Tous les articles par Damien Bancal

Cybersécurité, Entreprise

Compromettre les données d’identification

Les attaques visant à compromettre les données d’identification se multiplient, avec plus de 600 millions de tentatives chaque jour.

Les cyberattaques axées sur le vol de données d’identification connaissent une croissance exponentielle. Chaque jour, ce ne sont pas moins de 600 millions d’attaques qui ciblent des comptes personnels et professionnels. L’obtention d’un premier accès est le point de départ de nombreuses cyberattaques majeures.

Les pirates mènent ces attaques pour voler les données d’accès aux réseaux sociaux, comptes bancaires et professionnels. Cet accès initial ouvre la voie à des stratégies plus complexes, telles que le phishing, l’installation de logiciels espions ou de rançongiciels.

Les mots de passe : la cible principale

Selon les statistiques, près de 99 % des attaques contre les données d’identification impliquent la compromission d’un mot de passe. Les logiciels spécialisés utilisés par les attaquants permettent de déchiffrer ces mots de passe de manière automatisée, augmentant ainsi le nombre total d’attaques.

L’avènement de l’IA et des logiciels d’automatisation a radicalement changé la donne pour les pirates informatiques. Ils n’ont plus besoin de tenter manuellement de deviner les mots de passe, car un programme le fait pour eux en un temps record. Ainsi, le volume d’attaques peut être multiplié grâce à la capacité du logiciel à traiter simultanément de nombreux mots de passe.

L’avenir des cyberattaques et la riposte nécessaire

Une augmentation de 15 à 20 % par an du nombre d’attaques, alimentée par l’amélioration constante des outils automatisés pourrait rapidement apparaitre. Pour se protéger, datasecuritybreach.fr recommande de renforcer la sécurité des comptes par :

  • L’utilisation de mots de passe complexes et leur mise à jour régulière.
  • L’adoption de la technologie MFA (authentification multi-facteurs).
  • La segmentation régulière du réseau.
  • La limitation et la répartition stricte des droits d’accès.

Le modèle « Zéro confiance » : une tendance de sécurité à surveiller

Une tendance majeure pour 2025 sera l’adoption croissante du modèle de « zéro confiance ». Ce modèle prévoit l’absence d’accès par défaut aux éléments de l’infrastructure informationnelle. Bien que cette approche minimise les risques de fuites de données et d’opérations malveillantes, elle peut ralentir les processus métiers si la configuration des accès est mal gérée.

backdoor, Cybersécurité

Augmentation des attaques de comptes Azure par pulvérisation de mots de passe depuis août 2023

Depuis août 2023, Microsoft a observé une intensification des attaques de pirates ciblant les comptes Azure en utilisant la technique de pulvérisation de mots de passe (brute force).

Ces attaques furtives, souvent couronnées de succès, sont associées au botnet CovertNetwork-1658, connu également sous les noms de xlogin et Quad7 (7777). Ce botnet est principalement composé de routeurs TP-Link SOHO infectés par des portes dérobées et fonctionnant comme relais.

La durée moyenne d’activité des nœuds de ce botnet est d’environ 90 jours. Les attaques par ‘brute force’, pulvérisation de mots de passe est un terme amusant pour traduire brute force, impliquent simultanément environ 8 000 adresses IP, et dans 80 % des cas, chaque adresse effectue une tentative de piratage par jour.

Pour installer une porte dérobée, les attaquants exploitent des vulnérabilités dont la nature exacte reste incertaine. Une fois l’exploit réalisé, l’appareil est configuré pour fonctionner comme proxy.

Les informations d’identification compromises par CovertNetwork-1658 sont ensuite utilisées pour lancer des attaques ciblées. Le piratage des comptes cloud Azure permet aux cybercriminels de progresser plus en profondeur dans le réseau, d’établir des points d’ancrage à l’aide de RAT (Remote Access Trojans) et de commencer à voler des données.

Cette activité est particulièrement prisée par un groupe de cybercriminels opérant en Amérique du Nord et en Europe, surveillé par Microsoft sous le nom de Storm-0940.

L’activité de CovertNetwork-1658 a toutefois diminué ces derniers mois, probablement en raison de l’attention accrue de la communauté de la sécurité de l’information, notamment à travers les publications Sekoia, par exemple, consacrées à Quad7.

Les opérateurs du botnet auraient décidé de mettre à jour leur infrastructure en modifiant leurs empreintes numériques pour échapper à la détection et revenir à une activité plus discrète.

Pendant ce temps, avec l’IA, chasse au 0Day

Les experts de GreyNoise ont identifié deux vulnérabilités zero-day dans les caméras réseau PTZ (panoramique/inclinable/zoom).

Ils ont été aidés en cela par un outil d’IA spécialement créé pour les besoins de la cyberintelligence. L’assistant intelligent intégré au système Honeypot de chasse aux menaces répondait clairement au trafic suspect. L’analyse a révélé qu’il s’agissait d’une tentative d’exploitation automatisée.

La vulnérabilité critique CVE-2024-8956 est causée par une mise en œuvre incorrecte des mécanismes d’authentification et permet l’accès aux noms d’utilisateur, aux mots de passe hachés (MD5), aux données de configuration et à d’autres informations confidentielles. La vulnérabilité CVE-2024-8957 ouvre la possibilité d’injection de commandes. Lorsqu’il est utilisé conjointement avec CVE-2024-8956, il vous permet de prendre le contrôle de la caméra à distance et sans authentification, de visualiser et d’arrêter le flux vidéo en temps réel, d’apporter des modifications et également de connecter l’appareil à un botnet DDoS.

Les problèmes concernent les caméras PTZ haute résolution avec des versions de micrologiciel inférieures à 6.3.40, en particulier pour les appareils de PTZOptics, Multicam Systems SAS et SMTAV Corporation basés sur des processeurs SoC Hisilicon Hi3516A. Ils sont souvent utilisés dans des installations critiques : production robotique, établissements médicaux, agences gouvernementales (par exemple, dans les salles d’audience), ainsi que pour des présentations en ligne et des vidéoconférences. (Greynoise)

Cybersécurité, Securite informatique

Les cybercriminels abandonnent les liens dans les emails malveillants au profit des pièces jointes

Les distributeurs de logiciels malveillants par courrier électronique ont presque cessé d’utiliser des liens. Selon les statistiques, au troisième trimestre 2024, 99,1 % des mails malveillants contenaient une pièce jointe, le plus souvent sous la forme d’un fichier archivé. Les analystes expliquent ce changement par le désir de réduire les frais.

L’utilisation d’URL nécessite la création ou la location d’un stockage Web pour le code malveillant, tandis que les pièces jointes sont moins susceptibles d’éveiller des soupçons et sont plus directes à manipuler. Bilan, les pirates réfléchissent avec leur argent : combien va coûter une attaque, combien doit leur rapporter cette attaque.

Bien que l’usage des liens dans les envois de masse ait considérablement diminué, cette méthode reste prisée lors des attaques ciblées. Dans ces cas, les attaquants dressent le profil d’une victime potentielle et peuvent vérifier qui clique sur un lien et dans quelles conditions. Sur la base des résultats de leur social engineering, les attaquants peuvent fournir une charge utile malveillante ou un fichier factice.

Les fichiers d’archives, principalement aux formats ZIP et RAR, sont les types de pièces jointes malveillantes les plus courants. La part des fichiers PDF et DOCX a augmenté de 2,4 points de pourcentage par rapport au deuxième trimestre, atteignant 8,8 %, tandis que l’utilisation des fichiers XLS a notablement diminué. Ces documents contiennent souvent des logiciels espions tels que Formbook. AgentTesla, un autre logiciel malveillant très répandu dans les canaux de courrier électronique, a vu sa présence multipliée par quatre au cours de la même période, surpassé par Formbook et le cheval de Troie multifonctionnel DarkGate.

Lorsqu’on analyse la répartition par classe de logiciels malveillants, les logiciels espions fournis en tant que service (Malware-as-a-Service, MaaS) restent les plus populaires, représentant 63 % des envois malveillants, bien que ce chiffre soit en baisse de 8 points de pourcentage par rapport au trimestre précédent. La part des programmes de téléchargement est passée de 10 % à 23 %, tandis que celle des portes dérobées a chuté à 8 %.

Enfin, la popularité des services de messagerie gratuits parmi les cybercriminels continue de diminuer, ne représentant plus que 2,6 % des mails malveillants, plus de la moitié étant envoyés depuis des adresses Gmail. Les attaquants créent également des domaines spécifiques (COM, FR, NET, ORG) et utilisent le spoofing pour dissimuler leur véritable identité.

Cybersécurité, Mise à jour

Nvidia met en garde contre des vulnérabilités critiques dans ses cartes graphiques

Aprés des failles sérieuses pour Android de Google, c’est au tour de NVIDIA, le géant de la carte graphique, d’alerter de problèmes de sécurité visant certains de ses hardwares.

Dans un récent rapport de sécurité, le principal développeur de GPU et SoC, Nvidia, met en garde les utilisateurs contre les vulnérabilités critiques de ses cartes graphiques.

La récente publication de la mise à jour du pilote 566.03 de Nvidia corrige un certain nombre de vulnérabilités critiques qui menacent la sécurité des propriétaires de cartes graphiques Nvidia. Parmi les vulnérabilités les plus dangereuses figure CVE-2024-0126, avec un score CVSS de 8,2, qui pourrait permettre aux attaquants d’exécuter du code arbitraire, d’élever les privilèges et de voler des données sur les appareils vulnérables. Cette vulnérabilité affecte les cartes graphiques des séries Nvidia RTX, Quadro, NVS et Tesla, ainsi que les produits GeForce sur les systèmes Windows et Linux.

Les vulnérabilités CVE-2024-0117, CVE-2024-0118 et d’autres ont également été découvertes, qui permettent à des utilisateurs non privilégiés d’interférer avec le système, provoquant des plantages et pouvant potentiellement obtenir un accès complet aux données.

Les pirates utilisant ces vulnérabilités peuvent obtenir un accès non autorisé aux systèmes de l’entreprise en exécutant du code à distance et en obtenant des privilèges élevés. Cela peut entraîner une fuite de données confidentielles, un sabotage des processus métier et de graves perturbations des services critiques. De plus, de telles attaques peuvent provoquer des temps d’arrêt, endommager les réseaux d’entreprise et nuire à la situation financière et à la réputation d’une entreprise si les données des clients sont compromises.

Android, backdoor, Cybersécurité

Google signale de nouvelles vulnérabilités critiques dans Android

Google a alerté la communauté sur une exploitation active de la vulnérabilité CVE-2024-43093, découverte dans le framework Android. Cette vulnérabilité permet aux attaquants d’accéder de manière non autorisée aux répertoires sensibles « Android/data », « Android/obb » et « Android/sandbox » ainsi qu’à leurs sous-répertoires. Bien que les détails spécifiques des attaques n’aient pas encore été rendus publics, Google souligne que l’exploitation reste limitée à des cibles précises.

Outre cette vulnérabilité, Google a mis en lumière la CVE-2024-43047, une autre faille critique exploitée activement. Celle-ci est associée aux chipsets Qualcomm et résulte d’une erreur d’utilisation après libération (use-after-free) dans le processeur de signal numérique (DSP), menant potentiellement à une corruption de la mémoire. Cette vulnérabilité a été confirmée par les chercheurs de Google Project Zero ainsi que par Amnesty International le mois dernier.

Bien que Google n’ait pas encore clarifié si les deux vulnérabilités pouvaient être exploitées conjointement pour créer une chaîne d’attaques, la possibilité qu’elles soient utilisées à des fins d’espionnage ciblant des membres de la société civile est évoquée.

La vulnérabilité CVE-2024-43093 est la deuxième faille critique du framework Android activement exploitée cette année, suivant de près la CVE-2024-32896, corrigée cet été. Initialement, cette dernière affectait uniquement les appareils Pixel, mais il a été révélé plus tard qu’une plus large gamme d’appareils Android était concernée.

APT, backdoor, Cybersécurité

Les pirates nord-coréens utilisent une nouvelle variante de FASTCash pour cibler les distributeurs de billets

Une nouvelle menace émerge dans le monde de la cybersécurité alors que des pirates informatiques nord-coréens exploitent une variante Linux du malware FASTCash pour infiltrer les systèmes de commutation de paiement des institutions financières et effectuer des retraits d’espèces non autorisés aux distributeurs automatiques (DAB). Ce développement marque une extension des capacités de ce malware, initialement conçu pour les systèmes Windows et IBM AIX (Unix), désormais adapté aux distributions Linux, notamment Ubuntu 22.04 LTS.

Le malware FASTCash a été utilisé pour la première fois en 2016 pour voler des fonds à des institutions financières en Asie et en Afrique. Il permettait aux pirates de manipuler les systèmes bancaires et d’autoriser des retraits massifs et simultanés aux DAB. En 2017, FASTCash a permis le retrait simultané d’espèces dans 30 pays, suivi d’un incident similaire en 2018 dans 23 autres pays.

L’attaque repose sur l’exploitation des commutateurs de paiement, des systèmes centraux qui gèrent la communication entre les guichets automatiques, les terminaux de paiement (PoS) et les banques. En interférant avec les messages de transaction ISO8583, un protocole utilisé pour traiter les paiements par carte de crédit et de débit, les pirates peuvent modifier les réponses aux transactions et approuver des retraits d’argent, même lorsque le compte de la carte n’a pas suffisamment de fonds.

Variante Linux de FASTCash

Repérée pour la première fois en juin 2023 par le chercheur en sécurité HaxRob sur VirusTotal, cette variante Linux présente des similarités avec les versions Windows et AIX. Le malware se dissimule sous la forme d’une bibliothèque partagée, injectée dans un processus actif sur les serveurs de la banque à l’aide de l’appel système ptrace. Il se connecte ensuite aux fonctions réseau du système, permettant aux pirates de manipuler les messages de transaction.

Plus précisément, FASTCash intercepte les transactions refusées pour insuffisance de fonds, remplaçant les réponses de « rejet » par des réponses « approuvées ». Ces réponses modifiées permettent aux mules d’argent, travaillant en collaboration avec les pirates, de retirer des sommes importantes aux DAB, allant de 350 à 875 dollars.

Une menace furtive et en constante évolution

L’un des aspects les plus inquiétants de cette nouvelle variante Linux est sa capacité à contourner les mécanismes de sécurité des systèmes de détection de malware. Lorsqu’elle est apparue sur VirusTotal, elle n’a été détectée par aucune solution de sécurité, ce qui a permis aux pirates d’opérer sans être perturbés.

En plus de cette version Linux, une nouvelle version de FASTCash pour Windows a été repérée sur VirusTotal en septembre 2024, démontrant que les attaquants continuent d’améliorer et de diversifier leur arsenal pour cibler plusieurs systèmes d’exploitation.

Le malware FASTCash a longtemps été attribué au groupe de hackers nord-coréen Hidden Cobra, également connu sous le nom de Lazarus ou APT38. Ce groupe est soupçonné d’être responsable de vols massifs d’argent et de cyberattaques sophistiquées visant les institutions financières du monde entier, notamment un vol de plus de 1,3 milliard de dollars.

En 2020, le US Cyber Command a relancé les avertissements concernant la menace de FASTCash 2.0, signalant une intensification des activités de Lazarus. Par ailleurs, en 2021, des accusations ont été portées contre trois ressortissants nord-coréens impliqués dans ces stratagèmes, soulignant le lien entre ce groupe de cybercriminels et le gouvernement nord-coréen.

Le gouvernement américain a montré du doigt, en 2021, plusieurs pirates informatiques Nord-Coréens qui semblent être cachés derrière ces nouvelles cyberattaques. Le ministère américain de la Justice affichait alors deux citoyens nord-coréens associés au groupe de hackers Lazarus (alias Hidden Cobra, Dark Seoul et APT28). L’acte d’accusation s’étendait également aux accusations déposées en 2018 contre Park Jin Hyok (alias Jin Hyok Park et Pak Jin Hek), le pirate informatique nord-coréen qui serait responsable des attaques massives du ransomware WannaCry en 2017 contre la Banque centrale du Bangladesh en 2016 ou encore la société Sony (vengeance pour le fait que le studio ait sorti le film « The Interview »). Park se retrouvait alors fiché avec Jon Chang Hyok et Kim Il. Les malveillants auraient aussi créé une fausse société de cryptomonnaie et le token Marine Chain.

Le ministère américain de la Justice estime que ce système permettait aux utilisateurs d’acheter des options dans des navires maritimes, et que la Corée du Nord pouvait à terme avoir accès aux fonds des investisseurs et contourner les sanctions américaines.

Cybersécurité, Entreprise

CISA et FBI alertent sur les bonnes pratiques sécurité dans les logiciels

Le monde numérique repose sur une infrastructure vaste et complexe de logiciels qui régissent presque tous les aspects de la vie moderne. Cependant, cette dépendance croissante aux produits logiciels expose également les infrastructures critiques, les entreprises et les particuliers à des risques de sécurité potentiellement dévastateurs.

Le 26 octobre 2024, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, en collaboration avec le Federal Bureau of Investigation (FBI), a dévoilé une série de recommandations sur les pratiques de sécurité à éviter dans le développement des produits logiciels, appelées « mauvaises pratiques » (« Bad Practices »). Ces pratiques représentent des faiblesses importantes dans les produits finaux et compromettent leur sécurité et leur fiabilité.

Dans un contexte où la cybersécurité est un impératif pour le bon fonctionnement des infrastructures critiques, la CISA et le FBI invitent le public, les professionnels de la cybersécurité, et les fabricants de logiciels à contribuer en partageant leurs commentaires et suggestions sur ce document de bonnes pratiques. Cette initiative, intitulée « Secure by Design », vise à encourager une approche proactive où la sécurité est intégrée dans les produits dès leur conception.

Les « Mauvaises Pratiques » Identifiées

Les directives mises en avant par la CISA et le FBI identifient des pratiques courantes dans le développement de produits, qui sont souvent négligées en matière de sécurité et exposent les systèmes à des vulnérabilités graves. L’une des principales préoccupations est la manière dont les développeurs abordent la sécurité au cours du cycle de vie des produits, en particulier les choix de conception, les configurations par défaut et les failles de sécurité non corrigées.

Les pratiques jugées comme les plus risquées incluent :

Absence de sécurisation par défaut : Dans de nombreux cas, les produits logiciels sont expédiés sans configuration de sécurité active par défaut, laissant ainsi aux utilisateurs la responsabilité de mettre en place eux-mêmes des paramètres de sécurité adéquats.
Stockage et Transmission des Données Non Sécurisées : L’utilisation de méthodes non sécurisées pour le stockage ou la transmission de données sensibles, telles que des mots de passe ou des informations d’identification personnelle, ouvre la porte aux cyberattaques.
Absence de Mises à Jour Automatiques ou de Patches Réguliers : Les produits qui ne disposent pas de mécanismes automatiques pour les mises à jour de sécurité sont particulièrement vulnérables, car les utilisateurs ne sont souvent pas informés des mises à jour critiques, augmentant ainsi les risques d’attaques réussies.
Les Dangers pour les Infrastructures Critiques
Ces pratiques concernent en premier lieu les infrastructures critiques, un ensemble de systèmes essentiels pour le bon fonctionnement d’une société, comme l’approvisionnement en énergie, les télécommunications et les soins de santé. Les cyberattaques ciblant ces infrastructures peuvent entraîner des conséquences potentiellement désastreuses, y compris des pannes de courant, des interruptions de services de communication, et des atteintes à la sécurité des patients dans les hôpitaux. La CISA et le FBI soulignent que les produits logiciels destinés à ces infrastructures devraient bénéficier d’une attention de sécurité renforcée.

Ces mauvaises pratiques représentent également un risque pour les petites et moyennes entreprises (PME) qui, souvent, n’ont pas les ressources pour se protéger efficacement des menaces de cybersécurité. En utilisant des produits vulnérables, les PME exposent non seulement leur propre système, mais peuvent également servir de point d’entrée pour des attaques de plus grande ampleur visant des entreprises partenaires ou des réseaux plus larges.

« Secure by Design » : Intégrer la Sécurité dès la Conception

La campagne « Secure by Design » de la CISA et du FBI met l’accent sur une approche proactive de la sécurité dans la conception des produits. Cette approche incite les développeurs à prévoir des mesures de sécurité dès le début du processus de création d’un produit. L’idée est de ne pas considérer la sécurité comme une simple mise à jour ou un patch appliqué en fin de cycle, mais comme un élément fondamental intégré dans chaque phase de développement. Les recommandations encouragent les entreprises technologiques et les développeurs à adopter des pratiques comme :

Des Paramètres de Sécurité par Défaut : Assurer que les produits sont configurés de manière sécurisée dès l’installation, pour éviter que les utilisateurs finaux n’aient à modifier manuellement ces paramètres.
Des Protocoles de Chiffrement Solides : Utiliser des méthodes de chiffrement de pointe pour le stockage et la transmission des données sensibles, réduisant ainsi le risque de compromission.
Des Mises à Jour Automatisées et Simples d’Accès : Faciliter la gestion des mises à jour de sécurité en intégrant des processus automatisés qui alertent les utilisateurs en temps réel des correctifs nécessaires.
En agissant ainsi, la CISA et le FBI espèrent que les produits sécurisés dès la conception deviendront une norme, non seulement pour les infrastructures critiques, mais aussi pour tous les secteurs qui reposent sur des technologies numériques avancées.

Commentaires Publics et Implication de l’Industrie

L’une des étapes clés de cette initiative est l’appel aux commentaires publics, ouvert jusqu’au 16 décembre 2024. Cet appel invite les fabricants de logiciels, les experts en cybersécurité, ainsi que toute partie prenante du domaine à examiner les directives publiées et à contribuer par des suggestions. L’objectif est de créer une base de pratiques sécurisées partagées et appliquées par l’ensemble de l’industrie.

Cet effort collaboratif vise à renforcer la sécurité à tous les niveaux, de la petite entreprise à la grande infrastructure critique, pour développer une cyber-résilience commune. L’implication de l’industrie dans ce processus est essentielle pour s’assurer que ces pratiques de sécurité soient non seulement adoptées, mais aussi constamment améliorées et adaptées aux menaces émergentes.

La Responsabilité Partagée pour un Futur Plus Sûr

En somme, la publication de ces mauvaises pratiques par la CISA et le FBI représente une étape significative vers un renforcement de la cybersécurité globale. En encourageant des pratiques sécurisées dès la conception des produits, cette initiative vise à réduire les risques auxquels les infrastructures et les utilisateurs sont confrontés. Les commentaires publics permettront d’enrichir et de peaufiner ces recommandations, et d’établir un consensus sur les meilleures pratiques en matière de développement de logiciels.

Pour les entreprises, développeurs, et utilisateurs finaux, cette démarche de la CISA et du FBI rappelle que la sécurité numérique est une responsabilité partagée. Le respect de ces directives contribuera à la construction d’un écosystème numérique plus sûr et plus résilient, dans lequel chaque acteur joue un rôle crucial pour se prémunir contre les cybermenaces.

Cybersécurité, Entreprise, Social engineering

La nouvelle arnaque nord-coréenne : extorsion de fonds par de faux travailleurs informatiques

Une nouvelle forme de cybercriminalité nord-coréenne inquiète les entreprises américaines et britanniques : l’infiltration d’agents nord-coréens sous couvert de travailleurs informatiques. Grâce à des identités volées ou falsifiées, ces individus accèdent à des informations sensibles et, une fois découverts, extorquent des rançons à leurs employeurs.

L’arnaque des faux travailleurs informatiques n’est pas nouvelle, mais ce qui est inédit, c’est la tactique d’extorsion qui s’est développée au sein de ces opérations. Les agents, souvent employés comme sous-traitants informatiques dans de grandes entreprises, commencent par voler des données sensibles dès leur embauche. Lorsqu’ils sont licenciés pour des performances insuffisantes ou démasqués, ces agents menacent de rendre publiques les informations volées à moins de recevoir une rançon.

Par exemple, un sous-traitant a commencé à exfiltrer des données dès les premiers jours de son contrat en 2024. Après son licenciement, l’entreprise a reçu des demandes de rançon à six chiffres en cryptomonnaie. L’agent a envoyé des preuves du vol de données à travers des e-mails provenant de plusieurs adresses anonymes.

Un programme massif et organisé

Ces extorsions sont la partie émergée d’un vaste programme d’infiltration mené par le gouvernement nord-coréen. Depuis plusieurs années, les États-Unis et d’autres pays occidentaux mettent en garde les entreprises contre le recrutement de faux travailleurs informatiques, souvent opérant depuis la Chine ou la Russie, mais se faisant passer pour des résidents locaux grâce à des infrastructures de fermes d’ordinateurs portables. Le programme, qui ciblait initialement les entreprises de cryptomonnaie, s’est élargi aux entreprises du Fortune 100 et à des secteurs variés comme les technologies de l’information, les systèmes de chaîne d’approvisionnement, ou encore la production de puces électroniques.

Selon James Silver, directeur de la sécurité de Secureworks, ces agents ne se contentent pas d’extorquer de l’argent. Ils sont également intéressés par des informations sensibles, allant de la propriété intellectuelle aux données militaires et financières. Cela permet à la Corée du Nord de financer ses programmes militaires tout en profitant d’un flux de revenus via les rançons demandées aux entreprises.

Cependant, certaines de ces infiltrations semblent cibler des données qui ne sont pas traditionnellement d’intérêt pour Pyongyang, ce qui laisse penser qu’il pourrait y avoir une collaboration avec d’autres acteurs, comme la Chine. Stephen Schmidt, directeur de la sécurité chez Amazon, a mentionné lors d’une conférence que certaines informations exfiltrées semblaient plus utiles à Pékin qu’à Pyongyang, suggérant une éventuelle relation d’échange d’informations entre les deux nations.

Techniques utilisées par les agents nord-coréens

Les faux travailleurs nord-coréens utilisent plusieurs méthodes pour éviter d’être démasqués. Ils masquent souvent leur adresse IP et dirigent leurs ordinateurs portables professionnels vers des centres de calcul situés à l’étranger. Ils exploitent des outils tels que Chrome Remote Desktop ou AnyDesk pour accéder à distance aux systèmes de leurs employeurs.

Un autre indice de leur activité frauduleuse réside dans leur réticence à participer à des appels vidéo, souvent demandés par les entreprises pour vérifier l’identité des employés. Pour contourner ce problème, ces agents ont commencé à utiliser des outils comme SplitCam, qui permet de gérer plusieurs conversations vidéo en même temps à partir d’une seule webcam, brouillant ainsi davantage leur identité.

Les recherches menées ont révélé une tendance au partage d’identités parmi les agents nord-coréens. Dans certains cas, plusieurs individus semblent utiliser la même adresse e-mail ou CV pour postuler à différents postes. Lorsqu’un agent est démasqué ou licencié, il est parfois remplacé par un autre individu du même réseau, ce qui complique la tâche des entreprises pour identifier les véritables responsables.

Les défis de la détection et les risques pour les entreprises

Les entreprises touchées par ces infiltrations se trouvent confrontées à des défis majeurs. L’utilisation de faux profils, combinée à des méthodes de travail à distance, rend la détection des agents malveillants particulièrement difficile. Il a été observé que les agents nord-coréens mettent à jour fréquemment leurs informations bancaires et utilisent des services comme Payoneer pour éviter les systèmes de contrôle traditionnels. Cela permet de masquer les flux financiers et de rendre plus difficile l’identification des transactions suspectes.

De plus, ces agents travaillent souvent en réseau, se recommandant les uns les autres auprès des entreprises et partageant des identités et des outils pour faciliter l’infiltration. Dans certains cas, une seule personne peut adopter plusieurs identités ou utiliser différents styles de communication pour tromper ses employeurs.

Le risque pour les entreprises ne se limite plus à la perte de données ou à l’extorsion financière. Le vol de propriété intellectuelle, en particulier dans les secteurs technologiques et militaires, peut avoir des conséquences graves sur la sécurité nationale, en plus des pertes économiques. Les entreprises qui embauchent par inadvertance ces agents nord-coréens se retrouvent souvent dans des situations délicates, où elles doivent non seulement gérer les répercussions internes mais aussi les risques de réputation et de responsabilité légale.

La combinaison de cybercriminalité, d’espionnage industriel, et d’extorsion à grande échelle fait de ce phénomène un défi croissant pour les entreprises à travers le monde. Avec des méthodes de plus en plus sophistiquées et une expansion rapide de leurs cibles, les acteurs nord-coréens posent une menace sérieuse que les forces de l’ordre internationales peinent à contenir.

Avez-vous embauché un agent nord-coréen sans le savoir ? 

Parmi les comportements suspects observés, si un employé insiste pour utiliser ses propres appareils, évite de se présenter à la webcam, et modifie fréquemment ses services de paiement, il pourrait s’agir d’un agent nord-coréen infiltré. Ces tactiques sont utilisées par Nickel Tapestry, un groupe soutenu par l’État nord-coréen, pour placer de faux travailleurs dans des entreprises commerciales basées aux États-Unis, au Royaume-Uni, et en Australie.

Utilisation d’équipements personnels : Les faux employés demandent souvent à utiliser leur propre ordinateur portable ou une infrastructure de bureau virtuel pour éviter de se connecter avec l’équipement de l’entreprise, ce qui complique la surveillance de leurs activités.
Camouflage de leur emplacement : Certains employés font envoyer leur équipement de travail à des adresses anonymes ou utilisent des fermes d’ordinateurs portables masquées par des adresses IP américaines.
Évitement des appels vidéo : Lorsqu’ils sont contraints d’utiliser les appareils de l’entreprise, ces agents invoquent des « problèmes techniques » pour éviter de se présenter lors des réunions en visioconférence. Dans certains cas, ils utilisent même des logiciels de clonage vidéo pour simuler leur présence.

Une infiltration bien orchestrée

Les agents de Nickel Tapestry ne se contentent pas de travailler seuls. Ils créent des réseaux entiers de faux employés et de fausses entreprises, fournissant des références professionnelles crédibles et gérant les paiements. Si un agent est découvert ou licencié, il est rapidement remplacé par un autre, permettant ainsi au système de continuer à fonctionner sans interruption. Les documents et CV utilisés par ces agents présentent souvent des similitudes dans leur style d’écriture, laissant supposer que plusieurs personnages sont contrôlés par une seule et même personne, ou par un groupe coordonné. Pour éviter d’être repérés par les banques, ces agents mettent à jour leurs comptes bancaires de manière régulière ou utilisent des services de paiement numérique comme Payoneer, qui a indiqué travailler de manière proactive pour lutter contre cette menace.

Le programme de cybercriminalité nord-coréen : une source de revenus vitale

L’infiltration des entreprises étrangères est devenue une source de revenus essentielle pour la Corée du Nord, qui est soumise à de sévères sanctions internationales limitant ses débouchés économiques. En 2022, le FBI, le département du Trésor et le département d’État des États-Unis ont publié un avertissement public, qualifiant le programme d’infiltration des travailleurs informatiques nord-coréens de « source de revenus cruciale » pour le régime de Pyongyang.

Les agents nord-coréens placés dans des entreprises occidentales, mais opérant en réalité depuis la Chine ou la Russie, peuvent gagner jusqu’à 300 000 dollars par an, ce qui représente un revenu dix fois supérieur à celui d’un ouvrier moyen en Corée du Nord.

Ces fonds servent à financer les projets militaires du pays, notamment son programme d’armement nucléaire. Le dirigeant nord-coréen, Kim Jong Un, a investi massivement dans les infrastructures informatiques et la formation des informaticiens du pays. De nombreux Nord-Coréens reçoivent des diplômes en informatique via des programmes rigoureux mis en place dans des centres de recherche régionaux, tant en Corée du Nord qu’à l’étranger. (treasury.gov)

Cybersécurité

Microsoft avertit ses clients d’une perte de journaux critiques due à un bug

Microsoft a récemment averti plusieurs entreprises clientes d’une perte de journaux critiques en raison d’un bug technique, affectant la période du 2 au 19 septembre.

Les journaux de sécurité sont cruciaux pour la surveillance des accès non autorisés et des activités suspectes. Le bug qui a touché plusieurs services de Microsoft, notamment Microsoft Entra, Azure Logic Apps, Microsoft Sentinel, et Azure Monitor, a couvert une période de 15 jours, du 2 au 19 septembre 2024. Les organisations s’appuient sur ces enregistrements pour détecter des cybermenaces, et leur absence pourrait compliquer l’analyse des données et la sécurité globale des systèmes.

Parmi les services touchés, Microsoft Entra a subi des lacunes dans les tentatives de connexion enregistrées, compromettant la surveillance des accès réseau. Azure Logic Apps et Azure Monitor ont rapporté des pertes dans les données de télémétrie et les journaux de ressources. Pour Microsoft Sentinel, qui gère les journaux de sécurité, les échecs de journalisation compliquent la détection des menaces, rendant plus difficile l’identification de comportements malveillants.

Origines du bug

Selon Microsoft, ce problème est survenu alors que l’entreprise tentait de résoudre un autre dysfonctionnement lié à son service de collecte de journaux. Bien que les détails techniques restent limités, Microsoft a travaillé à résoudre ce nouveau bug dès qu’il a été découvert.

Les entreprises concernées s’appuient sur ces journaux pour assurer la cybersécurité et surveiller les anomalies dans les comportements réseau. L’absence de données pendant cette période pourrait rendre les systèmes vulnérables et ralentir l’investigation en cas d’attaque cybernétique. Les failles dans des services comme Azure Virtual Desktop et Power Platform compliquent également l’accès aux données d’analyse essentielles pour le bon fonctionnement des opérations informatiques.

Microsoft, dans son communiqué, a affirmé qu’il prenait l’incident très au sérieux. La société travaille activement à résoudre les problèmes sous-jacents et assure que des mesures supplémentaires sont mises en place pour éviter de futures interruptions de ce type. L’entreprise conseille à ses clients de vérifier leurs systèmes et de renforcer leurs protocoles de sécurité pour combler les potentielles lacunes créées par la perte des journaux. (business insider)

Entreprise

Discord interdit en Russie, Kaspersky interdit sur Google Play

Une nouvelle plateforme communautaire interdite en Russie. Discord ne fonctionne plus pour les internautes Russes. Pendant ce temps, Kaspersky est banni du Google Store.

La plateforme populaire de communication vocale et de messagerie Discord a été officiellement bloquée en Russie, marquant une nouvelle étape dans les efforts du gouvernement pour renforcer le contrôle sur l’espace Internet du pays. Roskomnadzor, l’agence russe de régulation des communications, a expliqué que ce blocage était dû au non-respect des lois russes sur le stockage des données sur le territoire national et le filtrage des contenus. Selon Roskomnadzor, Discord aurait ignoré à plusieurs reprises les avertissements concernant la localisation des serveurs et l’accès aux données des utilisateurs, ce qui, selon l’agence, constitue une menace pour la sécurité nationale. Le service a également souligné que la plateforme permettait une communication anonyme qui pourrait être exploitée à des fins d’extrémisme et de terrorisme.

Dans ce contexte, la Russie exige que toutes les plateformes stockant des données personnelles localisent ces informations sur des serveurs russes et les rendent accessibles aux autorités en cas d’enquête, notamment dans le cadre de la lutte contre l’extrémisme et le terrorisme. Roskomnadzor a réitéré que la protection des citoyens russes contre les violations de leurs données personnelles et la préservation de la souveraineté informationnelle du pays sont des priorités. Le blocage de Discord, tout comme celui d’autres plateformes internationales, entre dans cette logique.

La décision de bloquer Discord a eu des répercussions immédiates et significatives sur la communauté en ligne russe. Bien que la plateforme soit largement connue pour son utilisation dans les jeux vidéo, elle est également devenue un outil essentiel pour de nombreux professionnels et étudiants, en particulier pour les réunions de travail, les échanges de projets et même les formations à distance. Selon Downdetector, les premiers problèmes d’accès à Discord ont été signalés le matin du 8 octobre. Plus tard dans la journée, Roskomnadzor a confirmé que la plateforme avait été bloquée. Le blocage de Discord s’ajoute à une série d’interdictions similaires visant d’autres plateformes populaires telles que LinkedIn, Google News et, plus récemment, Instagram, sous prétexte de non-respect des lois russes sur la cybersécurité et la protection des données.

Pour de nombreux utilisateurs russes, le blocage de Discord représente un coup dur, notamment pour ceux qui l’utilisent comme un outil de communication clé dans le cadre de leurs activités professionnelles ou personnelles. De nombreuses personnes ont exprimé leur frustration face à cette décision, tandis que d’autres recherchent déjà des solutions pour contourner le blocage, notamment par l’utilisation de VPN. Alors que les réactions varient, une question demeure : comment cette série de blocages affectera-t-elle l’avenir du numérique en Russie et la place des grandes plateformes internationales dans ce paysage de plus en plus restreint ?

Pendant ce temps, Kaspersky, l’éditeur d’antivirus Russe, se retrouvait éjecté de la boutique de Google. Les produits Kaspersky Lab tels que Kaspersky Endpoint Security et VPN & Antivirus de Kaspersky ne sont plus disponibles au téléchargement sur Google Play aux États-Unis et dans plusieurs autres régions du monde. Les forums officiels de Kaspersky ont confirmé le problème et indiqué que l’entreprise étudiait actuellement les raisons pour lesquelles ses applications ne sont plus disponibles sur le Google Play Store.

Entreprise, Justice, RGPD

Marriott et Starwood : un règlement de 52 millions de dollars pour violation de données personnelles

Marriott International, ainsi que sa filiale Starwood Hotels, ont accepté de verser 52 millions de dollars dans le cadre d’un règlement suite à une série de violations de données ayant exposé les informations personnelles de 344 millions de clients.

Le parcours de Marriott et Starwood en matière de sécurité des données est marqué par trois violations majeures. En juin 2014, une première faille chez Starwood a compromis les informations relatives aux cartes de paiement des clients, une fuite qui est restée non détectée pendant 14 mois. L’ampleur de cet incident a augmenté le risque pour des millions de clients, dont les informations étaient à la merci des cybercriminels.

Un deuxième incident s’est produit en juillet 2014, révélant cette fois 339 millions de dossiers clients, dont 5,25 millions de numéros de passeport non cryptés. Ce n’est qu’en septembre 2018 que cette faille a été découverte, laissant les clients dans une situation de vulnérabilité prolongée. Ces deux événements, antérieurs à l’acquisition de Starwood par Marriott, ont néanmoins rendu ce dernier responsable de la protection des données à la suite de l’intégration.

En septembre 2018, Marriott a également été directement touché par une attaque. Cette fois, les informations personnelles de 5,2 millions de clients ont été compromises, incluant les noms, adresses e-mail, numéros de téléphone, dates de naissance et informations liées aux comptes de fidélité. Bien que cet incident ait eu lieu en 2018, la fuite n’a été découverte qu’en février 2020, mettant en évidence des failles dans la détection et la gestion des incidents de cybersécurité.

Les conséquences du règlement pour Marriott et ses clients

Cet accord intervient après plusieurs incidents de sécurité, dont certains remontent à 2014, avant même l’acquisition de Starwood par Marriott en 2016. Outre l’amende, Marriott devra mettre en place un programme de cybersécurité complet, offrir aux clients la possibilité de supprimer leurs données personnelles et limiter la quantité d’informations stockées.

Pour faire face aux répercussions de ces violations, Marriott a accepté de verser 52 millions de dollars aux autorités de 49 États américains. L’entreprise devra également instaurer des mesures de sécurité renforcées, parmi lesquelles l’implémentation d’un programme complet de protection des données, des audits tiers réguliers, et des limitations strictes quant aux données clients stockées. Ces efforts visent à empêcher de futurs incidents similaires, en assurant que seules les informations nécessaires sont conservées et en offrant aux clients la possibilité de demander la suppression de leurs données personnelles.

Cet accord, bien que coûteux pour Marriott, constitue un signal fort quant à l’importance de la cybersécurité dans un monde de plus en plus connecté. Avec plus de 7 000 hôtels répartis dans 130 pays, Marriott est une entreprise qui gère une quantité massive de données personnelles. La multiplication des attaques informatiques visant les grandes entreprises a souligné l’urgence d’investir dans des systèmes de protection robustes et d’assurer une vigilance constante face aux menaces cybernétiques.

La Federal Trade Commission (FTC) des États-Unis, qui a surveillé de près les différentes violations, a souligné que les entreprises doivent non seulement protéger les données de leurs clients, mais également être en mesure de détecter rapidement toute faille de sécurité pour minimiser les risques. Le cas de Marriott illustre parfaitement l’importance de la détection précoce : une fuite restée inaperçue pendant plusieurs mois, voire années, expose non seulement l’entreprise à des sanctions sévères, mais surtout met en danger les informations sensibles de millions de personnes.

Des changements structurels pour une meilleure gestion des données

L’une des principales mesures prises par Marriott dans le cadre de cet accord est l’audit régulier de ses systèmes de sécurité par des tiers. Cette pratique permettra de garantir que les nouvelles politiques de sécurité mises en place sont effectivement respectées et fonctionnent efficacement. Limiter la quantité de données stockées est également une réponse directe aux violations antérieures, où des informations non nécessaires étaient conservées, augmentant inutilement les risques en cas de piratage.

Offrir aux clients la possibilité de supprimer leurs données personnelles est une autre mesure significative, permettant une transparence accrue et un contrôle direct sur les informations partagées. Ce droit de suppression répond aux attentes croissantes en matière de protection des données dans le cadre des législations internationales, telles que le Règlement général sur la protection des données (RGPD) en Europe.

Cybersécurité, Entreprise

Piratage chez MediCheck : des données médicales sensibles divulguées par le groupe Killsec

Un nouvel épisode de cyberattaque par ransomware frappe durement la Belgique. Le groupe de hackers Killsec a publié plus de 50 000 documents contenant des informations médicales sensibles sur des patients belges.

Ces données ont été dérobées après une intrusion en ligne dans les systèmes de MediCheck, une entreprise spécialisée dans les contrôles médicaux pour des entreprises comme bpost, H&M, et Lidl. La fuite concerne des informations telles que les noms et adresses des patients, des médecins-contrôles, ainsi que des données sur les symptômes médicaux et les médicaments prescrits.

Les pirates du groupe Killsec ont initialement exigé une rançon pour éviter la publication de ces documents. Bien que MediCheck ait d’abord affirmé ne pas vouloir entrer en contact avec les hackers, des négociations ont finalement eu lieu. Ces discussions n’ont pas abouti, et, en conséquence, toutes les données dérobées ont été publiées sur le dark web. Ces informations incluent des données confidentielles concernant l’absentéisme justifié ou non des employés, ce qui soulève des inquiétudes majeures quant à la vie privée et la confidentialité des dossiers médicaux en Belgique.

L’impact de la fuite et la réaction de MediCheck

Cette fuite de données compromet sérieusement la sécurité des informations médicales en Belgique. Dina De Haeck, CEO de MediCheck, a reconnu la gravité de l’incident en affirmant que son entreprise avait « beaucoup appris » de ce piratage. Depuis l’attaque, MediCheck a renforcé ses mesures de sécurité en collaboration avec le Centre pour la cybersécurité Belgique et a annoncé la mise en place d’un audit de sécurité trimestriel. Malgré le silence qui a entouré l’entreprise après l’incident, MediCheck prévoit de relancer ses activités la semaine prochaine, après avoir renforcé ses systèmes.

Le précédent avec Penbox

Il est important de noter que ce n’est pas la première fois que Killsec s’attaque à une entreprise belge. Le mois dernier, le groupe avait dérobé des données à Penbox, une autre entreprise belge. Toutefois, Penbox avait réussi à éviter la divulgation de ces informations en payant une rançon pour récupérer les données volées. Cette affaire montre que Killsec continue d’exploiter des failles dans les systèmes de sécurité des entreprises, renforçant ainsi l’importance de mesures de cybersécurité accrues pour prévenir de telles attaques. (Le Vif)

Bitcoin, Cybersécurité, Entreprise

Ça pirate à tout-va dans le monde de la cryptomonnaie.

Une série d’attaques majeures secoue l’écosystème des crypto-monnaies et des services financiers

Ces dernières semaines, l’écosystème des crypto-monnaies et des services financiers a été frappé par une série d’attaques massives, affectant plusieurs plateformes de premier plan à travers le monde. Indodax, BingX, Truflation et MoneyGram figurent parmi les victimes les plus marquantes de ces incidents de cybersécurité, qui ont entraîné des pertes cumulées de plusieurs millions de dollars. Ces événements soulignent la vulnérabilité des systèmes numériques et la nécessité croissante de renforcer la sécurité dans l’univers des actifs numériques et des services financiers en ligne.

L’attaque contre Indodax : plus de 22 millions de dollars en crypto-monnaies volés

Le 10 septembre 2024, l’échange de crypto-monnaies Indodax, basé en Indonésie, a été frappé par une cyberattaque qui a conduit au vol de plus de 22 millions de dollars en divers jetons numériques. Selon des rapports publiés par les experts en cybersécurité de Slowmist et CertiK, l’attaque a ciblé les portefeuilles chauds de la plateforme – ces portefeuilles qui sont connectés en permanence à Internet pour permettre un accès rapide aux fonds et aux transactions. Bien que cette fonctionnalité soit essentielle pour faciliter l’expérience utilisateur, elle présente également des risques accrus de vulnérabilité face aux cyberattaques.

Plus de 14 millions de dollars en Ethereum (ETH)
2,4 millions de dollars en Tron (TRX)
1,4 million de dollars dans d’autres actifs cryptographiques

L’attaque contre Indodax est l’une des plus importantes en termes de montant dérobé cette année. Elle a jeté un froid sur l’industrie des crypto-monnaies, suscitant des inquiétudes quant à la sécurité des actifs détenus sur les plateformes d’échange. Bien que la société ait immédiatement pris des mesures pour renforcer ses mesures de sécurité et protéger les fonds restants, cet incident met en lumière les failles persistantes dans les systèmes de sécurité des portefeuilles chauds.

BingX : une perte colossale de plus de 44 millions de dollars

À peine quelques jours après l’attaque contre Indodax, un autre échange de crypto-monnaies majeur a été ciblé. BingX, une plateforme de crypto-monnaies basée à Singapour, a révélé avoir subi une cyberattaque qui a entraîné la perte de plus de 44 millions de dollars en actifs numériques.

L’attaque a été découverte après que les spécialistes en sécurité de la blockchain ont commencé à enregistrer des retraits anormalement élevés sur la plateforme. En réponse, BingX a suspendu temporairement ses opérations, expliquant qu’il s’agissait d’une « maintenance du portefeuille ». Cependant, l’entreprise a rapidement confirmé que cette suspension était en réalité due à la détection d’un accès réseau anormal, ce qui a mis en lumière la gravité de la situation.

La suspension des travaux et des transactions a généré une onde de choc parmi les utilisateurs de la plateforme, soulevant des questions sur la sécurité des fonds déposés. À ce jour, BingX n’a pas encore fourni de détails sur la manière dont l’attaque a été menée, ni sur la manière dont l’entreprise prévoit de compenser les pertes subies. Cependant, cette attaque est l’une des plus importantes survenues cette année en termes de pertes financières.

Truflation : une attaque ciblant la trésorerie et les portefeuilles personnels

Le 25 septembre 2024, une nouvelle attaque a secoué la sphère des crypto-monnaies. Cette fois, c’est Truflation, une plateforme blockchain spécialisée dans la fourniture de données financières, qui a été prise pour cible. Selon des informations partagées par le chercheur en sécurité blockchain ZachXBT, environ 5 millions de dollars ont été volés au cours de cette attaque, principalement à partir de la trésorerie de la plateforme et des portefeuilles personnels de certains de ses membres.

L’incident a été détecté lorsque Truflation a observé des activités anormales sur ses systèmes, indiquant un accès non autorisé à ses fonds. Les hackers semblent avoir utilisé des techniques avancées pour contourner les mesures de sécurité de la plateforme et s’approprier les actifs cryptographiques. Truflation a rapidement réagi en renforçant ses contrôles de sécurité, mais l’incident montre à quel point même les projets les plus réputés peuvent être vulnérables.

Ce type d’attaque soulève des préoccupations importantes quant à la protection des fonds au sein des plateformes décentralisées, et met en avant l’importance de systèmes de sécurité encore plus robustes, particulièrement lorsqu’il s’agit de protéger des trésoreries conséquentes.

MoneyGram : perturbation majeure des services de transfert d’argent

Le secteur financier traditionnel n’a pas été épargné par cette vague d’attaques. Le 20 septembre 2024, MoneyGram, un géant des services de transfert d’argent, a suspendu l’ensemble de ses opérations en raison d’un cyber-incident d’envergure. Les services en ligne et hors ligne de MoneyGram ont cessé de fonctionner, plongeant ses millions d’utilisateurs dans l’incertitude.

Le 22 septembre, MoneyGram a confirmé que cette suspension était la conséquence directe d’une cyberattaque ayant compromis les données personnelles de ses clients ainsi que des informations sur leurs transactions. Bien que la société ait indiqué qu’elle enquêtait sur l’incident, elle n’a pas encore fourni de détails quant au nombre exact d’utilisateurs touchés ni à l’ampleur des données compromises.

L’impact de cette attaque est profond. MoneyGram, étant un acteur majeur dans le secteur des transferts d’argent, dessert des millions de personnes à travers le monde. La perturbation de ses services pendant plusieurs jours a non seulement affecté des transactions financières cruciales, mais a également semé le doute sur la capacité de l’entreprise à protéger les données sensibles de ses utilisateurs. Bien que le système soit progressivement remis en ligne, la réputation de MoneyGram pourrait être durablement affectée par cet incident.

Ces attaques successives montrent clairement que l’ère numérique, et en particulier le secteur des crypto-monnaies, reste une cible privilégiée pour les cybercriminels. Les attaques contre Indodax, BingX, Truflation, et MoneyGram mettent en lumière la sophistication croissante des menaces auxquelles ces plateformes doivent faire face.

Bitcoin, Cybersécurité

Telegram : les transactions crypto dans la ligne de mire

Telegram vient d’ajouter une nouveauté dans sa FAQ qui ne plaira pas aux pirates !

Depuis l’arrestation en août 2024 de Pavel Durov, cofondateur de Telegram, les groupes de pirates sur la plateforme sont en panique. La FAQ de Telegram précise désormais que l’application Wallet, utilisée pour les transactions en cryptomonnaies, est prête à divulguer les informations des utilisateurs aux forces de l’ordre.

Bien que Telegram ne gère pas directement Wallet, cette mise à jour de la politique de confidentialité intervient après l’arrestation de Durov et signale un changement dans la gestion de l’anonymat pour les transactions effectuées via la plateforme.

Cybersécurité, Entreprise

Anti-spoofing d’entreprise : Apple sonne la fin du « game » ?

Une nouvelle fonctionnalité pour les utilisateurs Apple permet de distinguer un appel d’une véritable entreprise du spam et des arnaques.

Apple va mettre en place, dans quelques semaines, une option dédiée à contrer les escroqueries et les tentatives d’usurpation d’identité des entreprises. Les sociétés vérifiées via l’option « Business Caller ID » pourront afficher leur logo, leur nom et leur service directement sur l’écran d’appel des appareils Apple. Toute entreprise vérifiée peut s’inscrire sur Apple Business Connect, sans que la taille, l’emplacement géographique ou la présence d’un bureau ne soient des facteurs limitants. La vérification est basée sur l’identifiant Apple.
Le lancement de cette nouvelle fonctionnalité est prévu pour 2025.

Banque, Cybersécurité, loi

Fausse musique et hack de streaming pour 10 millions de dollars !

Les autorités américaines ont récemment inculpé Michael Smith, 52 ans, pour avoir orchestré une fraude aux services de streaming d’une valeur de plus de 10 millions de dollars. Smith aurait utilisé des technologies d’intelligence artificielle (IA) pour générer des centaines de milliers de chansons et les diffuser via des plateformes telles que Spotify, Apple Music, YouTube Music et Amazon Music.

Smith fait face à plusieurs chefs d’accusation, notamment fraude électronique, complot en vue de commettre une fraude électronique et blanchiment d’argent. Chaque accusation pourrait entraîner jusqu’à 20 ans de prison s’il est reconnu coupable. En plus de produire de la musique via IA, Smith aurait manipulé le nombre d’écoutes à l’aide de robots, ce qui lui a permis de percevoir des redevances frauduleuses sur les diffusions.

Selon les autorités, cette fraude aurait duré de 2017 à 2024. Smith aurait utilisé des milliers de comptes fictifs créés à partir d’adresses électroniques achetées pour mettre en œuvre son stratagème. À l’aide d’un logiciel développé en interne, il diffusait en continu ses propres compositions générées par IA, en imitant l’activité de véritables utilisateurs répartis dans plusieurs régions afin de ne pas éveiller les soupçons.

Pour rendre son opération plus crédible et passer sous le radar des plateformes de streaming, Smith a mis en place une stratégie méticuleuse. Il veillait à ne jamais diffuser un morceau trop de fois et choisissait soigneusement des noms d’artistes et de chansons générés par IA afin qu’ils se fondent dans la masse des véritables groupes musicaux. Parmi les exemples cités, des artistes fictifs comme Callous Post et Calorie Screams ont vu leurs morceaux, aux titres étranges tels que Zygotic Washstands et Zymotechnical, inonder les plateformes de streaming.

Les documents d’enquête révèlent que Smith avait commencé en téléchargeant ses propres compositions originales sur les services de streaming, mais ses revenus modestes l’ont incité à passer à la musique générée par IA. En 2018, il s’est associé à un dirigeant anonyme d’une société spécialisée en musique IA et à un promoteur de musique pour créer une vaste bibliothèque de contenu musical produit artificiellement. Bien que les documents judiciaires ne détaillent pas précisément la technologie utilisée pour générer ces morceaux, il est clair que Smith a exploité la flexibilité et la rapidité de production de l’IA pour contourner les systèmes de détection de fraude.

Des millions d’écoutes et des millions de dollars

Le stratagème s’est avéré extrêmement lucratif. Dans des messages internes, Smith a affirmé qu’il pouvait diffuser ses morceaux jusqu’à 661 440 fois par jour, générant ainsi potentiellement 3 307,20 dollars quotidiennement, soit environ 1,2 million de dollars par an. Au plus fort de son activité, Smith contrôlait plus de 1 000 comptes automatisés, chacun hébergeant plusieurs bots destinés à augmenter artificiellement les écoutes de ses morceaux.

En juin 2019, Smith gagnait environ 110 000 dollars par mois, partageant une partie de ces revenus avec ses complices. En 2023, il se vantait d’avoir accumulé 4 milliards de streams et récolté un total de 12 millions de dollars de royalties depuis 2019. Smith a réussi à tromper les services de streaming pendant plusieurs années en manipulant leurs algorithmes et en exploitant les failles de leurs systèmes de surveillance. Cependant, en 2018, lorsque qu’une société de distribution de musique a commencé à signaler des abus dans l’industrie du streaming, Smith a nié toute implication, affirmant qu’il n’y avait « absolument aucune fraude ».

Le procureur Damian Williams a condamné les actions de Smith, déclarant que son stratagème frauduleux lui avait permis de percevoir des millions de dollars de redevances qui auraient dû revenir aux musiciens, auteurs-compositeurs et détenteurs de droits d’auteur légitimes. Un détournement des ressources et des revenus des artistes et créateurs respectant les règles du jeu.

Cybersécurité, double authentification, Entreprise

Remplacer les mots de passe tous les mois ? Plus utile selon le NIST

La sécurité des mots de passe reste un enjeu majeur dans la protection des systèmes numériques et des données sensibles. Le guide du NIST, « Special Publication 800-63B », aborde en détail les pratiques à suivre pour garantir une gestion et une utilisation des mots de passe conformes aux normes de sécurité modernes.

Le National Institute of Standards and Technology (NIST) est l’autorité fédérale américaine. Sa mission, mettre en place des normes technologiques qui s’appliquent aux entreprises américaines. Ses recommandations dépassent les frontière et font, la plupart du temps, référence à l’échelle mondiale. Le guide SP 800-63B du National Institute of Standards and Technology place l’authentification au cœur de la protection des systèmes d’information avec quelque chamboulement. Le NIST rappelle que l’authentification est subdivisée en trois niveaux d’assurance, appelés AAL (Authentication Assurance Levels), qui varient en fonction du niveau de sécurité nécessaire :

AAL1 : Authentification à faible niveau d’assurance, généralement un mot de passe seul.
AAL2 : Authentification nécessitant au moins deux facteurs (par exemple, mot de passe et un facteur physique comme un smartphone ou une clé de sécurité).
AAL3 : Authentification à très haut niveau d’assurance, requérant des méthodes robustes et cryptographiquement sécurisées.

L’un des aspects critiques du SP 800-63B concerne la gestion des mots de passe à tous les niveaux d’authentification.

Traditionnellement, les politiques de sécurité exigeaient des mots de passe complexes, avec des règles telles que l’obligation d’inclure des caractères spéciaux, des chiffres et des majuscules. Le NIST recommande un changement d’approche radical. Plutôt que de forcer la complexité, le guide encourage à privilégier des mots de passe plus longs (au moins 8 caractères) qui sont plus faciles à retenir pour les utilisateurs mais plus difficiles à deviner pour les attaquants. Les mots de passe de 64 caractères ou plus sont autorisés, et les restrictions de complexité doivent être minimisées pour encourager l’utilisation de phrases de passe.

Une autre recommandation du NIST consiste à abandonner les politiques de changement de mot de passe régulier, qui peuvent avoir des effets contre-productifs. Lorsqu’on oblige les utilisateurs à changer leurs mots de passe trop fréquemment, cela les conduit souvent à choisir des mots de passe plus simples ou à réutiliser des variantes faciles à deviner. Bilan, le NIST préconise de ne pas imposer de changement de mot de passe à moins qu’il y ait une raison spécifique, comme la détection d’une compromission. Cela permet de diminuer le stress des utilisateurs tout en garantissant une meilleure protection des comptes.

Désactivation des contraintes inutiles

Le guide déconseille également l’utilisation de règles de composition restrictives qui refusent certains caractères ou qui exigent des combinaisons spécifiques. Cela inclut également la désactivation des systèmes qui empêchent les utilisateurs de copier-coller ou de générer automatiquement des mots de passe, une pratique courante avec les gestionnaires de mots de passe. Le but est de faciliter la création de mots de passe sécurisés tout en réduisant le fardeau cognitif sur les utilisateurs. Le NIST recommande que les mots de passe proposés par les utilisateurs soient vérifiés par rapport à des listes de mots de passe compromis, communément disponibles après des violations de données. Cela inclut les mots de passe courants, les mots de passe exposés et les termes prévisibles associés à des informations personnelles. En bloquant l’utilisation de ces mots de passe connus, le risque de compromission est considérablement réduit. A noter que le Service Veille ZATAZ, entreprise Française, est capable de vous alerter lors de la compromission des informations de votre entreprise, dont les mots de passe.

Les attaques par force brute, où un pirate (ou ses logiciels automatisés) tente d’essayer toutes les combinaisons possibles de mots de passe, restent une menace constante. Le NIST suggère des mesures pour limiter ces tentatives, comme l’introduction de temporisations après un certain nombre d’échecs de connexion. De nombreux sites utilisent cette solution, dont Data Security Breach. L’utilisation d’authentification multi-facteurs est également une défense efficace contre ces types d’attaques, car le hacker malveillant doit non seulement deviner un mot de passe, mais également obtenir un second facteur, ce qui est « quasiment » impossible rapidement et efficacement. Le NIST recommande l’authentification multi-facteurs (MFA) comme méthode essentielle pour garantir une sécurité accrue. Le MFA combine généralement un mot de passe avec quelque chose que l’utilisateur possède (comme un téléphone ou une clé de sécurité) ou quelque chose qu’il est (comme une empreinte digitale). Concernant la biométrie (contrôle par l’empreinte palmaire, l’iris, Etc), le NIST encourage à ne pas utiliser la biométrie comme unique facteur.

Algorithmes de hachage obsolètes

Le NIST déconseille de stocker les mots de passe en texte clair ou sous une forme faiblement protégée, comme les algorithmes de hachage obsolètes (par exemple, MD5 ou SHA-1). Il est essentiel d’utiliser des méthodes modernes de protection des mots de passe comme l’algorithme de hachage sécurisé PBKDF2 ou Argon2, qui ralentissent le processus de vérification hors ligne, rendant les attaques par force brute beaucoup plus difficiles. Les gestionnaires de mots de passe sont fortement recommandés par le NIST pour gérer la complexité de la création et de la mémorisation des mots de passe. Ces outils permettent aux utilisateurs de créer des mots de passe longs et uniques pour chaque service sans avoir à s’en souvenir, ce qui réduit le risque de réutilisation de mots de passe. Le guide suggère d’encourager les utilisateurs à adopter ces outils comme une solution viable pour renforcer leur sécurité personnelle.

Pour conclure, le NIST rappelle la base de la cyber : éducation ! L’un des éléments clés de la sécurité des mots de passe est la sensibilisation des utilisateurs. Les meilleures pratiques en matière de sécurité peuvent être inefficaces si les utilisateurs ne sont pas bien formés. Le NIST insiste sur l’importance de campagnes de sensibilisation pour encourager l’utilisation de phrases de passe, de gestionnaires de mots de passe et de l’authentification multi-facteurs. Il est également crucial que les utilisateurs comprennent les risques liés aux attaques par phishing et à la compromission de leurs identifiants.

article partenaire, Entreprise

4 conseils pour choisir une batterie pour votre ordinateur

La batterie est l’un des éléments indispensables pour le fonctionnement d’un ordinateur portable. Elle offre la liberté et la mobilité aux utilisateurs en raison de son autonomie. Cependant, cet accessoire est disponible en plusieurs marques. De même, les caractéristiques varient selon chaque modèle. Dans cet article, nous vous présentons les paramètres à prendre en compte pour choisir une bonne batterie pour votre ordinateur portable.

Pour acheter une batterie originale pour votre ordinateur portable, la première indication est la marque. Sachez qu’une batterie ne peut pas alimenter toutes les marques d’ordinateur. Pour chaque appareil, il existe une batterie spécifique.  Si votre ordinateur est de marque Apple, par exemple, seule une batterie Apple peut l’alimenter. Ce principe est valable pour toutes les autres fabrications.

Un autre indice pour reconnaître rapidement la batterie idéale pour votre ordinateur est de trouver le numéro de produit de l’ancienne batterie. En effet, chaque batterie possède un code d’identification unique. Celui-ci est souvent une combinaison de chiffres et de lettres. Votre mission est de choisir une nouvelle batterie ayant la même référence que l’ancienne.

Vérifier la capacité de la batterie

Une autre caractéristique à prendre en compte pour choisir la batterie de votre ordinateur portable est sa capacité. C’est l’élément qui détermine l’autonomie de votre ordinateur. Plus la capacité de la batterie est importante, plus votre appareil fonctionnera plus longtemps. À titre indicatif, une batterie de 4400 mAh peut alimenter votre ordinateur pendant 48 h.

Le choix de la capacité de votre batterie dépend de vos besoins. Si vous devez utiliser votre ordinateur uniquement pour travailler au bureau ou à la maison, une batterie de capacité moyenne peut vous convenir. En revanche, si vous utilisez l’appareil en dehors de votre bureau, l’idéal est de privilégier une batterie dotée d’une grande capacité.

Tenir compte de la tension de la batterie

La tension est un autre indicateur à vérifier avant d’acheter une nouvelle batterie pour votre ordinateur portable. La plupart des appareils disponibles aujourd’hui sur le marché fonctionnent avec des batteries dont la tension est comprise entre 7,2 V et 14,8 V. Il est donc essentiel de bien vérifier le voltage correspondant à votre ordinateur pour éviter de choisir une batterie incompatible.

En réalité, un ordinateur qui nécessite un voltage plus bas ne fonctionnera pas avec une batterie de haute tension. Par exemple, vous ne pouvez pas utiliser une batterie de 4,8 V pour un ordinateur qui n’en demande que 7,2 V. En revanche, une petite différence de tension est acceptable. Par exemple, 14,4 V et 14,8 V sont considérés comme la même tension.

Choisir une batterie ayant un grand nombre de cellules

Le nombre de cellules est un critère étroitement lié à la capacité de la batterie. Plus le nombre de cellules est élevé, plus la capacité est importante. De manière générale, 80 % des ordinateurs actuels possèdent entre 3 et 6 cellules.

Toutefois, si vous souhaitez utiliser votre ordinateur le plus longtemps possible, il est conseillé de choisir une batterie ayant 9 à 12 cellules. Cependant, une batterie avec un nombre important de cellules est plus lourde et coûte aussi cher.

Bitcoin, Cybersécurité

Rapport du FBI sur la fraude aux cryptomonnaies : alerte face à la montée des délits

En 2023, la fraude aux cryptomonnaies a atteint des niveaux préoccupants, selon le rapport du FBI. Le Centre de plaintes pour la criminalité sur Internet (IC3) a enregistré plus de 69 000 plaintes liées aux cryptomonnaies, représentant des pertes estimées à 5,6 milliards de dollars. Bien que ces plaintes ne représentent que 10 % des signalements de fraudes financières, les pertes associées à ces cas représentent près de 50 % des pertes totales signalées.

La cryptomonnaie est de plus en plus exploitée dans des escroqueries variées, telles que les fraudes à l’investissement, les escroqueries au support technique, les arnaques amoureuses, ou encore les stratagèmes d’usurpation d’identité gouvernementale. Cependant, la fraude à l’investissement en cryptomonnaies s’est imposée comme la plus répandue et la plus dommageable, causant plus de 3,9 milliards de dollars de pertes en 2023.

La sophistication croissante des fraudes cryptographiques

Le directeur du FBI, Christopher Wray, a exprimé son inquiétude face à la montée en sophistication de ces escroqueries. Il a mis en avant la nécessité d’une vigilance publique accrue, affirmant que la signalisation des fraudes, même en l’absence de pertes financières, est essentielle pour aider le FBI à détecter les nouvelles tendances criminelles et à informer le public.

Les escroqueries liées aux cryptomonnaies suivent souvent un schéma d’ingénierie sociale sophistiqué, dans lequel les victimes sont manipulées pour investir de l’argent dans des opportunités fictives. Voici les étapes typiques d’une fraude à l’investissement en cryptomonnaie :

Cibler les victimes : Les escrocs utilisent diverses méthodes pour attirer leurs victimes, notamment via les réseaux sociaux, les SMS ou les sites de rencontres.

Instaurer la confiance : Une fois la victime approchée, les escrocs cherchent à établir une relation de confiance en flattant et en sympathisant avec leurs difficultés.

Le pitch d’investissement : Après avoir gagné la confiance de la victime, les fraudeurs introduisent l’idée d’un investissement « lucratif », souvent dans des secteurs comme le trading de cryptomonnaies ou le mining.

Investissement initial : Les victimes sont incitées à ouvrir des comptes sur des plateformes légitimes, puis à transférer des fonds vers des plateformes frauduleuses.

Augmentation de l’investissement : Les premières transactions semblent fructueuses, encourageant les victimes à investir davantage. Les escrocs peuvent même autoriser des retraits partiels pour renforcer la confiance.

Le piège final : Lorsque les victimes tentent de retirer tous leurs fonds, elles sont bloquées sous prétexte de frais ou d’impôts supplémentaires à payer. Ce dernier stratagème permet aux criminels de soutirer davantage d’argent avant de disparaître.

La réponse du FBI : Virtual Assets Unit (VAU)

En réponse à cette vague de criminalité, le FBI a renforcé ses capacités d’enquête sur les fraudes liées aux cryptomonnaies en 2022 en créant la Virtual Assets Unit (VAU). Cette équipe spécialisée utilise des technologies de pointe pour analyser la blockchain, suivre les transactions suspectes et saisir les actifs virtuels.

Le FBI encourage les victimes, même celles n’ayant subi aucune perte, à signaler les escroqueries via le portail IC3 (ic3.gov). Ces signalements sont essentiels pour suivre l’évolution des stratagèmes et protéger le public.

Conseils pour éviter les arnaques liées aux cryptomonnaies

Pour se prémunir contre les arnaques en cryptomonnaies, voici quelques conseils :

Méfiez-vous des communications non sollicitées via SMS, réseaux sociaux ou autres canaux proposant des opportunités d’investissement.
Vérifiez de manière indépendante les conseils d’investissement, en particulier s’ils proviennent de contacts en ligne que vous n’avez jamais rencontrés en personne.
Soyez attentif aux signaux d’alerte, tels que les demandes de communication via des applications comme WhatsApp ou Telegram.
Évitez les plateformes d’investissement qui semblent trop belles pour être vraies ou qui imitent des institutions légitimes.
Ne répondez jamais à des demandes de paiements en cryptomonnaie provenant de prétendues agences gouvernementales.

Pourquoi les criminels exploitent-ils les cryptomonnaies ?

La nature décentralisée des cryptomonnaies, combinée à la rapidité et à l’irréversibilité des transactions, en fait une cible attrayante pour les criminels. Les transactions sans supervision d’un tiers sont difficiles à annuler, permettant ainsi aux malfaiteurs de déplacer de grosses sommes d’argent à travers les frontières avec une traçabilité minimale. Bien que la blockchain permette de suivre les transactions, il est difficile de récupérer les fonds lorsque ceux-ci sont transférés dans des pays aux lois anti-blanchiment d’argent peu strictes.

cyberattaque, Cybersécurité

Les cybercriminels de RansomHub utilisent TDSSKiller pour contourner les systèmes de sécurité

Les attaques par ransomware continuent d’évoluer avec l’ingéniosité des cybercriminels, et les méthodes de contournement des systèmes de sécurité se sophistiquent. RansomHub, un groupe de pirates notoire, exploite un outil légitime de Kaspersky Lab, TDSSKiller, pour désactiver les services de détection et de réponse des points finaux (EDR) sur les systèmes qu’ils ciblent.

Ce détournement des outils de cybersécurité souligne un défi majeur dans la lutte contre les ransomwares : l’utilisation d’outils authentiques et signés pour masquer des intentions malveillantes.

TDSSKiller, développé par Kaspersky Lab, est à la base un logiciel de sécurité conçu pour détecter et éliminer les rootkits et bootkits, des types de malwares difficiles à identifier et à éliminer. Ces programmes malveillants peuvent contourner les mesures de sécurité traditionnelles et s’intégrer profondément dans le système, ce qui rend leur élimination complexe.

Cependant, comme le rapporte Bleeping Computer, RansomHub a détourné l’utilisation de cet outil pour interagir avec les services au niveau du noyau du système infecté, désactivant ainsi les services anti-malware tels que MBAMService de Malwarebytes. Ce processus se fait via un script de ligne de commande ou un fichier batch, ce qui permet aux cybercriminels de désactiver les mécanismes de défense critiques et de s’assurer que leur présence sur le système reste inaperçue.

Comment RansomHub utilise LaZagne pour l’exfiltration des informations d’identification

Après avoir désactivé les systèmes de défense via TDSSKiller, les pirates de RansomHub passent à la collecte d’informations d’identification. Ils exploitent l’outil LaZagne, un autre programme légitime, pour extraire les informations de connexion stockées dans les bases de données d’applications. Cet outil peut accéder à des identifiants provenant de navigateurs, de clients de messagerie, de bases de données ou encore de logiciels de gestion de mots de passe.

Une fois les informations d’identification récupérées, les pirates peuvent se déplacer latéralement dans le réseau, escaladant leurs privilèges pour prendre le contrôle de nouveaux systèmes et y installer d’autres malwares ou finaliser une attaque de ransomware. Malwarebytes a enquêté sur une attaque où LaZagne avait généré 60 fichiers contenant des données volées, preuve de l’étendue des informations que ces cybercriminels peuvent exfiltrer.

Les implications pour les entreprises : vigilance et renforcement des défenses

L’utilisation d’outils légitimes dans des attaques malveillantes est particulièrement problématique pour les équipes de sécurité. TDSSKiller est signé avec un certificat valide, ce qui rend sa détection par des logiciels de sécurité standard difficile. Les solutions de sécurité doivent donc être adaptées pour reconnaître des comportements suspects, même s’ils émanent d’outils légitimes. Cela inclut l’analyse comportementale avancée et la mise en place de restrictions plus strictes quant à l’utilisation d’outils tels que TDSSKiller ou LaZagne dans des environnements sensibles. Malwarebytes a souligné que les attaquants de RansomHub ont cherché à dissimuler leurs traces en supprimant des fichiers après avoir exfiltré des données d’identification, un comportement typique visant à éviter la détection post-incident.

Cybersécurité, Entreprise

Cybersécurité : la menace interne

Le FBI a récemment émis une alerte sur une menace de plus en plus courante et souvent négligée : la menace interne. Si les entreprises se concentrent principalement sur les attaques externes, il apparaît que les cybercriminels trouvent de nouveaux moyens d’infiltrer les systèmes de sécurité des organisations en se faisant passer pour des employés.

Une menace interne qui prend une nouvelle dimension avec l’exemple concret de Kyle, un faux employé nord-coréen, qui a réussi à contourner toutes les étapes de recrutement, jusqu’à pénétrer le réseau d’une entreprise. En juillet, KnowBe4 a levé le voile sur un cas inquiétant. L’entreprise avait recruté un employé, appelé Kyle, qui semblait remplir toutes les qualifications nécessaires.

Cependant, dès que Kyle a connecté son PC au réseau de l’entreprise, une vague de malwares a immédiatement été détectée. Le helpdesk a tenté de joindre l’utilisateur, mais celui-ci est resté silencieux. Après une enquête approfondie, il est apparu que Kyle n’était en réalité qu’un faux employé – un agent nord-coréen ayant utilisé une fausse photo générée par l’IA pour tromper les recruteurs. Cette infiltration a mis en lumière un schéma de fraude bien rodé : des fermes d’ordinateurs portables aux États-Unis permettent aux agents nord-coréens de se connecter aux serveurs internes des entreprises depuis l’étranger, camouflant ainsi leur localisation réelle.

Une menace en plein essor aux États-Unis

Et Kyle n’est pas un cas isolé. Le FBI a récemment averti que ce type de menace se propageait aux États-Unis, avec des centaines, voire des milliers de cas similaires recensés depuis 2022 et 2023. Ces infiltrations par des agents étrangers montrent clairement que la cybercriminalité interne est un problème persistant et que les entreprises ne peuvent plus se permettre de sous-estimer ce risque. Face à cette menace croissante, il est essentiel pour les entreprises d’adopter une approche proactive pour renforcer leurs défenses internes. Bien que certaines mesures de sécurité soient déjà en place, d’autres actions peuvent être prises pour limiter les risques d’infiltration.

Les recruteurs doivent désormais redoubler de vigilance, notamment en matière de vérification des antécédents. Même pour des postes en full remote, il est important d’exiger la présence physique des candidats lors du processus de recrutement et régulièrement après leur embauche. La mise en place d’un système de détection des comportements inhabituels est cruciale. Cela peut être aussi simple que de surveiller des paramètres tels que les volumes de données transférées ou les horaires de connexion, ou d’utiliser des technologies avancées comme l’UEBA (User and Entity Behavior Analytics) pour identifier des anomalies plus subtiles. La gestion des droits d’accès aux informations est souvent un point faible dans la sécurité des entreprises. Il est impératif de limiter l’accès aux données sensibles et de s’assurer que chaque employé n’ait accès qu’à ce qui est nécessaire à son travail.

Il est recommandé de constituer une équipe spécifiquement chargée de traiter les incidents liés aux menaces internes. Cette équipe pourra gérer les cas de manière discrète, sans que les informations sensibles ne circulent librement dans le SOC (Security Operations Center) ou dans les tickets ouverts, afin d’éviter des fuites d’informations. Une red team dédiée à la « menace interne » devrait être incluse dans les budgets de cybersécurité pour l’année 2025. Cette équipe spécialisée pourrait simuler des scénarios d’infiltration afin d’identifier les failles potentielles dans les processus de recrutement et de sécurité des entreprises.

Protéger la vie privée tout en assurant la sécurité

Bien que ces mesures soient cruciales, il est tout aussi important de respecter les droits à la vie privée des employés. Les entreprises doivent donc équilibrer la protection contre les menaces internes avec les préoccupations en matière de protection des données personnelles. Pour ce faire, elles peuvent s’inspirer des pratiques éprouvées dans le domaine de la lutte contre la fraude, où des protocoles de sécurité sont en place depuis longtemps tout en préservant les droits des individus.

La menace interne représente un défi croissant pour les entreprises, en particulier avec des cybercriminels capables de se faire passer pour des employés légitimes. L’exemple de Kyle, l’agent nord-coréen infiltré, souligne à quel point ces attaques peuvent être sophistiquées et difficiles à détecter. Mais attention, l’employé malveillant n’est pas obligatoirement venu de pays étranger. Il peut être aussi un « simple » malveillant comme a pu le vivre l’entreprise CapGemini, en France, en 2024.

Chiffrement, Cybersécurité, Entreprise

Entreprise : tentative d’extorsion de données en interne

Le 27 août 2024, Daniel Ryan, un résident de Kansas City, Missouri, âgé de 57 ans, a été arrêté pour tentative d’extorsion de données suite à une opération de cyber-chantage menée contre son ancien employeur, une entreprise industrielle basée dans le comté de Somerset, New Jersey. Cet événement marquant soulève des questions cruciales sur la sécurité des systèmes informatiques et les vulnérabilités internes que certaines entreprises doivent affronter.

Un ancien employé devient cybercriminel

Daniel Ryan, un ancien ingénieur en infrastructures, a été inculpé de trois chefs d’accusation : extorsion par menace de dommages à un ordinateur protégé, dommages intentionnels à un système informatique protégé, et fraude électronique. Ces charges résultent d’une tentative de sabotage et d’extorsion visant à paralyser le réseau informatique de l’entreprise, à moins qu’une somme non spécifiée ne soit versée.

L’arrestation de Ryan met en lumière l’importance de la confiance placée dans les employés ayant accès à des informations sensibles. L’ancien employé, après avoir quitté son poste, a réussi à conserver un accès non autorisé aux systèmes de l’entreprise, exploitant cette faille pour lancer son attaque.

Tentative d’extorsion : un scénario de chaos planifié

L’affaire a débuté lorsque Ryan a envoyé plusieurs lettres de menace à des employés de l’entreprise le 25 novembre 2023, affirmant que le réseau de l’entreprise avait été compromis. Dans ces lettres, il indiquait que tous les administrateurs IT avaient été « exclus ou supprimés » du réseau et que les sauvegardes de données avaient été détruites. Plus alarmant encore, Ryan menaçait de fermer 40 serveurs par jour pendant une période de 10 jours si l’entreprise refusait de se plier à ses exigences.

Cette menace, visant à paralyser totalement l’activité de l’entreprise, souligne l’impact potentiel d’une cyberattaque initiée de l’intérieur, une menace souvent négligée par les entreprises.

L’enquête, menée par le ministère américain de la Justice (DoJ), a révélé que Daniel Ryan avait réussi à obtenir un accès à distance non autorisé au réseau de l’entreprise, en utilisant un compte administrateur. Il a configuré plusieurs tâches malveillantes, incluant la modification des mots de passe des administrateurs et l’arrêt des serveurs, compromettant ainsi la stabilité du réseau.

L’enquête a également découvert que Ryan avait utilisé des outils de hacking bien connus comme Sysinternals Utilities PsPasswd pour changer les mots de passe de l’administrateur de domaine et des comptes locaux, modifiant ces derniers pour qu’ils deviennent TheFr0zenCrew!. Cette modification lui a donné un contrôle quasi total sur les systèmes informatiques de l’entreprise.

De plus, Ryan avait mis en place une machine virtuelle cachée qui lui permettait d’accéder à distance aux systèmes de l’entreprise, dissimulant ses traces grâce à des techniques sophistiquées comme l’effacement des journaux Windows. Les autorités ont également découvert des recherches effectuées par Ryan sur la façon de changer les mots de passe administrateurs à travers des lignes de commande.

Procès et sanctions sévères

Daniel Ryan, après son arrestation, a immédiatement comparu devant la justice. Pour les trois chefs d’accusation retenus contre lui, il risque une peine maximale de 35 ans de prison et une amende de 750 000 dollars. Ce cas de cybercriminalité met en lumière la sévérité des peines encourues pour les crimes liés à l’extorsion et à la fraude électronique, ainsi que l’importance d’une sécurisation renforcée des systèmes IT, même après le départ d’un employé.

L’arrestation de Daniel Ryan est un rappel frappant des dangers internes auxquels les entreprises sont confrontées en matière de cybersécurité. Il est impératif que les entreprises mettent en place des procédures strictes de contrôle d’accès, en particulier lorsque des employés quittent l’organisation, afin de minimiser les risques d’abus. Des systèmes de surveillance renforcés, associés à des pratiques de cybersécurité rigoureuses, sont essentiels pour prévenir de telles attaques internes à l’avenir.

En résumé, la tentative infructueuse d’extorsion de Daniel Ryan démontre les risques liés à une mauvaise gestion des accès IT et souligne la nécessité de rester vigilant face aux menaces internes. Le secteur de la cybersécurité doit continuer à évoluer pour faire face à ces défis en constante mutation, garantissant ainsi la protection des données critiques des entreprises.

Emploi, Entreprise, Wordpress

Enregistrement obligatoire des blogueurs avec plus de 10 000 abonnés : ce qu’il faut savoir

Le Service fédéral de surveillance des communications, des technologies de l’information et des communications de masse (Roskomnadzor) Russe a publié le premier document officiel sur l’enregistrement des blogueurs ayant une audience de 10 000 abonnés ou plus.

Selon ce document, les blogueurs ayant une telle audience sont tenus de s’inscrire auprès de Roskomnadzor dans un registre spécial et de fournir des informations sur :

Nom complet du blogueur (propriétaire de la page personnelle).
Date de naissance.
Données de passeport ou données d’un autre document d’identification.
Adresse email.
Numéro de téléphone du contact.
Le nom du réseau social ou de la plateforme (par exemple, VKontakte, Telegram, YouTube, etc.).
Un lien vers une page personnelle ou un compte comptant plus de 10 000 abonnés.
Confirmation que le nombre d’abonnés dépasse le seuil des 10 000 personnes.
Informations sur le fournisseur d’hébergement et l’adresse IP (le cas échéant).
La nature du contenu.
Les blogueurs s’engagent également à vérifier l’exactitude des informations publiées et à ne pas enfreindre les lois de la Fédération de Russie (par exemple, les lois sur les fausses nouvelles et l’extrémisme). En cas de violation, ils s’exposent à des amendes ou à d’autres sanctions prévues par la législation de la Fédération de Russie. À son tour, Roskomnadzor a la possibilité de surveiller les informations diffusées par les principaux blogueurs pour garantir leur conformité avec les lois russes.

Statistiques

Les statistiques sur le nombre de blogueurs en Russie comptant plus de 10 000 abonnés changent constamment. Ainsi, les blogueurs comptant plus de 10 000 abonnés sont classés parmi les micro-influenceurs, qui représentent une part importante du marché. En 2022, il y avait environ 1,5 million de blogueurs en Russie avec différents niveaux d’abonnés. Parmi eux, les micro-influenceurs (10 000 à 50 000 abonnés) représentent plus de 50 %, les influenceurs intermédiaires (50 000 à 100 000 abonnés) – environ 20 %.

Les chiffres exacts changent constamment, mais le total des blogueurs avec une audience de plus de 10 000 personnes peut être estimé à des centaines de milliers uniquement sur les principales plateformes : VKontakte, Odnoklassniki, Telegram, LiveJournal, Pikabu, Pinterest, Rutube, Yandex.Zen, Twich, Discorde et Yappy. Des plateformes telles qu’Instagram et TikTok, qui sont bloquées en Russie (mais accessibles via un VPN), pourraient également tomber sous le coup de ces règles si elles opèrent officiellement en Russie.

A noter que Roskomnadzor a supprimé le document de son portail quelques heures aprés sa diffusion.

backdoor, Cybersécurité

Un ingénieur découvre une porte dérobée dans des cartes sans contact d’un fabricant chinois

Quarkslab, une entreprise française spécialisée dans la cybersécurité offensive et défensive, a annoncé la découverte d’une porte dérobée présente dans des millions de cartes sans contact fabriquées par Shanghai Fudan Microelectronics Group Co. Ltd., un des principaux fabricants de puces en Chine. Les cartes concernées sont largement utilisées dans les transports publics et l’industrie hôtelière à travers le monde.

Les cartes MIFARE* sont une marque bien connue pour une large gamme de produits de circuits intégrés sans contact, produits et licenciés par NXP Semiconductors N.V. (NASDAQ: NXPI). Les circuits intégrés sans contact MIFARE ont une distance de lecture/écriture typique de 10 cm et sont utilisés dans plus de 750 villes, dans plus de 50 pays, et dans plus de 40 applications différentes à travers le monde, y compris les paiements sans contact, la billetterie de transport et le contrôle d’accès. La gamme de produits a rencontré un immense succès, avec plus de 12 milliards de cartes sans contact et à double interface vendues, selon le vendeur.

Dès 2010, plus de 3,7 milliards de cartes avaient été fabriquées et déployées à travers le monde.

Selon NXP en 2019, lors de son 25e anniversaire, plus de 1,2 milliard de personnes dans plus de 750 villes à travers le monde utilisaient quotidiennement des produits MIFARE.

La famille de cartes MIFARE Classic*, lancée à l’origine en 1994 par Philips Semiconductors (aujourd’hui NXP Semiconductors), est largement utilisée et a été soumise à de nombreuses attaques au fil des années. Les vulnérabilités de sécurité permettant des attaques dites « card-only » (attaques nécessitant l’accès à une carte mais pas au lecteur correspondant) sont particulièrement préoccupantes car elles peuvent permettre aux attaquants de cloner des cartes, ou de lire et de modifier leur contenu, simplement en se trouvant à proximité physique d’elles pendant quelques minutes. Au fil des années, de nouvelles versions de la famille MIFARE Classic* ont été développées pour contrer les différents types d’attaques découvertes par les chercheurs en sécurité.

En 2020, le FM11RF08S, une nouvelle variante de MIFARE Classic*, a été lancée par Shanghai Fudan Microelectronics, le principal fabricant chinois de puces « compatibles MIFARE » non licenciées. Cette variante comporte des contre-mesures spécifiques conçues pour déjouer toutes les attaques « card-only » connues et gagne progressivement des parts de marché à l’échelle mondiale. De nombreuses organisations utilisent ces cartes sans savoir qu’il s’agit de produits Fudan, car elles sont étiquetées MIFARE.

Lors de recherches en sécurité, Philippe Teuwen, chercheur en sécurité chez Quarkslab, a identifié des caractéristiques idiosyncratiques intéressantes des cartes FM11RF08S. Tout d’abord, il a découvert une attaque capable de casser les clés des cartes FM11RF08S en quelques minutes si elles sont réutilisées sur au moins trois secteurs ou trois cartes. Des recherches supplémentaires ont révélé une porte dérobée matérielle qui permet l’authentification avec une clé inconnue.

Il a ensuite utilisé cette nouvelle attaque pour obtenir (« craquer ») cette clé secrète et a découvert qu’elle est commune à toutes les cartes FM11RF08S existantes. Avec la connaissance de la porte dérobée et de sa clé, il a conçu une méthode pour casser toutes les clés d’une carte FM11RF08S en environ 15 minutes si les 32 clés sont diversifiées, beaucoup moins de temps si seulement quelques clés sont définies. Ensuite, il a trouvé une porte dérobée similaire, protégée par une autre clé, dans la génération précédente de cartes (FM11RF08). Après avoir également craqué cette seconde clé secrète, il a découvert que cette clé est commune à toutes les cartes FM11RF08, ainsi qu’à d’autres modèles du même fabricant (FM11RF32, FM1208-10), et même à certaines anciennes cartes de NXP Semiconductors N.V. (NASDAQ: NXPI) et d’Infineon Technologies AG (FSE: IFX / OTCQX: IFNNY).

« Les technologies de communication en champ proche (NFC) sont largement déployées dans le monde entier et ont de nombreuses utilisations aujourd’hui. Elles sont la pierre angulaire de certaines applications critiques telles que les transports publics, l’identification personnelle, le contrôle d’accès physique et les systèmes de paiement, et elles sont omniprésentes dans l’industrie hôtelière. Mais même des technologies matures qui ont été étudiées pendant des décennies et dont la sécurité a été améliorée au fil du temps peuvent être sujettes à des attaques ou à des manipulations par différents types d’acteurs malveillants« , a déclaré Fred Raynal, PDG de Quarkslab. « La découverte de Philippe réaffirme la nécessité pour les organisations de réaliser régulièrement des audits de sécurité approfondis des technologies sans contact qu’elles utilisent. Ce besoin est particulièrement aigu pour les organisations ayant des chaînes d’approvisionnement complexes, où les attaques sur la chaîne d’approvisionnement peuvent représenter une menace sérieuse dans leur modèle de menace.« 

Bien que, sans accès préalable à une carte affectée, la porte dérobée nécessite seulement quelques minutes de proximité physique avec la carte pour mener une attaque, une entité en position de réaliser une attaque sur la chaîne d’approvisionnement pourrait exécuter de telles attaques instantanément et à grande échelle.

Quarkslab a publié un résumé des conclusions sur le blog de l’entreprise. La nouvelle attaque et toutes les découvertes associées ont été révélées dans un article de recherche publié vendredi dernier, le 16 août, sur l’archive de cryptologie ePrint de l’International Association for Cryptologic Research (IACR).

Les outils associés ont été intégrés dans le projet open-source Proxmark3, permettant aux utilisateurs potentiellement affectés de tester leurs cartes.

Cybersécurité, Mise à jour

Ma classe à la rentrée ? Le reveal piégé !

Une escroquerie en ligne, loin d’être nouvelle, cible les parents et les élèves impatients de découvrir avec qui ils partageront leur prochaine rentrée scolaire. Le site « RevealClasse » se présente sous une apparence trompeuse, reprenant les codes visuels des sites gouvernementaux français, notamment l’utilisation des couleurs tricolores et des logos similaires à ceux de la police.

La Gendarmerie Nationale a alerté, en plein été 2024, l’apparition d’un site frauduleux exploitant la curiosité des futurs collégiens et lycées. Une arnaque qui fait son apparition chaque année. La référence des blogs sur la cybersécurité, ZATAZ.COM, en révèle chaque année depuis plus de 20 ans ! Voici trois exemples en 2017 ; 2019 ou encore 2023.

Le faux site repéré par la Gendarmerie.

La Gendarmerie rappelle que ce faux site à trois missions :

  1. Collecte d’informations : Les utilisateurs sont invités à saisir leurs nom, prénom, ville et nom de l’établissement scolaire. Cette étape donne l’illusion de légitimité et de sécurité.
  2. Vérification fallacieuse : Une fois les informations saisies, une liste partielle apparaît, avec des noms floutés. Pour accéder à la liste complète, les utilisateurs doivent prouver qu’ils ne sont pas des robots en accomplissant des « missions » comme l’installation d’applications ou la participation à des jeux-concours.
  3. Escroquerie finale : Malgré toutes ces étapes, les utilisateurs ne reçoivent jamais la liste attendue. À la place, leurs informations personnelles sont volées, les exposant à divers types de fraudes.

La jeune génération : une cible facile

Contrairement aux idées reçues, une étude britannique récente a révélé que les jeunes de moins de 20 ans sont plus vulnérables aux arnaques en ligne que les personnes de plus de 55 ans. Bien que cette génération soit fortement connectée aux réseaux sociaux et aux outils numériques, elle ne détecte pas toujours les pièges en ligne. Il est crucial de ne jamais divulguer d’informations personnelles sur des sites suspects. En cas de doute, contactez votre brigade de gendarmerie ou la brigade numérique. Vous pouvez également signaler ces arnaques sur le site officiel : www.internet-signalement.gouv.fr. La vigilance est de mise pour éviter de tomber dans les pièges tendus par ces cyberdélinquants, surtout lorsque cela concerne la sécurité des informations personnelles des enfants.

Cybersécurité, Mise à jour

Signal, Instagram et Roblox interdits sur Internet

Le ministère des télécommunications Russe fait interdire l’utilisation de la messagerie Signal sur le territoire Russe. Roblox et Instagram en Turquie.

La Russie a annoncé l’interdiction de la messagerie Signal, qui utilise un chiffrement de bout en bout rendant les communications entre utilisateurs inaccessibles aux autorités. Cette mesure s’inscrit dans un renforcement de la législation russe visant à contrôler les services internet étrangers. Roskomnadzor, l’autorité de régulation, a déclaré que Signal enfreint les lois en ne se conformant pas aux exigences de lutte contre le terrorisme et l’extrémisme.

Suite à cette annonce, de nombreux utilisateurs en Russie ont signalé que le service était devenu indisponible. Depuis l’invasion de l’Ukraine par la Russie en 2022, Roskomnadzor a déjà bloqué des milliers de sites internet non approuvés par le gouvernement, renforçant ainsi son contrôle sur l’accès à l’information en ligne. L’interdiction de Signal s’ajoute à cette liste croissante de services restreints en Russie, accentuant la censure et limitant les moyens de communication sécurisés pour les citoyens.

A noter que Signal fonctionne parfaitement, avec un VPN.

De son côté, Telegram fonctionne toujours sur le sol Russe.

Pendant ce temps, en Turquie, Instagram vient d’être de nouveau autorisé après une dizaine de jours de blocage. « À la suite de nos négociations avec les responsables d’Instagram, nous débloquerons l’accès […] après qu’ils se soient engagés à répondre à nos demandes« , indique le ministre des Transports et des infrastructures sur son compte X. Instagram avait été accusé de plusieurs « maux » allant de « censure » en passant par diffusion de « contenus illicites ».

Une autre plateforme ludique et communautaire a été bloquée en Turquie : Roblox. Selon le ministre turc de la Justice, Yilmaz Tunç, il existe un risque d’incitation à la maltraitance des mineurs sur ce jeu vidéo.

« Comme l’exige notre constitution, l’État est tenu de prendre les mesures nécessaires pour protéger nos enfants. L’utilisation de la technologie à des fins négatives ne peut être acceptée », a déclaré le ministre turc de la Justice. Parent, jouez au jeu avec vos enfants, cela vous donnera une vraie idée du contenu et des interactions avec la communauté locale. Cela pourrait éviter de colpoter de fausses informations de « sortie d’école » comme ce fût le cas, en 2018, avec un faux message de la police du Kent trés largement diffusé et déformé.

Banque, Cybersécurité

Les opérateurs téléphoniques inclus dans la lutte contre la fraude bancaire en Russie

Depuis le 25 juillet 2024, les banques russes ont commencé à restituer aux clients les fonds volés par les fraudeurs dans le cadre d’un nouveau système antipiratage de carte bancaire. Les opérateurs téléphoniques sont impliqués dans la chasse aux pirates.

Les banques russes ont l’obligation, depuis le 25 juillet, de rembourser les fonds volés par des pirates informatiques dans les 30 jours suivant la réception de la demande correspondante du client. Comme l’a expliqué un représentant de la Banque centrale, l’objectif principal est de lutter contre le vol de fonds, notamment en utilisant des techniques et des méthodes d’ingénierie sociale. Il a ajouté que le document établit un ensemble de mécanismes visant à encourager les banques à améliorer la qualité de leurs systèmes antifraude. Ainsi, selon la Banque centrale, en 2023, les banques n’ont restitué à leurs clients que 8,7 % des 15,8 milliards de roubles volés (plus de 170 millions d’euros).

Comment se déroulera le remboursement ? Si un client de la banque (particulier) a détecté un vol de fonds, il doit le signaler à la banque. La banque de l’expéditeur doit alors vérifier la demande et restituer le montant total des fonds volés dans un délai de 30 jours après réception de la demande du client dans les cas suivants :

  • si la banque a autorisé le transfert de fonds vers un compte frauduleux, qui se trouve dans la base de données spéciale de la Banque de Russie « Sur les cas et tentatives de transfert de fonds sans le consentement du client ». La Banque centrale collecte cette base de données sur la base des données reçues des banques et autres opérateurs de systèmes de paiement. Elle contient des informations sur les transactions terminées, les payeurs et les destinataires des fonds. Dans le même temps, les établissements de crédit ont trouvé dans cette base de données des données provenant de magasins légaux, y compris des chaînes de vente au détail fédérales et régionales, et ont averti la Banque centrale du blocage forcé des paiements qui leur étaient destinés ;
  • si la banque n’a pas envoyé de notification au client concernant le virement, qui a été effectué sans le consentement du client ;
  • si le client a perdu la carte ou si elle a été utilisée sans son consentement, la banque doit restituer les fonds à condition que le client ait été informé de ces faits. Si le client n’a pas averti la banque de la perte de contrôle de la carte, la banque ne pourra pas rembourser les fonds. Dans ce cas, le délai de retour d’un virement transfrontalier est également précisé – 60 jours.

Les opérateurs téléphoniques en appui Les banques devront également bloquer les transactions suspectes pendant deux jours et pendant ce temps contacter le client pour s’assurer qu’il effectue un transfert d’argent volontairement et non sous l’influence de fraudeurs. Sont considérées comme transactions suspectes celles qui sont effectuées sur un compte ou un appareil à partir de la base de données de la Banque centrale si les paramètres du transfert d’argent sont atypiques pour le client (par exemple, le volume des fonds envoyés, le lieu de la transaction, etc.).

Depuis le 25 juillet, de nouveaux signes de transferts suspects se sont ajoutés. L’un de ces facteurs est l’information des opérateurs mobiles sur les conversations téléphoniques périodiques et longues, ainsi que l’augmentation du nombre de SMS avant l’envoi d’un transfert. Un transfert d’argent vers un compte depuis la base de données de la Banque centrale sera bloqué strictement pendant deux jours, même si le client a confirmé la transaction. Autrement dit, la banque ne pourra traiter le virement qu’après l’expiration de ce délai. Dans tous les autres cas, la banque est tenue d’effectuer le virement immédiatement après avoir reçu la confirmation du client.

Banque, Bitcoin, Cybersécurité

Arnaques crypto : nouvelle méthode de drainage des fonds sur le réseau TON

Les arnaques en crypto-monnaies continuent d’évoluer, exploitant la confiance des utilisateurs et les technologies de pointe pour dérober des fonds.

Une nouvelle méthode de détournement de crypto-monnaies sur le réseau TON a récemment été mise en lumière, utilisant une technique connue sous le nom de « drainer ». Voici comment fonctionne cette arnaque et les précautions à prendre pour se protéger.

Le « drainer » est une technique simple mais efficace pour détourner des fonds en crypto-monnaies. Le processus commence lorsque la victime, souvent appelée « mammouth » dans le jargon des arnaqueurs, se connecte à une application ou un site web malveillant. Ce site peut sembler légitime et demande à l’utilisateur de connecter son portefeuille crypto, tel que Tonkeeper ou @wallet.

Une fois le portefeuille connecté, l’application demande à l’utilisateur d’approuver une transaction. Cette demande d’approbation est souvent masquée ou déguisée pour ne pas éveiller de soupçons. L’utilisateur, pensant qu’il s’agit d’une action bénigne, donne son accord. En réalité, il autorise le transfert de tous ses fonds vers le portefeuille des arnaqueurs. (Exemple d’arnaque dans la vidéo ci-dessous).

Exemple récent d’arnaque

Dans le nouveau rapport lié au cybercrime diffusé par le Ministère de l’Intérieur Français, le 30 juillet, le « drainage » est dans le collimateur des autorités. Récemment, une telle arnaque a permis de détourner 50 000 dollars en quelques clics. Les fonds volés comprenaient des tokens ANON, Gram, et un numéro virtuel acheté deux semaines auparavant pour 12 000 dollars. Vous pouvez voir les détails de la transaction sur le réseau TON via ce lien. Les Etats-Unis, par exemple et comme a pu vous le révéler DataSecuritybreach.fr, viennent de condamner un milliardaire Chinois, en exil aux USA, pour escroquerie à la cryptomonnaie.

Les arnaqueurs derrière cette méthode cherchent actuellement à étendre leurs opérations et recrutent de nouveaux partenaires. Ils proposent de collaborer sans nécessiter d’investissements initiaux ou de vendre des « drainers » prêts à l’emploi pour ceux qui souhaitent se lancer dans cette activité illicite. Ils opèrent principalement sur des forums de la dark web avec un garant pour assurer les transactions. « Nous invitons chacun à rejoindre notre équipe et à gagner de l’argent sans investissement dans le projet scam le plus prometteur du web3. » a pu lire le blog ZATAZ, le spécialiste mondialement reconnu sur toutes les questions de lutte contre le cybercrime.

Comment fonctionne le Drainer ?

Le drainer fonctionne de manière assez simple : sous n’importe quel prétexte (air drop, loterie, etc.), la personne lance un bot Telegram, connecte son portefeuille via le protocole Ton Connect, par exemple Tonkeeper. Le drainer des voyous 2.0 prend en charge n’importe quel portefeuille. Ensuite, une transaction est envoyée, elle peut être acceptée ou refusée. « Si vous confirmez, vous envoyez les TON et tous les autres actifs cryptographiques au portefeuille du propriétaire du drainer. […] Notre objectif est d’attirer la personne dans notre bot, qui peut être déguisé en n’importe quoi : une copie d’un projet célèbre existant, l’obtention d’un actif précieux, des distributions, etc. Lorsque la personne appuie sur le bouton, une approbation lui est demandée, et après sa confirmation, tous les actifs nous sont transférés. » indiquent les pirates.

Comment se Protéger

Vérifiez les applications et sites web
Avant de connecter votre portefeuille crypto à une application ou un site web, assurez-vous qu’ils sont légitimes et bien réputés. Recherchez des avis et des témoignages d’autres utilisateurs.

Lire attentivement les demandes d’approbation
Ne vous précipitez pas pour approuver des transactions ou des demandes d’accès à votre portefeuille. Lisez attentivement ce qui est demandé et assurez-vous de comprendre les implications.

Utilisez des portefeuilles sécurisés
Préférez les portefeuilles avec des mesures de sécurité avancées et des options de validation multiple des transactions.

Méfiez-vous des offres trop belles pour être vraies
Les arnaques proposent souvent des gains rapides et faciles. Soyez sceptique face à ces offres et ne partagez jamais vos informations sensibles.

Éducation et vigilance
Restez informé des dernières arnaques en crypto-monnaies et éduquez-vous sur les pratiques de sécurité. La vigilance est votre meilleure défense contre les arnaques.

Banque, Bitcoin

Un Milliardaire Chinois en exil reconnu coupable d’escroquerie 2.0

Guo Wengui, un milliardaire chinois exilé aux USA connu pour ses virulentes critiques du Parti communiste chinois et ses liens étroits avec les conservateurs américains, a été reconnu coupable escroqué ses abonnés en ligne de centaines de millions de dollars.

Guo, également connu sous les noms de « Miles Kwok » et « Ho Wan Kwok », a attiré un nombre conséquent d’abonnés en ligne grâce à ses vidéos YouTube où il critiquait le gouvernement communiste chinois. Les procureurs fédéraux de Manhattan l’ont accusé d’avoir amassé plus d’un milliard de dollars en promettant à ses abonnés qu’ils ne subiraient aucune perte s’ils investissaient dans ses nombreuses entreprises et projets de cryptomonnaie.

Les accusations portées contre Guo détaillent comment il aurait utilisé cet argent pour financer un style de vie opulent, incluant l’achat d’une maison dans le New Jersey, d’une Lamborghini rouge et d’un yacht de luxe. Après un procès de sept semaines, Guo a été reconnu coupable de neuf des douze chefs d’accusation, incluant le complot de racket et la fraude électronique. Le procureur américain Damian Williams a déclaré que Guo risque plusieurs décennies de prison, avec une sentence prévue pour le 19 novembre 2024 par la juge de district américaine Analisa Torres.

Une Fraude de Grande Envergure

Guo a été arrêté en mars 2023 à New York, accusé d’avoir mené un « stratagème tentaculaire et complexe » de 2018 à 2023. Les procureurs ont affirmé que Guo et son partenaire commercial Kin Ming Je avaient sollicité plus d’un milliard de dollars d’investissements en faisant de fausses déclarations. Ils ont promis des retours sur investissement démesurés aux victimes qui investissaient dans des entités telles que GTV Media, Himalaya Farm Alliance, G|CLUBS et Himalaya Exchange.

Les fonds récoltés ont été utilisés comme une « tirelire personnelle » par Guo pour maintenir son style de vie extravagant aux États-Unis. Des achats somptueux incluaient une maison, une Bugatti personnalisée pour 4,4 millions de dollars, une Ferrari à 3,5 millions de dollars, un yacht de 37 millions de dollars.

Kin Ming Je, un citoyen de Hong Kong et du Royaume-Uni, est toujours en fuite, accusé de 11 chefs d’accusation similaires à ceux de Guo, et risque jusqu’à 20 ans de prison supplémentaires pour obstruction à la justice. Yanping Wang, une autre co-conspiratrice connue sous le nom de « Yvette Wang », a également été arrêtée et inculpée de fraude électronique, de fraude en valeurs mobilières et de blanchiment d’argent.

Un personnage controversé

Guo Wengui était autrefois l’une des personnes les plus riches de Chine avant de quitter le pays en 2014 pour demander l’asile aux États-Unis, accusant les responsables chinois de corruption. Il a gagné une large audience en ligne en alignant ses déclarations politiques contre le régime chinois avec des opportunités d’investissement attrayantes. En 2017, il a demandé l’asile aux États-Unis, ses avoirs ayant été saisis par les gouvernements chinois et hongkongais dans le cadre d’enquêtes pour blanchiment d’argent.

Guo est également connu pour ses liens avec Steve Bannon, ancien conseiller de Donald Trump. Bannon a été arrêté en août 2020 sur le yacht de Guo dans une affaire de fraude non liée, avant d’être gracié par Trump. Plus récemment, Bannon a commencé à purger une peine de quatre mois de prison pour avoir défié une assignation à comparaître de la commission de la Chambre enquêtant sur l’attaque du Capitole le 6 janvier 2021. (USA Today)

Banque, Bitcoin

Au cours des cinq dernières années, 100 milliards de dollars de cryptomonnaies illicites ont transité

Depuis 2019, les échanges de cryptomonnaies ont reçu au moins 100 milliards de dollars provenant d’adresses liées à des activités illégales.

La conclusion à laquelle sont parvenus les chercheurs de la société Chainalysis, a de quoi laisser pantois. Ils ont découvert que les sites dédiés aux échanges de cryptomonnaies ont reçu au moins 100 milliards de dollars provenant d’adresses liées à des activités illégales. Un tiers de ce montant s’est retrouvé sur des plateformes faisant l’objet de sanctions internationales, y compris Garantex.

Garantex est une plateforme d’échange de cryptomonnaies fondée en 2019 et initialement enregistrée en Estonie. Elle permet le trading de diverses cryptomonnaies, y compris Bitcoin, Ether, et des stablecoins comme USDT et USDC. La plateforme offre aux utilisateurs la possibilité d’acheter et de vendre des actifs numériques en utilisant des devises fiduciaires telles que les roubles, les dollars et les euros, avec des services comme des plateformes P2P et des options de dépôt/retrait en espèces sans commission​.

Cependant, Garantex a été impliqué dans des controverses importantes et des problèmes juridiques. En avril 2022, l’Office of Foreign Assets Control (OFAC) du département du Trésor des États-Unis a sanctionné Garantex pour ses liens avec des activités illicites, notamment la facilitation d’opérations de blanchiment d’argent pour le blackmarket Hydra (aujourd’hui fermé), le plus grand marché darknet mondial de biens et services illégaux. Hydra était connu pour ses opérations étendues dans la cybercriminalité, le trafic de drogue et d’autres activités illicites, utilisant souvent des cryptomonnaies pour les transactions​.

Les sanctions contre Garantex faisaient partie d’un effort plus large visant à perturber les réseaux de cybercriminalité et de financement illicite opérant depuis la Russie. La plateforme d’échange a été accusée de permettre des transactions pour des groupes de ransomware et d’autres entités criminelles, avec plus de 100 millions de dollars de transactions liées à des activités illicites. Cela incluait des fonds provenant d’opérations de ransomware et de marchés darknet comme Hydra​.

Selon les chercheurs, ce chiffre témoigne d’un manque de coopération internationale dans la lutte contre le blanchiment d’argent. Chainalysis a également souligné que ces données pourraient ne représenter que la partie émergée de l’iceberg, car elles incluent uniquement les sommes totales transférées de sources illégales vers des services d’échange de cryptomonnaies. Le volume des transactions entre intermédiaires ne peut pas être calculé. L’entreprise affirme qu’une part significative de l’argent sale est désormais stockée et transférée non pas en cryptomonnaies traditionnelles comme le Bitcoin ou l’Ethereum, mais en stablecoins. Ces derniers représentent la majorité du volume total des transactions illégales. Les stablecoins sont devenus le moyen privilégié pour ces transactions illicites, malgré la capacité des émetteurs à geler les fonds, comme l’a fait Tether avec environ 1,5 milliard de dollars d’USDT.

L’année 2022 a enregistré le montant le plus élevé, avec 30 milliards de dollars de cryptomonnaies illicites.