Cybersécurité, Securite informatique

Des entités israéliennes cibles des pirates du groupe Agonizing Serpens

Des experts révèlent une campagne de cyberattaques visant les domaines éducatifs et technologiques en Israël.

Ces offensives sont attribuées à un groupe APT, étroitement lié à l’Iran, surveillé par l’Unité 42 sous le nom d’Agonizing Serpens (également connu sous le nom d’Agrius), actif depuis 2020. Ce groupe est spécialisé dans les attaques cybernétiques destructrices, utilisant des malwares Wiper (appelés « essuie-glaces » car ils suppriment intégralement les données des systèmes infectés) et des ransomwares trompeurs visant principalement des institutions israéliennes.

Lancées en janvier 2023 et persistantes jusqu’en octobre 2023, ces attaques sont marquées par des tentatives de dérobement de données confidentielles, incluant des informations personnelles identifiables (PII) et de la propriété intellectuelle.

Les offensives d’Agonizing Serpens ont pour but le vol d’informations sensibles et la destruction massive de données par l’effacement des contenus des systèmes impactés. Les responsables ont subtilisé des données critiques, dont des informations personnelles et de propriété intellectuelle des organisations visées, et les ont divulguées sur les réseaux sociaux ou via des canaux Telegram, probablement dans le but d’intimider ou de nuire à la réputation des victimes.

Les analyses des nouveaux malwares Wiper indiquent que le groupe a peaufiné ses méthodes, privilégiant des techniques discrètes et évasives pour échapper aux systèmes de sécurité, notamment les technologies EDR.

Les chercheurs ont repéré 3 nouveaux Wiper et 1 outil de pillage de bases de données employés récemment par Agonizing Serpens :

  • Wiper multicouche
  • Wiper PartialWasher
  • Wiper BFG Agonizer
  • Sqxtractor – un outil spécifique pour l’extraction de données de serveurs de bases de données

Des détails supplémentaires et une analyse technique détaillée sont disponibles dans le rapport complet.

Qu’est-ce que le groupe APT Agonizing Serpens ?

Agonizing Serpens, aussi appelé Agrius, est un groupe APT associé à l’Iran, actif depuis 2020. Des rapports précédents avaient évoqué l’usage de ransomwares et de demandes de rançon, mais ces éléments se sont avérés être des diversions, comme noté dans le rapport de l’Unité 42 de 2023 sur le ransomware et la cyberextorsion. Lors des récentes attaques, aucune rançon n’a été exigée ; à la place, les conséquences ont été la perte de données et des interruptions d’activité significatives.

Les chercheurs estiment que ces attaques sont l’œuvre d’Agonizing Serpens, lié à l’Iran, basé sur les similitudes de code dans les différents Wipers : le Wiper MultiLayer analysé montre des correspondances de code et des schémas de noms similaires déjà documentés pour les Wipers d’Agonizing Serpens connus sous les noms Apostle, Fantasy et la backdoor IPsec Helper.

Les similitudes de code dans les web shells : les assaillants ont utilisé des web shells variant légèrement de l’un à l’autre, les différences résidant principalement dans les noms de variables et de fonctions. La nature destructrice des attaques : la phase finale des assauts implique une stratégie de « terre brûlée », avec l’utilisation de Wipers sur mesure pour détruire les terminaux et dissimuler les traces.

Enfin, le ciblage exclusif d’organisations israéliennes : la télémétrie de l’Unité 42 n’a relevé aucune victime non israélienne, suggérant une focalisation du groupe APT sur Israël.

Cybersécurité, IA, loi

Décret pour de nouvelles normes liées à l’intelligence artificielle

Le 30 octobre, l’administration du président américain Joe Biden a publié un décret établissant de nouvelles normes en matière de sûreté et de sécurité de l’intelligence artificielle.

Ces nouvelles normes décidées par l’administration Biden, alors qu’au même moment, à Londres, un rendez-vous politique tentait de mettre en place une coalition IA, se divise en 26 points, classé en huit groupes, dont chacun vise à garantir que l’IA est utilisée pour maximiser les bénéfices escomptés et minimiser les risques. En outre, la mise en œuvre du document devrait placer les États-Unis à l’avant-garde de l’identification des obstacles à la technologie et de la promotion de la poursuite de la recherche. Bref, la course aux normes reste la course au monopole visant l’IA. « Le décret […] protège la vie privée des Américains, fait progresser l’égalité et les droits civils, protège les intérêts des consommateurs et des travailleurs, encourage l’innovation et la concurrence, fait progresser le leadership américain dans le monde et bien plus encore« , indique la Maison Blanche.

Le document exige que les développeurs des systèmes d’IA « les plus puissants » partagent les résultats des tests de sécurité et les « informations critiques » avec le gouvernement. Pour garantir la sécurité et la fiabilité de la technologie, il est prévu de développer des outils et des tests standardisés. A noter que cet été, lors de la Def Con de Las Vegas, la grande messe du hacking, un village avait été mis en place afin de hacker les IA proposées par les géants américains du secteur.

Le document parle de la croissance de « la fraude et de la tromperie utilisant l’intelligence artificielle« , de la nécessité de créer des outils pour trouver et éliminer les vulnérabilités des logiciels critiques, ainsi que de l’élaboration d’un mémorandum sur la sécurité nationale. Cette dernière est destinée à guider les actions futures dans le domaine de l’IA et de la sécurité.

« Sans garanties, l’intelligence artificielle pourrait mettre encore davantage en danger la vie privée des Américains. L’IA facilite non seulement l’extraction, l’identification et l’utilisation des données personnelles, mais elle incite également davantage à le faire, car les entreprises utilisent les données pour former les systèmes d’IA« , indique l’ordonnance.

Selon le document, une utilisation irresponsable de la technologie peut conduire à la discrimination, aux préjugés et à d’autres abus. En mai, Sam Altman, PDG d’OpenAI, s’était exprimé devant le Congrès américain et avait appelé le gouvernement à réglementer l’utilisation et le développement de l’intelligence artificielle.

En juin, des représentants de l’ONU avaient déclaré que les deepfakes créés par l’IA nuisaient à l’intégrité de l’information et conduisent à l’incitation à la haine dans la société. Des fakes news et autres deepfakes que la Cyber émission de ZATAZ, sur Twitch, présentait aux spectateurs.

Pendant ce temps, en Angleterre, un accord historique s’est conclu à Bletchley Park : 28 pays leaders en intelligence artificielle ont conclu un accord mondial inédit. Cette Déclaration de Bletchley marque une avancée majeure dans le développement responsable et sécurisé de l’IA avancée. Les États-Unis, l’UE et la Chine, réunis par le Royaume-Uni, ont uni leurs forces pour établir une vision commune des opportunités et des risques liés à l’IA frontalière, soulignant ainsi l’impératif d’une collaboration internationale.

La conférence de Bletchley préfigure les futures instances comme l’AIEA dans le nucléaire (l’Agence Internationale de l’Énergie Atomique). « Une excellente façon de mettre toutes les grandes puissances au même diapason sur une même sémantique avant de trouver un référentiel qui permette à chacun d’évaluer la dangerosité de tel ou tel développement. » confirme Stéphane Roder, CEO d’AI Builders. Une façon aussi de se contrôler les uns les autres, de redonner confiance au public, mais surtout de se donner bonne conscience quand on sait que la Chine fait un usage massif de l’IA pour la notation sociale ou que toutes les armées du monde ont des armes contenant de l’IA.

Bard, l’IA de Google qui renifle vos données

A noter que l’intelligence artificielle lancée par Google, Bard, va bientôt renifler les documents et les mails des utilisateurs des produits du géant américain. Google explique qu’il s’agit d’une évolution pratique et positive pour ses clients. Dans sa dernière mise à jour, Bard Extension, l’Intelligence Artificielle de la firme Californienne peut se connecter à Maps, YouTube, Gmail et à votre calendrier Google. Bard va tout voir, tout savoir afin de mieux répondre à vos requêtes de recherche.

Google indique que cette « connexion entre Bard et vos autres applications n’était pas visible par des humains, mais uniquement utilisée pour entraîner Bard au quotidien […] Les informations ne seraient pas utilisées pour entraîner ses modèles ou pour vous noyer sous les publicités ciblées« . Espérons que cela ne sera pas comme son concurrent Microsoft dont plusieurs millions de documents utilisés pour entrainer son IA ont fuité. Le blog ZATAZ, référence de l’actualité dédiée à la cybersécurité, a expliqué dans son émission sur Twitch [zataz émission sur Twitch] avoir vu en vente dans un espace pirate les données IA de Microsoft.

A noter qu’il est possible de bloquer l’IA Bard de Google. Pour cela, ouvrez un navigateur Web et accédez à la page « Gérer les applications et services tiers ayant accès à votre compte ». Connectez-vous à votre compte Google. Dans la liste des applications et services, recherchez « Bard ». Sélectionnez le bouton « Supprimer l’accès ». Voilà, Bard ne pourra plus accéder à vos applications Google. Je vous conseille de vérifier dans chaque application Google que Bard est bien devenu sourd, aveugle et muet. Pour cela, rendez-vous vous dans les paramètres de vos applications. Recherchez « Bard ».

Chiffrement, cryptage, Cybersécurité

Lutte contre la pédopornagraphie : lettre ouverte de scientifique pour protéger l’anonymat

Des parlementaires européens proposent une alternative à la loi contre la pédopornographie, qui aurait contraint les entreprises du secteur technologique à surveiller massivement les contenus des utilisateurs. Cette nouvelle mouture vise à protéger les enfants sans violer la vie privée des citoyens et à maintenir l’intégrité du chiffrement.

Pendant des mois, la Commission européenne a travaillé sur une régulation visant à freiner la propagation de la pédopornographie. Cette initiative, qui aurait obligé les plateformes technologiques à inspecter systématiquement les appareils des utilisateurs pour du contenu inapproprié via des logiciels basés sur l’IA, a suscité de nombreuses controverses.

Elle aurait aussi signifié la fin du chiffrement. Permettre le scannage de fichiers, machines, correspondances, obligerait de ne pas chiffrer, et sécuriser, les documents pour être lus par l’IA.

Ce projet a soulevé des inquiétudes quant à sa conformité avec les lois européennes sur la vie privée. De plus, des questions ont émergé sur la précision du logiciel de détection : une grand-mère pourrait-elle être faussement identifiée en envoyant une simple photo de son petit-fils à la piscine ? En juillet 2023, environ 150 scientifiques ont exprimé leurs préoccupations concernant les implications de cette proposition sur la vie privée et la sécurité en ligne.

Suite à ces critiques, un groupe de parlementaires a introduit une alternative. Elle demande aux entreprises technologiques et plateformes en ligne d’adopter des mesures proactives, comme la vérification de l’âge des utilisateurs. Les comptes des mineurs sur des plateformes telles qu’Instagram ou YouTube seraient privés par défaut, empêchant ainsi les contacts non désirés. Sont-ils au courant que cela existe déjà ? En France, par exemple, la loi instaure une majorité numérique à 15 ans. Avant, les enfants ne peuvent pas s’inscrire sur les réseaux. La loi oblige les plateformes à mettre des solutions techniques de contrôle. Instagram interdit les inscriptions de personnes de moins de 13 ans. TikTok indique aussi 13 ans [14 ans au Quebec]. Selon le blog du modérateur, le top 3 des réseaux sociaux les plus utilisés par la Gen Z (11 / 14 ans) : Instagram : 90 % (+6 % par rapport à 2022), Snapchat : 80 % (+4 %), TikTok : 63 % (+53 % par rapport à 2020).

Contrairement à la proposition initiale, cette version ne mandate le scan des contenus que dans des circonstances spécifiques, basées sur des preuves fournies par les autorités policières. De plus, les scans ne seraient réalisés que sur des plateformes sans chiffrement, éliminant ainsi la nécessité de créer des « backdoors ».

Cette proposition révisée devrait être examinée par le Conseil de l’Europe et la Commission européenne avant un vote final. – Avec DataNews.

Cybersécurité, Securite informatique

Les appareils Huawei et Vivo considèrent l’application Google comme dangereuse

La guerre commerciale entre la Chine et les USA passe aussi dans les fausses alertes de piratage informatique !

Les appareils Huawei et Vivo considèrent dorénavant l’application Google comme un malware. Voilà la réponse des marques chinoises au blocage américain de ses technologies et l’interdiction d’utiliser les outils Google. Les utilisateurs ont découvert que d’étranges avertissements de menace de sécurité apparaissent sur les smartphones et tablettes Huawei, Honor et Vivo, les invitant à supprimer l’application Google. Les appareils signalent que l’application est reconnue comme un malware TrojanSMS-PA. Un faux positif, mais qui a fait son effet !

Ce problème est signalé en masse sur les forums d’assistance de Google, Reddit et les forums Huawei. L’alerte explique que l' »application a été observée envoyant des messages SMS à l’insu de l’utilisateur, attirant les utilisateurs avec du contenu payant pour adultes, téléchargeant/installant des applications à l’insu de l’utilisateur ou volant des informations sensibles, ce qui peut entraîner des dommages matériels et une fuite de données sensibles. Nous vous recommandons de le supprimer immédiatement ». A noter que l’éditeur de solutions de cybersécurité Avast a annoncé un bug de son service annonçant Google Quick Search Box comme un malware sur les smartphones Huawei, Vivo et Honor.

Du côté de Samsung, des utilisateurs d’appareils Samsung ont commencé à recevoir des avertissements de Google Play Protect dès plus inquiétants. Le service d’analyse des logiciels malveillants intégré aux appareils Android se méfie, depuis octobre, de certaines applications populaires, notamment Samsung Wallet et Samsung Messages. Comme le rapporte 9to5Google, les utilisateurs se sont plaints en masse sur le forum d’assistance de Google du fait que Play Protect signalait les applications du système Samsung comme « dangereuses ».

Pendant ce temps, en Russie, le ministère des communications et contrôle de l’Internet local [Roskomnadzor] a fait interdire dans les moteurs de recherche russes qu’apparaissent dans les résultats : Hetzner Online GmbH ; Network Solutions, LLC ; WPEngine, Inc. ; HostGator.com, LLC ; Ionos Inc. ; DreamHost, LLC ; Amazon Web Services, Inc. ; GoDaddy.com LLC ; Bluehost Inc. ; Kamatera Inc. ; DigitalOcean, LLC.

La loi russe [n° 236-FZ] oblige les hébergeurs étrangers dont les utilisateurs sont situés, y compris sur le territoire de la Fédération de Russie, à remplir les obligations locales. Les hébergeurs doivent créer un compte personnel sur le site Web de Roskomnadzor ; publier un formulaire de commentaires pour les citoyens et organisations russes ; créer un bureau de représentation autorisé en Russie.

Cybersécurité, VPN

Google Chrome masquera les véritables adresses IP des utilisateurs

Google se prépare à commencer à tester une nouvelle fonctionnalité de protection IP dans le navigateur Chrome. Cette solution devrait améliorer la confidentialité des utilisateurs en masquant leurs adresses IP à l’aide des propres serveurs proxy de Google.

Google prévoit de tester la protection IP entre la sortie de Chrome 119 et Chrome 225. Les développeurs expliquent que les adresses IP permettent aux sites et services en ligne de suivre les activités des utilisateurs et aident à créer des profils permanents de personnes.

Google affirme que cela pose de sérieux problèmes de confidentialité car, contrairement aux cookies tiers, il n’existe actuellement aucun moyen direct pour les utilisateurs de se désinscrire et d’éviter un tel suivi secret.

Dans le même temps, les adresses IP sont également utilisées pour exécuter des fonctions aussi critiques que le routage du trafic et la lutte contre la fraude. Les experts de Google sont convaincus que la protection IP n’interférera pas avec cela en dirigeant le trafic tiers de certains domaines via des serveurs proxy et en rendant les adresses IP des utilisateurs invisibles pour ces domaines particuliers.

À mesure que l’écosystème évolue, la protection IP devrait s’adapter pour protéger les utilisateurs du suivi inter-sites, et des domaines supplémentaires seront ajoutés au trafic proxy.

Ainsi, dans un premier temps, la protection des adresses IP sera effectuée à la demande de l’utilisateur, ce qui permettra aux personnes de contrôler leurs paramètres de confidentialité, et Google pourra suivre les tendances.

L’introduction de la nouvelle fonction se fera par étapes, en tenant compte des spécificités régionales. Dans un premier temps, la fonctionnalité ciblera uniquement des domaines spécifiques dans le contexte de tiers, ce qui permettra d’identifier ceux qui, selon les utilisateurs, les espionnent.

Au cours de la première phase, appelée « Phase 0 », Google ne proxy que les requêtes pour ses propres domaines à l’aide d’un serveur proxy propriétaire. Cela permettra à l’entreprise de tester l’infrastructure et donnera aux développeurs le temps de finaliser la liste des domaines. Parmi les domaines sur lesquels Google compte tester cette fonctionnalité figurent les plateformes de l’entreprise telles que Gmail et AdServices.

Pendant la phase 0, seuls les utilisateurs connectés à Google Chrome avec une adresse IP américaine pourront accéder aux serveurs proxy. Ces tests préliminaires seront menés sur un groupe sélectionné, automatiquement sélectionné, mais il est prévu que l’architecture et la conception du système changent au fur et à mesure des tests.

Cybersécurité, Justice, loi

Le Canada interdit les applications WeChat et Kaspersky sur les appareils du gouvernement

Le Canada a annoncé l’interdiction de l’utilisation des applications de Tencent et Kaspersky sur les appareils mobiles gouvernementaux. Invoqué, un niveau inacceptable de risque pour la vie privée et la sécurité du pays.

« Le gouvernement du Canada s’engage à assurer la sécurité des informations et des réseaux gouvernementaux« , a déclaré le porte parole du gouvernement canadien. « Nous surveillons régulièrement les menaces potentielles et prenons des mesures immédiates pour faire face aux risques. » Les derniéres mesures en date sont les interdictions de WeChat et des solutions informatiques de la société russe Kaspersky.

Depuis le 30 octobre, WeChat de Tencent et la suite d’applications de Kaspersky ont été supprimées des appareils mobiles émis par le gouvernement. À l’avenir, les utilisateurs de ces appareils ne pourront plus télécharger les applications montrées du doigt.

« Nous adoptons une approche de cybersécurité basée sur les risques en supprimant l’accès à ces applications sur les appareils mobiles du gouvernement« , a déclaré Anita Anand, présidente du Conseil du Trésor, dans un communiqué, ajoutant que les applications « offrent un accès considérable au contenu de l’appareil ».

Les logiciels russes et chinois dans la ligne de mire

Il est vrai qu’un antivirus connait la moindre information de votre ordinateur, le moindre de vos mails, et si vous n’y prenez pas garde enverra des échantillons à la société cachée derrière l’antivirus. Je vous invite a regarder les nombreuses options qui vont dans ce sens, rien que pour l’antivirus de Microsoft, installé dans tous les Windows 10 et 11 de la planète, automatiquement.

WeChat est une application chinoise de messagerie instantanée, de médias sociaux et de paiement mobile développée par Tencent. L’application tout-en-un compte plus d’un milliard d’utilisateurs actifs par mois, ce qui en fait l’une des plus grandes plateformes en ligne.

Kaspersky a déclaré que cette interdiction semble être fondée sur des motifs politiques et que les actions sont « très mal fondées et constituent une réponse au climat géopolitique plutôt qu’une évaluation globale de l’intégrité des produits et services de Kaspersky« .

Cette décision intervient après que le Canada a interdit TikTok, propriété du chinois ByteDance, des appareils gouvernementaux pour des motifs similaires en février 2023. Auparavant, en mars 2022, la Federal Communications Commission (FCC) des États-Unis avait ajouté Kaspersky à la « liste couverte » des entreprises qui présentent un « risque inacceptable pour la sécurité nationale » du pays.

Cybersécurité, Justice

L’affaire REvil devant un tribunal militaire

Des membres du groupe de ransomware REvil seront jugés par un tribunal militaire russe. Ils étaient militaires au moment des faits qu’ils leurs sont reprochés.

L’affaire des pirates informatiques du groupe russophone REvil ne cesse de faire des vagues. Pour rappel, REvil (Aka Sodinokibi) était un groupe de pirates informatiques spécialisés dans l’infiltration d’entreprise et le chantage numérique. Ils seront arrêtés en 2022, avec le soutien du FBI. Le conflit autour du procès REvil l’a vu passer du tribunal militaire au tribunal civil, puis revenir devant les instances militaires.

Parmi les membres de REvil arrêtés et détenus dans les casernes russes figurent un officier du service militaire, Artem Zayets. Il aurait lancé des cyber attaques alors qu’il servait dans l’armée.

Le sac de nœuds judiciaires lié à cette affaire fait rebondir le dossier de manière assez intéressante. D’abord, au mois d’août 2023, la justice refuse que l’affaire soit portée devant un tribunal militaire. L’affaire REvil va ensuite être renvoyée au bureau du procureur général car elle violait la règle de compétence en matière d’enquête. Voici que maintenant, retour à la case départ. Bilan, c’est le tribunal militaire de la garnison de Saint-Pétersbourg qui va se charger de juger tout ce petit monde.

Argent saisi par le FSB

Alors aidé à l’époque par les informations fournies par le FBI, le FSB a perquisitionné 25 domiciles afin d’arrêter 14 personnes soupçonnées d’avoir participé aux opérations du ransomware-as-a-service REvil. Huit vont comparaitre devant le tribunal. Parmi les membres de REvil arrêtés figuraient l’adjudant supérieur de réserve Artem Zaets, Alexey Malozemov, Andrey Bessonov, Mikhail Golovachuk, Roman Muromsky, Dmitry Korotaev, Daniil Puzyrevsky et Ruslan Khansvyarov.

Tous sont accusés d’être, non pas des instigateurs des cyberattaques, mais d’être des mules et d’avoir permis de blanchir l’argent des rançons. Outre la découverte monétaire, les autorités russes ont également confisqué 20 voitures de luxe que les membres de REvil ont achetées avec l’argent obtenu grâce à des attaques de ransomware.

Les membres du ransomware REvil n’ont pas été extradés vers les États-Unis, et ne sont pas prêts de connaitre les prisons de l’Oncle Sam.

Cybersécurité, Justice, loi, Securite informatique

Ransomware : partage d’informations et suivi des paiements

Une coalition mondiale de dirigeants gouvernementaux en matière de cybersécurité annoncent des efforts visant à renforcer le partage d’informations sur les menaces numériques et à s’attaquer aux paiements en cryptomonnaies des chantages numériques.

Lors de sa réunion à Washington, la Maison Blanche a décidé de mettre les bouchées doubles à l’encontre des rançongiciels et maîtres-chanteurs adeptes de ransomware. L’administration Biden a accueilli des responsables de 47 pays pour son Initiative internationale de lutte contre les ransomwares –  (International Counter Ransomware Initiative – CRI), au cours de laquelle les participants ont dévoilé un certain nombre d’actions.

La Maison Blanche a exhorté, ce 31 octobre, les gouvernements participants à prendre un engagement politique commun annonçant qu’ils ne paieraient pas de rançon aux cybercriminels. « Nous n’en sommes pas encore là, avec 50 pays, ce sera de la haute voltige« , a déclaré Anne Neuberger, conseillère adjointe à la sécurité nationale pour la cybersécurité et les technologies émergentes. Bref, une posture politique déjà prise en octobre 2021.

International Counter Ransomware Initiative

De son côté, le Conseil de sécurité nationale des États-Unis (NSC) exhorte les gouvernements de tous les pays participant à l’Initiative internationale de lutte contre les ransomwares (CRI) à publier une déclaration commune annonçant qu’ils ne paieront pas de rançon aux cybercriminels. La France, via l’ANSSI, l’Agence Nationale de Sécurité des Systèmes d’Information, a été l’une des premiéres structures à rappeler ce fait : ne payez pas !

Il faut dire aussi qu’il n’existe pas de norme mondiale sur la question suivante : Le paiement d’une rançon doit-il être effectué lors d’une cyberattaque ? Une plateforme de partage d’informations doit être mise en place « où les pays pourront s’engager à partager rapidement des informations après un incident majeur ». Une plate-forme gérée par les Émirats arabes unis.

L’argent des pirates, le nerfs de la guerre !

Les américains non jamais partagé auparavant des portefeuilles pirates, ni d’informations concernant les portefeuilles de la blockchain qui déplacent des fonds illicites liés aux ransomwares. D’ici peu, ces données seraient partagées avec les départements du Trésor du monde entier.

Le CRI a été lancé en 2021 avec 31 membres Australie, Brésil, Bulgarie, Canada, République tchèque, République dominicaine, Estonie, Union européenne, France, Allemagne, Inde, Irlande, Israël, Italie, Japon, Kenya, Lituanie, Mexique, Pays-Bas, Nouvelle-Zélande, Nigéria, Pologne, République de Corée, Roumanie, Singapour, Afrique du Sud, Suède, Suisse, Ukraine, Émirats arabes unis, Royaume-Uni et États-Unis) et en a ajouté d’autres à mesure que les ransomware gagnaient du terrain, comme le gouvernement du Costa Rica.

Le pays avait été paralysé après avoir refusé de payer une rançon de 20 millions de dollars aux pirates du groupe CONTI, le 16 avril 2022. L’expérience du Costa Rica montre que la politique peut également jouer un rôle dans la décision d’un gouvernement. Lors d’une comparution au Centre d’études stratégiques et internationales (CSIS) à la fin du mois de septembre, le président costaricien Rodrigo Chaves a déclaré que même si le paiement d’une rançon aurait nécessité une législation, il ne l’aurait pas fait même s’il en avait eu la possibilité.

A noter que cette demande de ne pas payer ne concerne que les Pays. Les paiements de rançons améliorent non seulement les capacités des groupes de cybercriminalité, mais qu’ils peuvent également financer d’autres actions malveillantes ou des Etats-nation aux intérêts criminels et/ou terroristes. Bien qu’aucun gouvernement national n’ait publiquement reconnu avoir payé une rançon, rien n’empêche de penser que certains ont payé le silence des pirates, comme ont pu le faire des milliers d’entreprises privées de part le monde.

Cybersécurité, Securite informatique

Kopeechka : le site web qui permet d’ouvrir des milliers de comptes réseaux sociaux

Un outil web russe inonde les réseaux sociaux de robots permettant, dans certains cas, d’orchestrer des vagues de fakes news.

Des cybercriminels peu qualifiés utilisent un nouvel outil pour créer des centaines de faux comptes de réseaux sociaux en quelques secondes seulement, ont découvert des chercheurs de chez Trend Micro. Appelé Kopeechka (« penny » en russe), le service permet de contourner deux obstacles principaux pour quelqu’un qui tente de créer un faux compte : la vérification par courrier électronique et par téléphone.

J’avoue être très étonné, le site Kopeechka existe depuis plusieurs années [2019] et il est légal. Il affiche être une solution prête à l’emploi pour l’achat groupé de comptes de messagerie sans nécessiter de maintenance supplémentaire de ces comptes. Mais, comme d’habitude, des pirates et autres malveillants ont trouvé le moyen de détourner le service.

Bref, les cyber criminels peuvent utiliser Kopeechka pour mener des campagnes de désinformation, de spam et de promotion de logiciels malveillants. Il semble que ce service a été utilisé pour enregistrer en masse des comptes sur la plateforme de médias sociaux Mastodon afin de mener des campagnes de spam à grande échelle promouvant des plateformes d’investissement frauduleuses en crypto-monnaie.

Une lutte contre les faux comptes

Les géants des médias sociaux comme Instagram, Facebook et X (anciennement Twitter) s’efforcent depuis longtemps de minimiser l’enregistrement massif de faux comptes, également appelés robots, car ils sont souvent utilisés par les pirates informatiques dans leurs activités illégales. Les mesures anti-bot de base, comme la validation de l’adresse e-mail et du numéro de téléphone, l’utilisation d’adresses IP non suspectes et le CAPTCHA (un puzzle sur un site Web conçu pour confirmer qu’il est utilisé par une personne réelle plutôt que par un programme informatique), sont dissuasives.

Les cybercriminels peuvent contourner les CAPTCHA et les contrôles de réputation des adresses IP à l’aide de scripts automatisés, mais obtenir des adresses électroniques et des numéros de téléphone uniques peut s’avérer plus difficile. C’est alors qu’ils se tournent vers des services comme Kopeechka. En plus des principales plateformes de médias sociaux comme Facebook et X, les cybercriminels ont utilisé l’API de Kopeechka pour enregistrer des comptes sur Discord ou encore Telegram.

Un détournement malveillant voulu ?

Des chercheurs de Trend Micro ont également découvert un script Python via Kopeechka qui pourrait être utilisé pour créer des comptes sur Virus Total, un service en ligne qui analyse les fichiers informatiques à la recherche de virus, ce qui implique que certains utilisateurs pourraient enregistrer ces comptes pour tester la détection de leurs logiciels malveillants. Kopeechka permet aux utilisateurs d’accéder aux courriels reçus des plateformes de médias sociaux. Il ne cède pas lui-même le compte de boîte aux lettres, car il est contrôlé par Kopeechka et non par un utilisateur tiers.

Kopeechka dispose de plusieurs comptes de messagerie en stock, notamment avec Hotmail, Outlook ou encore Gmail. L’outil étant russe, Mail.ru fait parti du râtelier du service. Il permet d’utiliser une seule adresse pour plusieurs inscriptions sur différentes plateformes de médias sociaux. Les chercheurs soupçonnent que ces adresses sont soit compromises, soit créées par les acteurs de Kopeechka eux-mêmes.

Pour vérifier les numéros de téléphone des utilisateurs lors de l’enregistrement du compte, Kopeechka offre l’accès à 16 services SMS en ligne différents, provenant pour la plupart de Russie. Le blog ZATAZ a montré, il y a deux ans, dans son espace OSINT, différents sites web permettant de recevoir des SMS, sans être obligé de fournir un numéro de téléphone officiel ou enregistré.

Il faut compter moins de 0.0020$ par message. Deux adresse en .fr sont disponibles : outlook.fr et gmx.fr.

Cybersécurité, Securite informatique

Review Checker, l’application qui detecte les faux commentaires

Une version bêta d’une extension baptisée Review Checker a été publiée pour le navigateur Mozilla Firefox. Elle détecte les fausses critiques de produits.

La fonction « Review Checker » examine tous les avis sur la page, raye ceux que les algorithmes déterminent comme étant faux en fonction de la formulation typique et de la similitude avec d’autres commentaires, puis calcule la note ajustée du produit.

L’extension est actuellement testée auprès d’une petite partie d’utilisateurs américains sur trois plateformes d’achat : Amazon, BestBuy et Walmart. La version 119 de Firefox introduit Review Checker. La sortie officielle devrait avoir lieu en novembre 2023 , mais il n’est pas clair si à l’avenir la fonction prendra en charge des marchés nationaux ou ne se contentera d’entreprises partenaires.

Propulsée par Fakespot de Mozilla, cette fonctionnalité évalue la qualité des avis sur les produits en vous aidant à savoir si les avis proviennent probablement de vrais clients ou s’ils proviennent d’évaluateurs biaisés ou rémunérés. Review Checker utilise la technologie d’IA pour analyser les avis sur Amazon, Best Buy et Walmart.

Il attribue aux avis de chaque produit une note alphabétique, allant de A à F, indiquant leur fiabilité.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile