Archives par mot-clé : cryptomonnaie

Bitcoin, Cybersécurité, Entreprise

Enlèvement et libération du cofondateur de Ledger

David Balland, cofondateur de l’entreprise de cryptomonnaies Ledger, a été enlevé le 21 janvier à son domicile dans le Cher. Une mobilisation massive des forces de l’ordre a permis de libérer l’entrepreneur et sa compagne rapidement. Quinze jours plus tôt, son associé expliquait sur Youtube comment il se protégeait !

Le mardi 21 janvier, au petit matin, des individus armés ont fait irruption au domicile de David Balland et de sa compagne, à Vierzon. Les victimes ont été séparées et emmenées dans des lieux différents. Une rançon en cryptomonnaies a été réclamée à un autre cofondateur de Ledger, ce qui a alerté les autorités.

Une intervention rapide et efficace

Le mercredi 22 janvier, grâce à une première interpellation et aux enquêtes menées par les gendarmes, le lieu de séquestration de David Balland a été identifié à Châteauroux. Une opération du GIGN a permis de libérer l’entrepreneur sans effusion de sang. Cependant, celui-ci présentait des blessures graves à la main, nécessitant une hospitalisation immédiate.

La libération de la compagne

Dans la nuit suivante, les enquêteurs ont localisé la compagne de David Balland, ligotée dans un véhicule à Étampes, dans l’Essonne. Libérée sans blessure physique, elle a été prise en charge pour un suivi psychologique.

Un réseau criminel rapidement identifié

Des interpellations en série

Dix individus, âgés de 20 à 40 ans, ont été interpellés. Parmi eux, neuf hommes et une femme, pour la plupart connus des services de police. Les enquêtes ont révélé une organisation criminelle structurée, qui avait planifié chaque étape de l’enlèvement. Les ravisseurs avaient choisi d’utiliser les cryptomonnaies pour tenter de dissimuler les traces de la rançon. « La gendarmerie nationale a été saisie dans son ensemble, de la section de recherches de Bourges à l’Unité nationale Cyber. Son travail a permis la libération de David Balland le 22 janvier, celui-ci ayant été pris en charge par les secours et devant faire l’objet de soins. » comme le stipule le communiqué de presse du Parquet de Paris JUNALCO.

La traçabilité des cryptomonnaies

Grâce à la technologie blockchain, une partie des fonds réclamés a été localisée, gelée, puis saisie. Cet épisode met en avant à la fois les avantages et les limites des cryptomonnaies dans de telles situations. « les malfaiteurs ont […] réclamé le paiement d’une importante rançon en cryptomonnaie.« 

Une enquête toujours en cours

Une information judiciaire a été ouverte pour enlèvement et séquestration en bande organisée avec actes de torture et extorsion sous menace d’armes. L’enquête, supervisée par la Juridiction nationale de lutte contre la criminalité organisée (Junalco), se poursuit pour démanteler entièrement ce réseau. Les personnes arrêtées, s’ils sont reconnus coupables encourent « la réclusion criminelle a perpétuité.« 

Le rôle prévisible des cryptomonnaies

Une cible de choix pour les criminels

L’utilisation des cryptomonnaies dans cette affaire illustre une nouvelle tendance dans les activités criminelles. Ledger, entreprise spécialisée dans la sécurité des actifs numériques, gère des millions d’euros en cryptomonnaies, ce qui en fait une cible de choix.

Un avertissement qui prend tout son sens

En janvier, Eric Larchevêque, cofondateur de Ledger, avait publié une vidéo sur les précautions à prendre pour protéger l’entreprise et ses collaborateurs. Ironiquement, quelques semaines plus tard, David Balland a été kidnappé, confirmant que ces risques sont réels et imminents.

Cette affaire met en lumière l’importance des mesures de protection dans un secteur où les cyberattaques et les risques physiques sont en augmentation, sans parler de ce que vous montrez ou racontez sur Internet. « La vigilance de la presse est à saluer dans cette affaire, nombreux media ayant été attentifs à ne pas divulguer trop tôt d’informations risquant de mettre en danger la vie humaine.« 

Banque, Bitcoin

Au cours des cinq dernières années, 100 milliards de dollars de cryptomonnaies illicites ont transité

Depuis 2019, les échanges de cryptomonnaies ont reçu au moins 100 milliards de dollars provenant d’adresses liées à des activités illégales.

La conclusion à laquelle sont parvenus les chercheurs de la société Chainalysis, a de quoi laisser pantois. Ils ont découvert que les sites dédiés aux échanges de cryptomonnaies ont reçu au moins 100 milliards de dollars provenant d’adresses liées à des activités illégales. Un tiers de ce montant s’est retrouvé sur des plateformes faisant l’objet de sanctions internationales, y compris Garantex.

Garantex est une plateforme d’échange de cryptomonnaies fondée en 2019 et initialement enregistrée en Estonie. Elle permet le trading de diverses cryptomonnaies, y compris Bitcoin, Ether, et des stablecoins comme USDT et USDC. La plateforme offre aux utilisateurs la possibilité d’acheter et de vendre des actifs numériques en utilisant des devises fiduciaires telles que les roubles, les dollars et les euros, avec des services comme des plateformes P2P et des options de dépôt/retrait en espèces sans commission​.

Cependant, Garantex a été impliqué dans des controverses importantes et des problèmes juridiques. En avril 2022, l’Office of Foreign Assets Control (OFAC) du département du Trésor des États-Unis a sanctionné Garantex pour ses liens avec des activités illicites, notamment la facilitation d’opérations de blanchiment d’argent pour le blackmarket Hydra (aujourd’hui fermé), le plus grand marché darknet mondial de biens et services illégaux. Hydra était connu pour ses opérations étendues dans la cybercriminalité, le trafic de drogue et d’autres activités illicites, utilisant souvent des cryptomonnaies pour les transactions​.

Les sanctions contre Garantex faisaient partie d’un effort plus large visant à perturber les réseaux de cybercriminalité et de financement illicite opérant depuis la Russie. La plateforme d’échange a été accusée de permettre des transactions pour des groupes de ransomware et d’autres entités criminelles, avec plus de 100 millions de dollars de transactions liées à des activités illicites. Cela incluait des fonds provenant d’opérations de ransomware et de marchés darknet comme Hydra​.

Selon les chercheurs, ce chiffre témoigne d’un manque de coopération internationale dans la lutte contre le blanchiment d’argent. Chainalysis a également souligné que ces données pourraient ne représenter que la partie émergée de l’iceberg, car elles incluent uniquement les sommes totales transférées de sources illégales vers des services d’échange de cryptomonnaies. Le volume des transactions entre intermédiaires ne peut pas être calculé. L’entreprise affirme qu’une part significative de l’argent sale est désormais stockée et transférée non pas en cryptomonnaies traditionnelles comme le Bitcoin ou l’Ethereum, mais en stablecoins. Ces derniers représentent la majorité du volume total des transactions illégales. Les stablecoins sont devenus le moyen privilégié pour ces transactions illicites, malgré la capacité des émetteurs à geler les fonds, comme l’a fait Tether avec environ 1,5 milliard de dollars d’USDT.

L’année 2022 a enregistré le montant le plus élevé, avec 30 milliards de dollars de cryptomonnaies illicites.

Bitcoin, Cybersécurité, Justice

L’ONU désigne le stablecoin USDT comme principal outil de blanchiment d’argent en Asie

L’ONU pointe du doigt un « système bancaire parallèle » pour les criminels avec l’utilisation du stablecoin USDT Tether.

Les stablecoins émis par Tether, une société de cryptomonnaie, sont devenus un outil de choix pour les blanchisseurs d’argent et les fraudeurs opérant en Asie du Sud-Est, selon un rapport de l’Office des Nations Unies contre la drogue et le crime, cité par le Financial Times. Parmi ces stablecoins, le dollar USDT de Tether se détache comme le favori des criminels, devenant ainsi le troisième actif crypto en capitalisation, avec une valeur d’environ 95 milliards de dollars, derrière Bitcoin et Ethereum.

Le rapport met en lumière l’utilisation active du jeton Tether dans diverses formes de fraude, y compris les schémas de « pig butchering », où les criminels gagnent la confiance de leurs victimes sous prétexte d’une relation romantique pour les inciter à effectuer des transferts de fonds importants.

Ces dernières années, les forces de l’ordre et les agences de renseignement financier ont signalé une augmentation rapide de l’utilisation de schémas de blanchiment d’argent complexes et à grande vitesse, en particulier par des groupes spécialisés dans les transferts clandestins en jetons Tether, révèle le rapport.

Crypto-actifs

Les crypto-actifs ont également stimulé une pratique populaire parmi les groupes criminels organisés d’Asie du Sud-Est, qui utilisent des casinos en ligne illégaux pour blanchir des fonds illicites. Le rapport indique que les plateformes de jeux en ligne, en particulier celles opérant illégalement, sont devenues l’une des méthodes les plus populaires de blanchiment d’argent avec des cryptomonnaies, en mettant particulièrement l’accent sur l’utilisation de Tether.

Jeremy Douglas de l’Office des Nations Unies contre la drogue et le crime a souligné que les groupes criminels organisés ont réussi à créer un système bancaire parallèle en exploitant de nouvelles technologies. La prolifération des casinos en ligne non réglementés, combinée à l’utilisation de cryptomonnaies comme Tether, a renforcé l’écosystème criminel en Asie du Sud-Est.

Le rapport de l’ONU mentionne que ces dernières années, les autorités ont réussi à démanteler plusieurs réseaux de blanchiment d’argent impliqués dans le transfert de fonds illégaux en jetons Tether. Par exemple, en août dernier, les autorités de Singapour ont saisi 737 millions de dollars en espèces et en cryptomonnaies dans le cadre d’une opération de démantèlement. En novembre dernier, Tether a également gelé ses jetons d’une valeur de 225 millions de dollars, suite à une enquête conjointe avec les autorités américaines et la bourse de cryptomonnaies OKX. Ces actifs étaient liés à un syndicat impliqué dans la fraude et la traite des êtres humains en Asie du Sud-Est.

Tether, qu’est-ce que c’est ?

Les stablecoins de Tether, souvent simplement appelés « Tether » ou « USDT » (pour le jeton lié au dollar américain), sont une forme de cryptomonnaie conçue pour maintenir une valeur stable en étant adossée à des réserves d’actifs réels, tels que des devises fiduciaires (comme le dollar américain), de l’or ou d’autres actifs. Ces stablecoins sont émis par une société appelée Tether Limited.

La principale caractéristique des stablecoins, comme le Tether, est de fournir une stabilité de valeur par rapport aux cryptomonnaies plus volatiles telles que le Bitcoin ou l’Ethereum. Par exemple, un jeton Tether lié au dollar américain devrait toujours valoir environ 1 dollar américain.

Le fonctionnement des stablecoins Tether repose sur le principe de la garantie. La société Tether Limited prétend détenir une réserve équivalente de devises fiduciaires (par exemple, des dollars américains) dans des comptes bancaires pour chaque unité de stablecoin Tether en circulation. Cette réserve est censée garantir que chaque jeton Tether peut être échangé contre la devise fiduciaire correspondante à tout moment, ce qui maintient sa stabilité de valeur.

Les stablecoins Tether sont utilisés dans le monde entier pour diverses transactions et activités liées à la cryptomonnaie en raison de leur stabilité. Ils sont notamment utilisés comme une forme de monnaie stable dans le monde des cryptomonnaies, permettant aux investisseurs et aux traders de passer rapidement d’une position volatile à une position stable en utilisant des jetons Tether comme une sorte de refuge.

Cependant, il est important de noter que les stablecoins Tether ont fait l’objet de controverses et de préoccupations concernant leur transparence et la véritable ampleur des réserves sous-jacentes. Certains ont remis en question la capacité de Tether Limited à maintenir ces réserves à 100 % et à fournir une preuve adéquate de leurs actifs sous-jacents. Ces inquiétudes ont suscité des enquêtes réglementaires et des débats au sein de la communauté des cryptomonnaies.

Banque, Cybersécurité

Forge, filiale de Société Générale, obtient la licence de DASP

La filiale de la Société Générale, Forge, a obtenu une licence de fournisseur de services d’actifs numériques (DASP) de la part de l’Autorité des marchés financiers (AMF). L’obtention de cette licence place Forge en position avantageuse sur le marché des crypto-monnaies, offrant ainsi une nouvelle dimension à l’activité du conglomérat.

La licence permet à Forge de mener plusieurs activités essentielles sur le marché des crypto-monnaies, y compris la négociation, la détention, l’échange, la vente et l’achat de crypto-monnaies comme monnaie légale. L’approbation de cette nouvelle activité par l’AMF est une nouvelle majeure, non seulement pour Forge mais aussi pour ses clients institutionnels.

En effet, l’annonce de cette approbation arrive à un moment particulièrement opportun. Forge est en effet un acteur majeur dans le lancement d’un stablecoin Ethereum régulé et basé sur l’euro qui a vu le jour en avril 2023. Cette approbation par l’AMF est un jalon important dans le parcours de cette initiative.

Depuis l’introduction de nouvelles réglementations sur l’octroi de licences et l’enregistrement des entreprises de crypto-monnaie par les autorités françaises en mars 2023, 87 organisations se sont enregistrées auprès de l’AMF. Parmi ces organisations figurent des filiales de poids lourds de l’industrie tels que Binance, Bitstamp, Luno et Bitpanda. Forge est le premier à obtenir une licence de DASP.

Ces nouvelles règles, plus souples que celles précédemment proposées, établissent néanmoins des normes réglementaires plus élevées pour les fournisseurs de services cryptographiques. Par exemple, les entreprises sont tenues de fournir des informations claires sur les risques et de mettre en place une politique sur les conflits d’intérêts. Les entreprises déjà agréées par l’AMF pourront continuer à opérer jusqu’à la fin de la période de transition prévue jusqu’en 2026.

Il est important de rappeler qu’en décembre 2022, la Commission européenne a annoncé son intention d’obliger les fournisseurs d’actifs virtuels à transférer les données des clients aux autorités fiscales locales. Par ailleurs, en avril, l’AMF a commencé à accélérer l’examen des demandes des entreprises de cryptographie pour se conformer aux nouvelles règles paneuropéennes prévues par la loi MiCA.

Enfin, il convient de noter que d’autres acteurs importants du secteur ont également déposé une demande de statut DASP auprès de l’AMF. C’est le cas de Circle, co-émetteur de l’USDC, en mars, et de la bourse OKX en mai. La route vers une régulation accrue et une adoption plus large des crypto-monnaies est donc clairement en marche.

Bitcoin, Cybersécurité

Les arnaques aux cryptomonnaies s’appuient sur la popularité d’Elon Musk et de YouTube

Selon une nouvelle étude publiée, les escrocs exploitent de plus en plus YouTube pour cibler les utilisateurs peu méfiants qui consultent les vidéos consacrées aux cryptomonnaies diffusées sur la plateforme. 

D’après cette étude, les escrocs sont en passe de dépouiller les utilisateurs de YouTube de près d’un million de dollars en achetant des espaces publicitaires sur les vidéos de cryptomonnaies diffusées sur YouTube, afin de promouvoir une fausse monnaie SpaceX dont ils prétendent, à tort, qu’elle a été créée par Elon Musk.

Cette campagne fait suite à une arnaque antérieure dans laquelle des cybercriminels avaient compromis des comptes Twitter et YouTube pour promouvoir une série de fraudes aux cryptomonnaies en prévision du passage d’Elon Musk, fondateur de Tesla et de SpaceX, à l’émission « Saturday Night Live ». Les escrocs ont ainsi dérobé plus de 10 millions de dollars en Bitcoins, en Ethereums et en Dogecoins. 

Satnam Narang, Principal Research Engineer, pour la société Tenable, estime que ces arnaques témoignent de la manière dont les media sociaux, et YouTube en particulier, sont de plus en plus utilisés par les escrocs pour perpétuer la fraude liée aux cryptomonnaies.

 «  Ces stratagèmes d’enrichissement rapide dans le monde des cryptomonnaies existent depuis 2017 et ne sont pas près de disparaître. La seule chose qui a changé, ce sont les tactiques employées par les escrocs pour amasser rapidement de l’argent. Les utilisateurs devraient donc se méfier des campagnes qui promettent des gains démesurés. Si c’est trop beau pour être vrai, il y a forcément anguille sous roche. « 

Les escrocs ne reculent devant aucune occasion pour créer de nouvelles monnaies et en faire la promotion sur les media sociaux ou, dans le cas présent, au travers de publicités sur YouTube. L’essor des protocoles de finance décentralisée (DeFi) et des échanges comme Uniswap a offert aux escrocs un nouveau moyen de dérober de l’argent à des utilisateurs peu méfiants, sans possibilité de le récupérer. La plupart des fraudes que j’ai pu observer ont tendance à se produire sur la blockchain d’Ethereum et sur la Smart Chain de Binance, qui est basée sur la blockchain d’Ethereum.

 Si les utilisateurs tombent dans le piège d’une arnaque aux cryptomonnaies, les chances qu’ils puissent récupérer leurs fonds sont très faibles, car il n’existe aucune autorité centralisée, telle qu’une banque, en mesure d’annuler les transactions. En raison du caractère décentralisé des cryptomonnaies, qui les distingue de la finance traditionnelle, il est d’autant plus important que les utilisateurs prennent les précautions nécessaires pour éviter d’être victimes d’arnaques aux cryptomonnaies.

Argent, Cybersécurité, Social engineering

Tentative de piratage CoinHouse

Des pirates informatiques ont tenté de piéger les clients du site spécialisé dans les cryptomonnaie CoinHouse. Mais comment les pirates ont-ils eu les mails utilisés dans leur tentative de fraude ?

Jeudi 12 septembre, 20 heures. La société CoinHouse alerte ses clients d’une tentative de fraude. Une cyber attaque aux couleurs de ce spécialise des cryptomonnaie prenant la forme d’un phishing. « Vous avez pu recevoir un mail ayant pour objet  »Action requise: vérifiez vos données », avec un message en anglais vous invitant à cliquer sur un bouton  »Verify ». » explique CoinHouse dans son courriel d’alerte. « Ce message a été envoyé par des pirates informatiques pour vous rediriger vers un faux site : app.colnhouse.com et ainsi récupérer vos identifiants. »

L’attaque a débuté quelques heures auparavant. Un courriel signe coinhouse.com comme le montre la capture écran de Data Security Breach. « In order to continue using our services, please verify our submitted data and documents. It will not take more than 3 mintues to complete the verifying steps, once you finish, please proceed by pressing save button. » annonçait l’arnaque.

La page pirate recupérait les identifiants de connexion.

Infiltration, exfiltration

Fait intéressant : si les hameçonnages sont très fréquents, l’histoire ne dit pas comment les pirates ont eu accès aux adresses électroniques. Plusieurs lecteurs de Data Security Breach, dont votre serviteur, exploitent une adresse dédiée à ce service ! A noter que ce courriel usurpateur a été envoyé via l’outil bmail exploité en interne par CoinHouse.

Les pirates avaient parfaitement organisés leur action. En plus du courriel et de sa méthode de diffusion, ils avaient enregistré le domaine https://app.colnhouse.com. Un typosquatting. Le i de CoinHouse remplacé par un L minuscule : app.colnhouse.com

cryptomonnaie, Fuite de données

Centrale nucléaire : fabrique pirate de cryptomonnaie

Les services secrets ukrainiens viennent de mettre la main sur du matériel pirate dans la seconde centrale nucléaire du pays. Quelqu’un minait de la cryptomonnaie.

Ce n’est pas un cas unique, la Russie et de nombreuses universités ont déjà eu à faire à ce genre d’infiltration. La seconde centrale nucléaire d’Ukraine était exploitée par un pirate pas comme les autres. Les services secrets du pays ont découvert du matériel permettant de miner des cryptomonnaies. L’usine, située à Yuzhnoukrainsk, hébergeait six cartes vidéo Radeon RX 470.

Du matos caché dans une aile administrative. Elle n’était pas en lien direct avec la centrale. Le fait d’utiliser les ressources de la société est un délit.

Le même jour, des perquisitions effectuées dans les locaux utilisés par l’unité militaire 3044 (Garde nationale de l’Ukraine – Éd.), Située sur le territoire de la centrale nucléaire du sud de l’Ukraine. À la suite de la recherche, 16 cartes vidéo, une unité centrale avec le numéro d’inventaire de l’unité militaire, sept disques durs, deux disques SSD, un lecteur flash USB et un routeur saisis .

De fuites…

2017, les activistes du mouvement éclair mobilisateur #fuckresponsibledisclosure initié par l’Ukernian Cyber ​​Alliance constatent des problèmes de sécurité chez Energoatom.

Décembre 2017, l’hacktiviste Dmitry Orlov signale une fuite de données à la centrale nucléaire de Zaporizhzhya. Accès libre à la documentation interne.

Octobre 2018, Alexander Galouchtchenko, expert en sécurité, découvre des documents liés aux travaux de la centrale nucléaire.

19 mars 2019, la police ouvre une procédure pénale pour un cas d’ingérence dans le fonctionnement du réseau de la centrale. Trois employés du département de la sécurité nucléaire impliqués.

Et demain ?

En 2015, Data Security Breach vous expliquait comment des chercheurs s’inquiétaient des installations. De plus et plus dépendantes des systèmes numériques. la sensibilisation de haut niveau des menaces liées à la cybersécurité stagne. « Les récentes attaques de grande envergure ont soulevé de nouvelles inquiétudes concernant les failles de sécurité des cyber d’installations nucléaires », commentait le rapport.

Hacking

4 entreprises sur 10 touchées par de l’extraction pirate de cryptomonnaie

37 % des entreprises ont été touchées par des attaques d’extraction de cryptomonnaie au cours de l’année écoulée, selon le Rapport Sécurité 2019 de Check Point. Le nouveau rapport précise que 20 % des entreprises dans le monde continuent d’être victimes d’attaques d’extraction de cryptomonnaie chaque semaine. 33 % des entreprises ont été touchées par des logiciels malveillants mobiles et 4 % par des logiciels rançonneurs au cours des 12 derniers mois

 

La société Check Point Software Technologies Ltd., un fournisseurs de solutions de cybersécurité, vient de publier la première partie de son Rapport Sécurité 2019. Le rapport met en évidence les principales tactiques utilisées par les cybercriminels pour attaquer des entreprises dans le monde entier et dans tous les secteurs. Il fournit aux professionnels de la cybersécurité et aux cadres dirigeants les informations nécessaires pour protéger leur entreprise des cyberattaques et menaces de cinquième génération.

La première partie du Rapport Sécurité 2019 révèle les principales tendances et techniques des logiciels malveillants observées par les chercheurs de Check Point au cours de l’année précédente.

  • Les extracteurs de cryptomonnaie ont dominé le paysage des logiciels malveillants : Les extracteurs de cryptomonnaie étaient les quatre principaux types de logiciels malveillants qui ont touché 37 % des entreprises dans le monde en 2018. Malgré la baisse de la valeur de toutes les cryptomonnaies, 20 % des entreprises continuent d’être victimes d’attaques d’extracteurs de cryptomonnaie chaque semaine. Les extracteurs de cryptomonnaie ont également récemment évolué pour exploiter des vulnérabilités et contourner les bacs à sable et les produits de sécurité afin d’améliorer leurs taux d’infection.

Les mobiles, en tête de ligne

  • Les mobiles sont une cible mouvante : 33 % des entreprises dans le monde ont été touchées par des logiciels malveillants mobiles, et les trois principaux types de logiciels malveillants ciblaient le système d’exploitation Android. En 2018, des logiciels malveillants mobiles ont été préinstallés dans des appareils, et des applications disponibles dans les boutiques d’applications étaient en réalité des logiciels malveillants déguisés.

 

  • Des botnets multifonctions lancent différents types d’attaques : Les bots sont le troisième type de logiciel malveillant le plus répandu, avec 18 % des entreprises touchées par des bots, qui sont utilisés pour lancer des attaques DDoS et propager d’autres logiciels malveillants. Les infections de bots ont joué un rôle déterminant auprès de la moitié (49 %) des entreprises touchées par des attaques DDoS en 2018.

 

  • Déclin des attaques de logiciels rançonneurs : En 2018, l’utilisation des logiciels rançonneurs a fortement chuté, touchant à peine 4 % des entreprises dans le monde.

 

« Entre la montée en puissance des extracteurs de cryptomonnaie, les fuites massives de données et les attaques DDoS, les perturbations causées aux entreprises n’ont pas manqué au cours de l’année précédente. Les pirates disposent d’un large éventail d’options pour cibler des entreprises de tous les secteurs et en extraire des revenus. La première partie du Rapport Sécurité 2019 met en évidence les approches de plus en plus furtives qu’ils utilisent actuellement, » déclare Peter Alexander, directeur marketing chez Check Point Software Technologies. « Ces attaques de 5e génération, multivecteurs, rapides et à grande échelle, sont de plus en plus fréquentes. Les entreprises doivent adopter une stratégie de cybersécurité multicouche pour empêcher ces attaques de s’introduire dans leurs réseaux et dérober leurs données. Le Rapport Sécurité 2019 fournit des connaissances, des renseignements et des recommandations pour stopper ces attaques. »

Banque, Bitcoin, Communiqué de presse, Cybersécurité, Securite informatique, Social engineering

Le minage de crypto-monnaies pirate dépasse les ransomwares

L’usage des ransomware a drastiquement chuté au profit du minage de crypto-monnaies. Pendant les trois premiers trimestres de l’année 2018, 5 millions d’utilisateurs ont été attaqués en ligne, par des mineurs de cryptomonnaie, contre 2,7 millions en 2017.  Les infections sont dues, en grande majorité, au téléchargement et à l’installation de logiciels sans licence, ce qui implique un ciblage des victimes plutôt orienté vers le grand public.

Le principe même de la criminalité, qu’il s’agisse du cyber ou du physique, repose sur l’appât du gain, la possibilité de gagner beaucoup d’argent, en très peu de temps. Pendant plusieurs années, le prix des crypto monnaies a été très élevé. Aujourd’hui, les cours sont fluctuants, voire  en chute libre depuis quelques semaines. Très vite, le minage de crypto monnaies ne sera plus rentable car les gains ne couvriront plus les investissements en temps. Ce sera particulièrement vrai si les criminels continuent de cibler les machines individuelles, plutôt que les grandes entreprises disposant de fortes puissances de calcul. En revanche, si les crypto monnaies continuent leur démocratisation, il faudra surveiller les plates-formes d’échange qui pourront devenir de véritables nids d’opportunités pour les criminels dans des opérations de phishing de leur client ou de piratage direct.

 L’extorsion de fonds à grande échelle

Ronan Mouchoux du GReAT explique : «  En mars 2010, la plate-forme pionnière d’échange de cryptomonnaies, BitcoinMarket, effectuait la toute première transaction financière entre bitcoin et monnaie fiduciaire. Un bitcoin échangé alors pour 0.003 dollar US. Huit ans plus tard, l’écosystème s’est développé, avec des milliers de nouvelles blockchains et des centaines de plates-formes de trading. Sur cette durée, au moins 31 piratées pour un montant de 1,3 milliard de dollars. Les détenteurs de crypto monnaies, les développeurs de blockchains et les plates-formes d’échange sont les trois cibles des cybercriminels. Rien qu’au deuxième trimestre 2018, plus de 2 millions de dollars extorqués à des possesseurs de crypto monnaies par phishing ou arnaque. En septembre dernier, l’une des principales plates-formes japonaises d’échange, Zaif, se faisait voler l’équivalent de 60 millions de dollars. »

 

 Investisseurs individuels vs. banques : une inégalité en matière de sécurité

Les crypto monnaies se démocratisent toujours davantage et sont désormais accessibles à la plupart des investisseurs. La tendance devrait encore se renforcer grâce à l’ouverture annoncée du marché directement via les buralistes en 2019. Il faut s’attendre à d’importantes tentatives d’exploitation de failles de sécurité. Les détenteurs de crypto monnaies, les développeurs de blockchain et les plates-formes d’échanges doivent impérativement accroître leur niveau de sécurité, encore beaucoup trop faible par rapport aux banques historiques et traditionnelles. Preuve en est, le plus gros casse bancaire de l’histoire se baptise Carbanak : l’attaque avait entrainé le vol de 1 milliard de dollars. Durant le premier semestre 2018 au Japon, près de 500 millions de dollars dérobés par piratage de plusieurs plateformes d’échanges de ce pays. De quoi attirer les cybercriminels, bien plus qu’avec le minage.

 Comment se protéger ?

Il est primordial pour les utilisateurs de choisir leur plate-forme en fonction de leur sécurité. Pour les plus gros détenteurs de cryptoactifs, on ne peut que recommander fortement d’investir dans un porte monnaies physique à la réputation éprouvée. Quant aux développeurs de blockchain et aux plates-formes d’échanges, ils doivent utiliser des solutions et recruter de véritables experts en cybersécurité. Tout ce qui est tendance sur un marché, l’est aussi pour la cybercriminalité. Bien entendu comme toute activité qui implique un accès en ligne, disposer d’appareils et de solutions à jour et ne pas installer de logiciels non certifiés font partie des recommandations basiques. (Rapport)

backdoor, Bitcoin, Chiffrement, Cybersécurité, Securite informatique, Social engineering

Plus fort qu’un ransomware, le cryptominage devient le summum du lucratif

Un commentaire

À la différence d’un rançongiciel, ou ransomware, qui exige la participation des victimes, le cryptominage pirate, ou cryptojacking,est très difficile à détecter et s’exécute sur les systèmes informatiques quasiment à l’insu de leurs utilisateurs.

La cybercriminalité est une activité extrêmement lucrative : cette économie florissante génèrerait chaque année, si l’on en croit de récentes estimations, 1 500 milliards de dollars de recettes. Un montant astronomique dont les cybercriminels font leurs choux gras, d’autant plus que le retour sur investissement maximal est obtenu au prix d’un minimum d’efforts et que les risques de sanctions encourues sont quasi-nuls.

Dans ce contexte, il n’est guère surprenant que le cryptojacking, c’est-à-dire l’emploi non autorisé des ressources informatiques d’un tiers pour fabriquer (ou miner) de la cryptomonnaie, ait ravi au ransomwarela première place au classement des outils favoris des cybercriminels Le ransomware a en également souffert de la volatilité du BitCoin avec son modèle économique basé sur des attaques rapides et répétées ciblant des paiements modiques

Alliés à la recherche continue de nouvelles techniques d’attaques toujours plus rentables, ce contexte a hissé le cryptojackingen tête des enjeux de sécurité informatique en 2018, que ce soit pour les entreprises ou les particuliers. Examinons en détail les facteurs à l’origine de ce basculement.

Rentabilité accrue

Unis dans le minage… Sachant que la capitalisation boursière des cryptomonnaies avoisine les 500 milliards de dollars, le cryptojackings’avère extrêmement intéressant pour les cybercriminels : il ne nécessite pas de compétences techniques poussées et, contrairement aux rançongiciels, offre une rentabilité potentielle de 100 %. Une fois compromise, la machine infectée peut aussitôt s’atteler au minage de cryptomonnaie en mode furtif, indépendamment de sa puissance de traitement ou de sa localisation géographique : même les systèmes d’entrée de gamme servent cette cause puisque c’est l’envergure du réseau de machines compromises et, par conséquent, la puissance de calcul totale qui importent vraiment. De plus, si les assaillants réfrènent leurs ardeurs et adaptent leur programme de minage de manière à ne pas ponctionner l’intégralité des ressources processeur (jusqu’à mettre hors service votre appareil sous Android), l’attaque peut se poursuivre par des moyens détournés et passer inaperçue durant un long moment.

Surface d’attaque omniprésente

Une plate-forme de minage unique… L’omniprésence de la surface d’attaque représente un autre aspect important. Qui que vous soyez, où que vous vous trouviez, le minage est à votre portée… Peu importe que le « mineur », ce composant malveillant, soit injecté dans un appareil mobile, un ordinateur personnel, un serveur, une instance dans le cloud, voire un objet connecté (appareil photo, réfrigérateur ou ventilateur). Quel que soit le système d’exploitation, les assaillants peuvent tirer parti de ses cycles processeur à des fins illégitimes. Même des objets connectés dotés d’une puissance de traitement limitée peuvent faire l’affaire : le botnet Mirai nous a appris ce dont sont capables des réseaux IoT œuvrant de concertpar milliers, simultanément. Et ce n’est pas une coïncidence si une variante a été testéepour le minage de cryptomonnaie ; ce même botnet a d’ailleurs donné naissance à Satori, un fork infectant les plates-formes de minage pour mieux dérober les identifiants à leurs propriétaires. De fait, le piratage de multiples objets connectés s’avère lucratif : d’après de récentes estimationsl’infection de 15 000 accessoires connectés à Internet permet de fabriquer l’équivalent de 1 000 dollars en cryptomonnaie en quatre jours seulement. Pas mal du tout, sachant que d’ici à 2020, il faudra composer avec plus de 20 milliardsd’objets connectés.

Mécanismes d’infections multiples

Tous les chemins mènent à la mine… La rentabilité élevée et l’omniprésence de la surface d’attaque ne sont pas les seuls facilitateurs du cryptojacking. Étant donné que des « mineurs » malveillants peuvent être injectés dans la quasi-totalité des appareils, de multiples vecteurs d’infections peuvent être utilisés : les attaques par force brute, les vulnérabilités non corrigées ou les sites web compromis (cryptominage furtif) font partie des techniques employées jusqu’à présent. Jetez un œil à lachronologiedes cyberattaques relevées mensuellement, et vous serez surpris par la créativité dont font preuve les assaillants toujours soucieux de trouver de nouveaux moyens de perpétrer des attaques de type cryptojacking.

La compromission des serveurs s’exerce de diverses manières pour l’injection de « mineurs » : depuis les attaques « classiques » par force brute utilisant des authentifiants par défaut (exemple d’une campagne récente ciblant plusieurs milliers de sites Magento) jusqu’à l’exploitation de vulnérabilités non corrigées sur Oracle WebLogic (CVE 2017-10271), Apache Struts (CVE-2017-5638), DotNetNuke (CVE-2017-9822), OrientDB (CVE-2017-11467), Jenkins CI (CVE-2017-1000353), les serveurs JBoss (CVE-2017-12149) et Apache Solr (CVE-2017-12629), entre autres exemples.

Les vulnérabilités non corrigées servent également à la compromission de clients, créant de nouvelles machines esclaves pour les botnets cryptomineurs. Le botnet Smomirnu et le maliciel Wannamine sont deux exemples de menaces exploitant la triste célèbre vulnérabilité EternalBlue (CVE-2017-144) pour se propager. Même des logiciels malveillants existants peuvent être réécritspour miner de la cryptomonnaie, ou pour ajouter cette « fonctionnalité » à d’autres.

En réalité, les postes clients sont encore plus exposés puisqu’ils peuvent miner des cryptodevises rien qu’en consultant une page web hébergeant un mineur JavaScript ; c’est le cas de Coinhive, qui mine une cryptomonnaie baptisée Monero (XMR). La principale raison est que, hormis la préservation de l’anonymat assurée par cette blockchain, l’algorithme servant au calcul des hashcodes, baptisé Cryptonight, a été conçu pour une exécution optimale avec des processeurs grand public(quelle coïncidence !). Une occasion bien trop favorable pour ne pas être saisie par des criminels constamment aux aguets, en quête de vulnérabilités leur permettant d’injecter Coinhive : Los Angeles Timeset Blackberry Mobilesont deux exemples de sites web de renom ayant été compromis à cette fin en 2018. Sans parler des discrètes options d’opt-in proposées par Coinhive qui n’ont jamais été respectées dans ces cas de figure.

Pour autant, il ne s’agit là que de la partie émergée de l’iceberg, l’ampleur, l’omniprésence et la constance des campagnes de cryptominage pirate ne faisant que se renforcer au fil de vos pérégrinations sur Internet. Le mode opératoire aujourd’hui adopté par les cybercriminels est du même ordre que la publicité malveillante (minevertising), se caractérisant par l’injection de code Coinhive dans des publicités diffusées par des plates-formes telles qu’AOL ou Google DoubleClick (deux exemples se sont produits en 2018). Que l’utilisateur quitte la page compromise ou ferme son navigateur (ou, du moins, pense le fermer) n’a même aucune importance puisque le code malveillant peut être dissimulé dans une minuscule fenêtre non sollicitée s’affichant à l’arrière-plan (« pop-under »), derrière la barre des tâches Windows, le rendant omniprésent et invisible à l’utilisateur. Dans certains cas, des extensions malveillantes de navigateur ont également injecté(es)Coinhive directement dans ce dernier.

Rôle du cloud

Le soleil finit toujours par percer les nuages… Sur la listedes cinq attaques les plus dangereuses présentée par le SANS Institute lors de la dernière RSA Conference figurent à la fois les fuites de données stockées dans le cloud et la monétisation des systèmes compromis via des cryptomineurs. Les fuites dans le cloud sont souvent la conséquence de configurations inadéquates (autorisations inappropriées ou absence de protection adéquate par mot de passe). Outre le vol de données, ces mêmes erreurs de configurations peuvent être mises à profit par des escrocs pour faire monter en régime leurs propres instances et miner ainsi de la cryptomonnaie aux dépens de la victime, en ayant la quasi-certitude que cette dernière ne détecte rien. Du moins jusqu’à ce qu’elle reçoive sa facture d’électricité. La redoutable association des deux techniques d’attaques répertoriées par le SANS Institute a d’ores et déjà fait certaines victimes de renom, comme Tesla, dont le cloud public a servi au minage de cryptomonnaie.
Il faut également composer avec d’autres risques. Les mineurs peuvent faire appel à des services cloud connus pour s’infiltrer plus rapidement au sein des entreprises (l’équipe Netskope Threat Research Labs a mis au jour un mineur Coinhive résidant sur une instance Microsoft Office 365 OneDrive for Business), ou se soustraire à la détection (commeZminerqui télécharge des charges utiles depuis le service de stockage cloud Amazon S3).

Recommandations d’ordre général

Quelques mesures peuvent être prises pour contrer la menace grandissante du cryptojacking.

1. Régir l’usage du web au moyen d’une plate-forme de protection contre les menaces effective à plusieurs niveauxcomme Netskope for Web, capable d’unifier la sécurité SaaS, IaaS et web de manière centralisée.

2. Détecter les cryptomineurs dans le cloud et y remédier, au moyen d’une solution CASBsensible aux menaces telle que Netskope : veiller au respect de règles régissant l’utilisation de services non autorisés, ainsi que d’instances non autorisées de services cloud autorisés afin de bloquer les attaques hybrides sur plusieurs niveaux dès lors que la charge utile est téléchargée d’un service cloud.

3. Exemples de règles à faire appliquer :
• Analyser tous les transferts opérés vers des applications cloud autorisées à partir d’équipements non administrés afin d’y rechercher d’éventuels logiciels malveillants.
• Analyser tous les transferts opérés vers des applications cloud autorisées à partir d’équipements distants afin d’y rechercher d’éventuels logiciels malveillants. Analyser tous les téléchargements effectués à partir d’applications cloud non autorisées dans cette même optique.
• Analyser tous les téléchargements effectués à partir d’instances non autorisées d’applications cloud autorisées afin d’y rechercher d’éventuels logiciels malveillants. Appliquer des actions de mise en quarantaine/blocage sur la détection de logiciels malveillants afin de réduire l’impact côté utilisateurs.
• Bloquer les instances non autorisées d’applications cloud autorisées/connues afin d’empêcher les assaillants d’abuser de la confiance des utilisateurs dans le cloud. Si cette mesure peut sembler restrictive, elle limite considérablement les tentatives d’infiltration de malwares via le cloud.

4. Déployer une solution CASB capable de réaliser une évaluation de sécurité continueet d’effectuer un suivi de votre configuration IaaS/PaaS. Autrement dit de prendre en compte les configurations d’infrastructure inadéquates et les vulnérabilités susceptibles d’entraîner des compromissions et l’installation ultérieure de cryptomineurs, ou d’instances malveillantes destinées au minage de cryptomonnaie.

5. Bien évidemment, faire en sorte de mettre en place un processus de gestion efficace des correctifs pour les clients et les serveurs. Vérifier que l’antivirus d’entreprise est à jour, et que les dernières versions et les derniers correctifs sont installés.

6. Favoriser l’utilisation responsable des ressources de l’entreprise :
• Rappeler aux utilisateurs de ne pas exécuter de macros non signées, ni des macros provenant d’une source non fiable, à moins qu’ils ne soient absolument certains de leur caractère inoffensif
• Rappeler aux utilisateurs de ne pas exécuter de fichier, à moins qu’ils ne soient absolument certains de leur caractère inoffensif
• Mettre en garde les utilisateurs contre l’ouverture de pièces jointes, quels que soient les extensions ou noms de fichiers

7. Les bloqueurs de publicités ou extensions de navigateur comme NoScriptpeuvent contribuer à mettre obstacle au cryptominage pirate. Certaines extensions de navigateur publiées récemment peuvent bloquer des mineurs JavaScript comme CoinHive ; prenez soin, néanmoins, de n’installer des extensions dignes de confiance, celles qui se révèlent douteuses étant également couramment employées pour injecter des cryptomineurs à l’intérieur du navigateur directement.

8. Les administrateurs peuvent créer des règles de pare-feu pour bloquer les pools de bitcoins dont il est question dans l’article Wikipedia. (Paolo Passeri, Global Solutions Architech chez Netskope)