchent à naviguer dans le labyrinthe complexe de la gestion des données dans le secteur social et médico-social.

cyberattaque, Cybersécurité

DES PME FRANÇAISES ADMETTENT AVOIR ÉTÉ TOUCHÉES PAR UNE VIOLATION DE LA SÉCURITÉ DE LEURS IMPRIMANTES.

L’augmentation des menaces de sécurité, telles que le phishing ou les ransomware, est une préoccupation très réelle pour les petites et moyennes entreprises (PME) d’Europe. D’autant plus que l’exploitation de nouvelles vulnérabilités fait des appareils en réseau, tels que les multifonctions et les imprimantes, des cibles de choix pour les atteintes à la sécurité informatique.

Une étude menée par Sharp Europe – L’un des principaux fournisseurs de produits et de services technologiques aux PME européennes, a révélé que près d’une PME française sur huit (12%) admet avoir été affectée par une violation de la sécurité de son imprimante. Près d’un tiers d’entre elles ont été touchées par des pertes de données (28%), des malware (31%), du phishing (32%) et des attaques de virus informatiques (29%).

Aujourd’hui, le paysage des menaces liées à l’impression continue de s’élargir avec les défis réels que pose le travail hybride, qu’il s’agisse de sécuriser les connexions réseau ou de se prémunir contre l’erreur humaine. Pourtant, seulement 3% des PME s’inquiètent du risque de sécurité des imprimantes. En fait, plus d’un tiers (38%) des petites entreprises françaises n’ont mis en place aucune mesure de sécurité informatique pour protéger les imprimantes.

L’étude paneuropéenne a interrogé 5 770 professionnels responsables de l’achat IT dans leurs PME, sur la confiance dans leurs capacités de sécurité informatique et les obstacles à l’investissement dans la sécurité informatique au cours des 12 prochains mois.

Manque de compréhension des employés en matière de sécurité informatique

L’étude révèle que le travail hybride est la deuxième raison (28%) pour laquelle les PME françaises s’inquiètent de plus en plus de la sécurité informatique. Plus d’un quart d’entre elles (26%) s’inquiètent également du manque de compréhension des employés en matière de sécurité informatique. Malgré ces inquiétudes, seul un peu plus d’un tiers (41%) couvre le travail hybride dans le cadre de sa formation actuelle à la sécurité informatique et moins d’un quart des PME sensibilisent leurs employés à la sécurité informatique des scanners (16%) et des imprimantes (19%).

Pour les petites entreprises qui ne disposent pas de ressources informatiques importantes, la réalité du paysage des menaces en constante évolution et les défis posés par le travail hybride peuvent sembler décourageants. Les PME peuvent commencer par mettre à jour les logiciels pour les scanners et les imprimantes, sauvegarder régulièrement les données et encourager une politique de sécurité cohérente au sein des équipes travaillant sur plusieurs sites afin de garantir leur protection. Demander l’avis d’un expert peut aider à s’assurer que les bonnes décisions en matière de sécurité informatique sont prises, qu’une vision holistique de la sécurité est adoptée et que les solutions sont toujours à jour.

Cybersécurité, Entreprise

PERSPECTIVES POUR 2024 : LES CYBERCRIMINELS S’OFFRENT DE NOUVEAUX LEVIERS D’ATTAQUE SIMPLIFIÉS

Avec la progression des offres de cybercriminalité en tant que service (CaaS) et l’avènement de l’intelligence artificielle (IA) générative, les auteurs de menaces gagnent en simplicité pour mener à bien leurs attaques. Avec leurs boîtes à outils qui s’enrichissent de nouvelles capacités, les assaillants affûtent leurs armes. Ils lanceront des attaques plus ciblées et furtives, capables de contourner les arsenaux de sécurité en place et gagneront en agilité en rendant chaque tactique d’attaque plus efficace au fil du temps. Voici les perspectives pour 2024.

Dans son rapport 2024 de prédictions sur les menaces, FortiGuard Labs se penche sur une nouvelle ère de la cybercriminalité, examine comment l’IA change la donne en matière d’attaques et livre les nouvelles tendances qui devraient émerger pour l’année à venir et au-delà. Ce rapport propose également des conseils qui permettront aux entreprises dans le monde de renforcer leur résilience face à des menaces qui n’ont pas fini d’évoluer.

Une évolution des techniques traditionnelles d’attaque

Depuis des années, nous observons et échangeons sur les tactiques d’attaque les plus populaires, abordées dans des rapports précédents. Les grands classiques ne disparaissent jamais, mais ils évoluent et progressent à mesure que les assaillants accèdent à de nouveaux outils. Ainsi, en matière de menaces APT (Advanced Persistent Threat), nous anticipons une activité plus dynamique. Au-delà de l’évolution des APT, nous prévoyons qu’en général, les groupuscules cybercriminels diversifieront leurs cibles et leurs playbooks en misant sur des attaques plus sophistiquées et plus destructives, basées notamment sur des dénis de services et autres tentatives d’extorsion.

Les guerres de territoires restent d’actualité au sein de la cybercriminalité. En l’espace de 24 heures ou moins, de nombreux groupuscules se concentrent sur les mêmes cibles en déployant plusieurs variantes de ransomware. Cette multiplication des actions est telle que le FBI américain a lancé un avertissement aux entreprises sur ce sujet en début d’année.

D’autre part, n’oublions pas que l’IA générative évolue et que l’instrumentalisation de l’IA jette de l’huile sur le feu en offrant aux assaillants un moyen simple d’améliorer les nombreuses étapes de leurs attaques. Comme nous l’avions prédit, les cybercriminels font de plus en plus appel à l’IA pour optimiser leurs actions, qu’il s’agisse de déjouer la détection de leurs techniques d’ingénierie sociale ou d’imiter des comportements humains.

Nouvelles tendances pour 2024 et au-delà

Même si les cybercriminels continuent de tirer parti de tactiques éprouvées pour engranger des gains rapides, ils disposent d’un nombre croissant d’outils pour simplifier l’exécution de leurs attaques. À mesure que la cybercriminalité évolue, nous anticipons différentes tendances pour 2024, et au-delà :

Voir plus grand : ces dernières années, les attaques par ransomware ont proliféré dans le monde, ciblant toutes les entreprises, quelles que soient leur taille et leur secteur d’activité. Toutefois, alors des cybercriminels sont toujours plus nombreux à exécuter leurs attaques, ils épuisent rapidement les cibles les plus petites et les plus faciles à pirater. À l’avenir, nous prévoyons que les assaillants adopteront une approche de type « tout ou rien ». Ils se recentreront leurs attaques sur des secteurs critiques (santé, finance, transports et services publics) pour un impact majeur sur l’ensemble de la société et des demandes de rançons bien plus élevées qu’aujourd’hui. Ils élargiront également leur mode opératoire, rendant leurs exactions plus personnalisées, moins prévisibles, plus agressives et donc plus dommageables.

Des vulnérabilités zero-day toujours plus nombreuses : les entreprises intègrent de nouvelles plateformes, applications et technologies pour mener leurs activités. Les cybercriminels disposent ainsi de nouvelles opportunités d’exploiter des vulnérabilités logicielles. Nous avons observé un nombre record de vulnérabilités zero-day et CVE en 2023, et cette tendance s’accélère. Ces vulnérabilités attirent les assaillants et nous nous attendons à ce que des brokers (cybercriminels qui revendent ces vulnérabilités sur le dark web à plusieurs acheteurs) apparaissent au sein de la communauté CaaS. De manière générale, les vulnérabilités N-days continueront à faire courir d’importants risques aux entreprises.

Jouer à domicile : les entreprises renforcent leurs contrôles de sécurité, adoptent de nouvelles technologies et de nouveaux processus pour consolider leurs défenses. Il est donc beaucoup plus difficile d’infiltrer un réseau depuis l’extérieur. Les cybercriminels doivent donc trouver de nouvelles stratégies pour atteindre leurs cibles. Anticipant cette évolution, nous prévoyons que les assaillants continueront à préparer toujours plus en amont leurs exactions (tactiques, reconnaissance et armement). D’ailleurs certains groupuscules n’hésiteront pas à recruter à l’intérieur même des entreprises ciblées pour obtenir un accès initial pour leurs attaques.

L’avènement d’attaques médiatiques : nous nous attendons à ce que les assaillants tirent parti de rendez-vous géopolitiques et événementiels majeurs, tels que les élections américaines de 2024 ou les Jeux olympiques de Paris en 2024. Pour cibler ces événements, les cybercriminels disposent désormais de nouveaux outils, en particulier l’IA générative, pour rendre leurs opérations plus efficaces.

Réduire le champ d’action des TTP : les assaillants continueront inévitablement à élargir l’ensemble des tactiques, techniques et procédures (TTP) qu’ils utilisent pour atteindre leurs cibles. Cependant, les équipes de sécurité en entreprise peuvent prendre l’avantage en identifiant les leviers pour perturber leurs actions. Bien que la majeure partie du travail quotidien des équipes de cybersécurité consiste à traiter les indicateurs de compromission, il est utile d’examiner de près les tactiques, techniques et procédures régulièrement utilisées pour en maîtriser le champ d’action.

La 5G en tant que nouveau terrain de chasse : l’accès à un éventail toujours plus large de technologies connectées entraîne de nouvelles opportunités. Avec la croissance exponentielle de la 5G, nous prévoyons une accélération des attaques connectées. Des attaques réussies contre l’infrastructure 5G sont susceptibles de perturber nombre de secteurs critiques (pétrole et gaz, transports, sécurité publique, finance, santé).

Vivre dans la nouvelle ère de la cybercriminalité

La cybercriminalité impacte chaque citoyen et les conséquences d’un incident sont souvent considérables. Pour autant, les acteurs malveillants ne sont pas nécessairement en capacité de prendre le dessus. Les professionnels de la cybersécurité peuvent prendre de nombreuses mesures pour anticiper les actions des criminels et perturber leurs activités : collaboration entre public et privé pour partager des informations, normalisation des procédures de reporting des incidents, etc.

Les entreprises ont bien sûr un rôle essentiel à jouer dans la lutte contre la cybercriminalité. En premier lieu, il s’agit de favoriser une culture de la cyber résilience pour faire de la cybersécurité le travail de chacun. On peut également penser à des initiatives permanentes telles que des programmes d’information et de formation à l’échelle de l’entreprise, ou encore des activités plus ciblées telles que des simulations ou des études de cas pratiques à l’intention des dirigeants. Un autre axe consiste à pallier le déficit de compétences de cybersécurité en interne en puisant dans de nouveaux viviers de talents pour pourvoir les postes vacants, une approche qui aidera les entreprises à faire face à la surcharge de travail des équipes sécurité et à anticiper l’évolution des menaces. Enfin, le partage de l’information, qui est appelé à gagner en importance, permettra d’activer rapidement les mesures de protection qui s’imposent.

Cybersécurité, Entreprise

NIS 2 : ÊTES-VOUS « CYBER READY » ?

Votée par les députés européens le 10 novembre 2022 et inscrite au Journal Officiel, NIS 2 (ou “Network Information Security”) a pour objectif d’harmoniser et de renforcer la cybersécurité du marché européen. Etes-vous « cyber ready » ?

NIS 2, cela vous dit quelque chose. Êtes-vous au courant qu’il existait un NIS 1 ? En 2016, le parlement européen a adopté NIS 1 dans un souci de renforcement de la cybersécurité des organisations majeures en Europe, dans des secteurs perçus comme sensibles. Mais avec l’instabilité du contexte géopolitique et l’augmentation des cyberattaques, l’Europe a publié à la fin de l’année 2022 l’extension NIS 2 afin d’élargir le périmètre des secteurs critiques et augmenter les niveaux de sécurité.

Cette directive, qui sera transposée à l’échelle nationale d’ici le 17 octobre 2024, apportera plusieurs exigences pouvant bouleverser les entreprises européennes.

Avec plus de 18 secteurs d’activité concernés, cette directive oblige des milliers d’entités à mieux protéger la sécurité de leurs réseaux par le biais de différentes stratégies cyber comme l’analyse de données, le traitement des incidents, la continuité des activités, la sécurité de la chaîne d’approvisionnement, la veille [comme celle proposée par le Service Veille ZATAZ] ou l’utilisation de système de communication d’urgence sécurisés au sein de l’organisation. Cette directive prévoit aussi des sanctions plus sévères, avec des amendes comprises entre 1,4 % et 2 % du chiffre d’affaires pour les entreprises n’appliquant pas les mesures de sécurité adéquates.

Il est également important de noter que la Directive NIS 2 efface la dénomination OSE (Opérateurs de services essentiels) au profit de deux catégories d’entités : les entités essentielles (EE) qui regrouperaient principalement les grandes entreprises dans les secteurs classés comme hautement critiques et les entités importantes (EI) qui concerneraient principalement les organisations de taille moyenne dans les secteurs classés comme hautement critiques et les organisations des secteurs critiques.

DORA l’exploratrice

En complément de NIS 2, le parlement européen a adopté en juin 2023 la réglementation DORA (Digital Operational Resilience Act) visant particulièrement le secteur bancaire car il est considéré comme hautement critique. Parmi les acteurs concernés, on retrouve les établissements de crédit, des sociétés de gestion ou des compagnies d’assurance. Ces organisations devront redoubler de vigilance sur les risques liés aux technologies d’information et communication et élaborer des processus de gestion des incidents.

« Dans le cadre de NIS 2, confirme Renaud Ghia, Président de Tixeo, les organisations attestant d’un incident de cybersécurité disposent d’un délai de 24 heures pour le signaler à l’ANSSI. Bien que la mesure puisse encore être modifiée, les entreprises devront s’organiser pour réagir rapidement. »

S’il leur est conseillé fortement conseillé de faire appel à des prestataires pour évaluer leur niveau de sécurité et recevoir des préconisations, les entreprises doivent également préparer et former dirigeants, managers et collaborateurs aux risques cyber. Cette directive attend justement des entreprises qu’elles ne dépendent plus simplement de leur service informatique mais que la direction soit en capacité d’approuver des mesures de sécurité.

Cybersécurité, Securite informatique

De faux messages de clients mécontents visent des hôtels

Les experts de VADE viennent de découvrir des tentatives de fraudes, via des courriels piégés, s’attaquant spécifiquement aux hôtels. 

Les premiers messages envoyés ne contiennent pas forcément de pièces jointes ou de liens nuisibles, mais leur rédaction est telle qu’ils sont reconnus comme potentiellement frauduleux par les systèmes de filtrage. Ces courriers électroniques ne sont pas toujours détectés par les filtres anti-spam habituels car ils ne contiennent pas d’éléments malveillants évidents. Le but est d’amener le destinataire, souvent la réception ou la direction de l’hôtel, à répondre à l’arnaqueur. Un second message, potentiellement avec une pièce jointe ou un lien dangereux, serait alors envoyé.

Le Blog ZATAZ, référence depuis plus de 20 ans dans les actualités liées à la lutte contre le cybercrime avait alerté de ce type de fraude, au mois d’août 2023. Même méthode, même excuse : la plainte d’un client.

Les analyses de l’entreprise française Vade suggèrent qu’il s’agit d’un malware versatile, capable de dérober des informations, d’obtenir des droits d’accès supérieurs, de se maintenir dans le système et de récolter des données d’identification, avec un potentiel de dégénérer en ransomware. Des indices laissent penser que cet acteur de menaces pourrait être d’origine chinoise, sans que cela puisse être affirmé avec certitude. « Nos analystes ont trouvé des preuves de l’existence de variantes apparentées qui indiquent qu’il s’agit très probablement d’un acteur chinois, mais les données ne permettent pas de le conclure à 100 %. » indique Romain Basset, directeur des services clients Vade.

Les auteurs se font passer pour des clients mécontents pour engager une conversation avec le personnel, comme l’alerte de ZATAZ au mois d’août 2023. Ces tentatives d’escroquerie sont généralement brèves et exemptes de charge malicieuse, du moins jusqu’à présent, avec l’hypothèse que cela intervient dans les échanges ultérieurs.

Une découverte notable est celle d’un courriel intégrant un lien vers un fichier malicieux sous un faux prétexte visuel. Bien que ces attaques aient jusqu’à présent visé principalement des entités anglophones, elles pourraient s’étendre à d’autres langues. Nos systèmes de détection n’identifient pas toujours ces tentatives, à l’instar d’autres filtres.

Voici quelques exemples de ces emails :

  • « Bonjour, lors de mon séjour à votre hôtel, j’ai subi un désagrément impliquant l’un de vos employés. J’ai dû contacter mon avocat. Pourriez-vous m’assister ?« 
  • « Bonjour, je souhaite signaler un souci rencontré avec ma réservation. J’ai besoin de renseignements et d’aide. Merci de répondre rapidement.« 

Les tentatives semblent viser les adresses email génériques telles que « info@ » trouvées sur les sites des hôtels, souvent consultées par le personnel de gestion. Les pirates créé un prétexte d’urgence dans la réponse [des clients pas content] pour une réponse rapide et une action de la part de la victime, augmentant ainsi les chances de succès de l’arnaque. Le fondateur de ZATAZ, Damien Bancal, a participé au mois d’octobre 2023 à une compétition de Social Engineering, au Québec [il a fini avec la médaille d’argent]. Il a démontré lors de la compétitions de 48 heures, comment les services hôteliers étaient des mines d’informations.

Preuves de l’objectif de l’attaque : Bien que le logiciel semble principalement conçu pour le vol d’informations, il est équipé pour évoluer vers des attaques plus sérieuses, telles que le ransomware, avec des indications d’utilisation de bibliothèques de cryptographie, suggérant une volonté de chiffrer les données et perturber les opérations hôtelières.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile