Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Cybersécurité, Entreprise

Le géant BT cible d’une tentative de cyberattaque par le groupe Black Basta

BT Group, acteur majeur des télécommunications britanniques, confirme une tentative de cyberattaque, revendiquée par le groupe de ransomware Black Basta.

BT Group, pilier des télécommunications britanniques, a révélé une tentative de cyberattaque visant sa plateforme de conférence. Le groupe de ransomware Black Basta, apparu en 2022, a revendiqué l’incident, affirmant avoir exfiltré des données sensibles, notamment des informations personnelles sur les employés et des accords de non-divulgation.

Selon un porte-parole de BT, l’incident a été rapidement circonscrit à une partie spécifique de la plateforme, sans impact sur les services de conférence en direct ni sur les infrastructures critiques de l’entreprise. BT, qui emploie environ 100 000 personnes et génère plus de 20 milliards de livres sterling de chiffre d’affaires, collabore avec les autorités pour enquêter sur cet incident.

Black basta, un acteur redouté du ransomware

Apparu en 2022, le groupe de ransomware Black Basta est rapidement devenu une menace notable, ciblant des secteurs stratégiques tels que la santé et les infrastructures critiques. Son modèle repose sur le double extorsion : chiffrer les données des entreprises tout en menaçant de publier des informations sensibles sur leur site de fuites.

Dans le cas de BT, Black Basta prétend avoir obtenu des informations personnelles relatives aux employés ainsi que des accords de non-divulgation et d’autres documents sensibles. Bien que BT n’ait pas confirmé ces revendications, cette tentative montre que même les géants des télécommunications ne sont pas à l’abri des cybermenaces sophistiquées.

« Black Basta : un groupe de ransomware qui cible des secteurs stratégiques avec des méthodes de double extorsion. »

Les autorités américaines ont déjà émis des avertissements concernant Black Basta, en raison de son implication dans des attaques à grande échelle. Ce groupe continue d’évoluer, adoptant des techniques avancées pour contourner les défenses des entreprises et exploiter leurs vulnérabilités.

Une tentative d’attaque circonscrite mais préoccupante

BT a rapidement réagi en isolant la plateforme de conférence affectée, limitant ainsi l’impact de l’incident. L’entreprise a confirmé que les serveurs touchés ne prennent pas en charge ses services de conférence en direct et que les infrastructures critiques, telles que les centraux téléphoniques britanniques, n’ont pas été affectées.

Cependant, l’attaque soulève des questions sur la sécurité des données d’entreprise et les informations sensibles détenues par BT. Les fichiers présentés par Black Basta comme preuve de la compromission incluraient des informations personnelles sur les employés et des documents confidentiels, renforçant les préoccupations quant à l’exposition des données internes.

« L’incident illustre les risques croissants pour les entreprises gérant des infrastructures critiques. »

BT travaille activement avec les régulateurs et les forces de l’ordre pour enquêter sur cet incident et renforcer ses défenses. Cette réponse souligne l’importance de collaborations rapides et efficaces pour minimiser les impacts des cyberattaques.

Un rappel des menaces pour les infrastructures critiques

L’attaque contre BT s’inscrit dans un contexte de cybermenaces croissantes ciblant les entreprises gérant des infrastructures critiques. En tant que fournisseur historique de télécommunications au Royaume-Uni, BT joue un rôle central dans l’écosystème technologique national. Toute attaque visant ses systèmes pourrait avoir des conséquences graves pour les services dépendant de son infrastructure.

Les groupes de ransomware comme Black Basta exploitent les vulnérabilités des entreprises pour exfiltrer des données sensibles et exercer une pression financière et réputationnelle. Cette attaque met en évidence l’importance pour les entreprises stratégiques de renforcer leurs systèmes de sécurité, d’investir dans des solutions de détection avancées et de former leurs employés à reconnaître les menaces.

Cette tentative de compromission, bien que limitée dans son impact immédiat, est un rappel que les entreprises doivent rester vigilantes face à des acteurs cybercriminels toujours plus audacieux et sophistiqués.

Cette tentative de cyberattaque contre BT Group illustre une fois de plus les risques auxquels sont confrontées les entreprises gérant des infrastructures critiques. A voir maintenant si l’incident a bien été circonscrit.
Pour rester informé des cybermenaces et découvrir des solutions pour protéger votre organisation, abonnez-vous à la newsletter de ZATAZ.COM et rejoignez notre groupe WhatsApp. Ensemble, préparons-nous face à l’évolution des cybermenaces mondiales !

cyberattaque, Cybersécurité

Cyberattaque chez Blue Yonder : le groupe Termite revendique le vol de 680 Go de données sensibles

Blue Yonder, géant des logiciels détenu par Panasonic, subit une cyberattaque majeure. Le gang Termite revendique 680 Go de données volées et plusieurs victimes mondiales.

Blue Yonder, fournisseur de solutions logicielles pour plus de 3 000 grandes entreprises dans 76 pays, est au cœur d’une cyberattaque revendiquée par le groupe Termite. Ce gang de ransomware, actif depuis avril, affirme avoir volé 680 Go de données, incluant des emails, documents d’assurance et informations sensibles d’entreprise. L’attaque, révélée le 21 novembre juste avant Thanksgiving, a provoqué des perturbations majeures dans les systèmes de ses clients, parmi lesquels des supermarchés, des fabricants et des entreprises comme Starbucks.

Blue Yonder, acquis par Panasonic en 2021 pour 8,5 milliards de dollars, a déclaré que plusieurs systèmes clients ont été rétablis et travaille en collaboration avec des experts en cybersécurité pour renforcer ses défenses. Cependant, cette attaque met en lumière la persistance des groupes de ransomware comme Termite, liés à la famille Babuk, et leur capacité à cibler des infrastructures critiques dans le monde entier.

Blue Yonder, une cible de choix pour le groupe termite

Blue Yonder, spécialiste des logiciels de gestion de la chaîne d’approvisionnement, est une cible stratégique. Ses solutions, utilisées par plus de 3 000 entreprises dans 76 pays, jouent un rôle clé dans la logistique, la livraison et les retours. L’impact d’une attaque sur une telle organisation dépasse ses propres systèmes, affectant directement les opérations de ses clients, dont des supermarchés et des géants comme Starbucks.

Le 21 novembre 2024, juste avant Thanksgiving, Blue Yonder a révélé qu’une cyberattaque avait compromis ses systèmes. Le gang Termite a revendiqué cette attaque, affirmant avoir volé 680 Go de données, incluant des emails, des documents financiers et des informations sensibles d’entreprise. Les déclarations de Termite soulignent leur audace, d’autant plus qu’ils ont déjà revendiqué des attaques contre des entités gouvernementales, comme celle de l’île de La Réunion.

Blue Yonder a confirmé que plusieurs clients touchés ont pu être remis en ligne, dont BIC, Starbucks et Morrisons, mais n’a pas précisé si une rançon avait été exigée. Cette attaque montre à quel point les infrastructures critiques restent vulnérables aux groupes de ransomware, qui évoluent et adaptent constamment leurs outils pour contourner les défenses.

Sainsbury’s, l’une des plus grandes chaînes de supermarchés du Royaume-Uni, a déclaré que ses services avaient été rétablis depuis qu’elle a été touchée par l’attaque par ransomware. Une autre grande chaîne de supermarchés britannique, Morrisons, a expliqué que l’attaque avait eu un impact sur les systèmes de gestion des entrepôts de l’entreprise pour les produits frais et les fruits et légumes.

Termite, un groupe de ransomware en pleine expansion

Le gang Termite, actif depuis avril 2024, a multiplié les attaques contre des cibles variées, allant d’entreprises privées à des institutions gouvernementales. Leur revendication de l’attaque contre Blue Yonder n’est pas un cas isolé : ils ont également pris pour cible l’administration de La Réunion et de nombreuses autres victimes à travers le monde, souvent sans confirmation officielle des entités touchées.

Selon les experts en cybersécurité, le code utilisé par Termite présente des similitudes avec celui de Babuk, un groupe de ransomware bien connu. Cependant, des analyses récentes menées par Trend Micro montrent que leur malware comporte encore des erreurs, ce qui suggère que le groupe est en phase d’apprentissage et d’évolution.

Les groupes comme Termite exploitent la cybercriminalité non seulement pour le gain financier, mais aussi pour semer la peur et la confusion parmi leurs victimes. Ces attaques mettent en évidence la nécessité pour les entreprises de renforcer leur cybersécurité et de collaborer avec des experts pour se protéger contre des groupes toujours plus sophistiqués. Termine est le groupe qui a attaqué le Département de La Réunion / Mayotte.

Impacts et enseignements pour les entreprises

Cette attaque rappelle l’importance cruciale de la cybersécurité pour les grandes entreprises. En 2021 déjà, Blue Yonder avait été victime d’un ransomware, montrant que les cybercriminels ciblent régulièrement les organisations qui gèrent des données sensibles ou des infrastructures critiques.

Depuis son acquisition par Panasonic en 2021 pour 8,5 milliards de dollars, Blue Yonder a renforcé sa présence sur le marché mondial. Cependant, ces gains attirent également l’attention des cybercriminels. Les conséquences d’une telle attaque peuvent être dévastatrices : perturbation des chaînes d’approvisionnement, perte de données critiques, atteinte à la réputation et, potentiellement, des coûts importants liés au paiement d’une rançon ou à la récupération des systèmes.

Les experts insistent sur l’importance d’un plan de réponse aux incidents, de la formation du personnel et de la collaboration avec des partenaires en cybersécurité pour prévenir les attaques futures. Le cas de Termite montre également que les groupes de ransomware deviennent de plus en plus agressifs et ne se limitent plus à demander une rançon, mais cherchent à maximiser leurs gains en exploitant les données volées.

Pour suivre les dernières actualités sur la cybersécurité et apprendre comment protéger votre entreprise, abonnez-vous à notre newsletter  et rejoignez notre groupe WhatsApp. Informez-vous pour anticiper les menaces et renforcer vos défenses numériques !

Cybersécurité, Entreprise

Cyberattaque ciblant une multinationale américaine : enquête sur une offensive chinoise sophistiquée

Une multinationale américaine, possédant des actifs en Chine, a été victime d’une cyberattaque sophistiquée orchestrée par des pirates chinois entre avril et août 2024.

Entre avril et août 2024, une entreprise américaine d’envergure internationale, active en Chine, a été la cible d’une cyberattaque orchestrée par un groupe de pirates chinois. Bien que le nom de l’entreprise reste confidentiel, cette attaque s’inscrit dans un contexte de cyberespionnage intensifié visant les grandes entreprises opérant sur le marché chinois.

Les experts de Symantec ont identifié des indices clairs pointant vers une stratégie élaborée impliquant des outils open source comme PowerShell, FileZilla et WinRAR, mais également des méthodes complexes comme le « Kerberoasting ».

Les assaillants ont exploité des vulnérabilités des systèmes, notamment les serveurs Exchange, pour exfiltrer des données sensibles. Cette attaque s’ajoute à une série d’actions malveillantes similaires, notamment celles du groupe Daggerfly, qui avait ciblé cette même entreprise en 2023. Une enquête approfondie révèle les tactiques et les outils utilisés, ainsi que leurs implications sur la cybersécurité mondiale.

Un scénario bien orchestré : des attaques ciblées et des outils open source

L’attaque a débuté le 11 avril 2024, marquant le point de départ d’une campagne cybercriminelle méticuleusement orchestrée. Les assaillants ont commencé par exploiter les commandes Windows Management Instrumentation (WMI) pour explorer l’infrastructure cible et collecter des données critiques. Rapidement, des techniques avancées comme le « Kerberoasting » ont été utilisées pour interroger Active Directory et obtenir des informations d’authentification.

Un des points marquants de cette attaque est l’utilisation d’outils open source bien connus dans le domaine de la cybersécurité, comme FileZilla et PuTTY, rebaptisé en « putty.exe ». Cette approche, surnommée « vivre de la terre », consiste à détourner des outils légitimes pour éviter la détection. De plus, PowerShell et WinRAR ont été mis à contribution pour compresser et exfiltrer les données, tandis que PsExec a permis une gestion à distance des ressources piratées.

Les cybercriminels ont su structurer leurs attaques en répartissant les rôles entre différentes machines, accentuant l’efficacité de leur intrusion. Cette méthodologie témoigne d’une organisation poussée, où chaque machine se voyait attribuer une tâche spécifique, qu’il s’agisse de la collecte d’informations, de l’extraction ou de la persistance réseau.

Empreintes numériques et pistes chinoises

Des éléments retrouvés sur les systèmes compromis relient directement cette attaque au groupe chinois Crimson Palace. Parmi ces indices figurent des fichiers malveillants utilisés dans des attaques similaires par ce groupe par le passé. Les pirates ont également usé d’une DLL malveillante, introduite le 13 juin via « iTunesHelper.exe », renforçant la complexité de l’attaque.

Ce type d’opération reflète une approche méthodique. L’utilisation d’outils comme Impacket démontre la maîtrise des techniques modernes de cyberespionnage. Crimson Palace est connu pour ses campagnes visant à collecter des renseignements industriels et stratégiques, notamment en exploitant les infrastructures critiques d’entreprises étrangères opérant en Chine.

L’enquête révèle aussi une résilience réseau impressionnante mise en place par les assaillants. À l’aide de modifications dans le registre, de WMI et de PsExec, ils ont établi des points d’entrée persistants pour garantir un accès prolongé, même après la découverte initiale de l’intrusion.

Des leçons à tirer pour la cybersécurité mondiale

Les outils et méthodes employés dans cette attaque illustrent une tendance préoccupante : l’adoption par les cybercriminels d’une approche hybride mêlant exploitation des vulnérabilités internes et utilisation d’outils open source. Cette combinaison leur permet d’opérer sous le radar des systèmes de détection classiques.

Les experts de Symantec insistent sur la nécessité pour les entreprises de surveiller en continu leurs infrastructures, en particulier les serveurs Exchange, souvent ciblés pour leur valeur stratégique. Par ailleurs, la sophistication de cette attaque met en lumière l’importance de la formation des équipes internes à la cybersécurité et la mise en place de politiques rigoureuses de gestion des accès.

Les entreprises doivent également investir dans des solutions de détection avancées, capables d’identifier les comportements anormaux liés aux outils open source et aux techniques comme le « Kerberoasting ». Enfin, les partenariats internationaux restent essentiels pour répondre aux menaces transnationales, en particulier face à des groupes comme Crimson Palace ou Daggerfly.

Cette attaque rappelle l’importance de rester vigilant face aux menaces cybernétiques sophistiquées. Pour approfondir vos connaissances sur la cybersécurité et suivre les dernières actualités, abonnez-vous à notre newsletter et rejoignez notre groupe WhatsApp.

backdoor, Cybersécurité, Entreprise

Les opérateurs téléphoniques refusent de fournir des données de sécurité à l’armée américaine

Les opérateurs téléphoniques américains refusent de partager avec le Pentagone les résultats de tests de sécurité, invoquant le secret professionnel.

Le refus des opérateurs téléphoniques de partager les résultats de tests de sécurité avec le Pentagone soulève des préoccupations majeures en matière de cybersécurité nationale.

Le 4 décembre 2024, une lettre révélait que des entreprises de télécommunications américaines refusaient de fournir au Département de la Défense les résultats de leurs tests et audits de sécurité numérique, invoquant le privilège avocat-client. Cette situation a suscité l’indignation de sénateurs, qui estiment que le Pentagone, en tant que l’un des plus grands acheteurs de services téléphoniques sans fil aux États-Unis, devrait exiger des normes de cybersécurité plus strictes de la part de ses fournisseurs.

Un refus justifié par le secret professionnel

Selon les informations divulguées par Reuters, le Pentagone a sollicité les résultats de tests et d’audits de sécurité numérique auprès des opérateurs téléphoniques avec lesquels il contracte pour des services de télécommunications. Cependant, ces entreprises ont refusé de partager ces informations, arguant qu’elles sont protégées par le privilège « avocat-client« . Cette position a été confirmée par des réponses fournies au sénateur démocrate Ron Wyden [lire].

Les réponses du Département de la Défense n’ont pas nommé spécifiquement les opérateurs concernés. Cependant, il est connu que des entreprises telles qu’AT&T, Verizon et T-Mobile fournissent des services sans fil commerciaux pour des usages non classifiés au sein du gouvernement. Ces entreprises n’ont pas immédiatement répondu aux sollicitations pour commenter cette affaire.

Une cybersécurité nationale en question

La sécurité des télécommunications américaines, en particulier via des opérateurs commerciaux, est devenue une préoccupation majeure après une série d’intrusions attribuées à des hackers chinois. Des responsables américains ont précédemment allégué qu’un groupe de hackers, surnommé « Salt Typhoon », avait dérobé des enregistrements audio téléphoniques limités, ainsi qu’une grande quantité de données d’appels. Ces enregistrements concernaient principalement des personnes dans la région de Washington.

Les autorités chinoises ont qualifié ces allégations de désinformation, affirmant que Pékin « s’oppose fermement et combat les cyberattaques et le cybervol sous toutes ses formes ». Le jeudi suivant la révélation de cette affaire, les sénateurs devaient recevoir un briefing confidentiel sur « Salt Typhoon » et son impact sur les données américaines.

Dans une lettre co-signée avec le sénateur républicain Eric Schmitt, le sénateur Wyden a exprimé son mécontentement face à cette situation. Ils ont souligné que, bien que le Pentagone soit l’un des plus grands acheteurs de services téléphoniques sans fil aux États-Unis, il n’a pas utilisé son pouvoir d’achat pour exiger des défenses cybernétiques et une responsabilité accrues de la part des opérateurs.

Implications pour la sécurité nationale

Le refus des opérateurs de partager des informations cruciales avec le Département de la Défense soulève des questions sur la capacité du gouvernement à protéger ses communications sensibles. Cette situation met en lumière la nécessité d’une collaboration renforcée entre le secteur privé et les agences gouvernementales pour assurer la sécurité des infrastructures critiques.

Les opérateurs de télécommunications ont l’obligation de protéger les données de leurs utilisateurs. En France, par exemple, le Règlement Général sur la Protection des Données (RGPD) impose aux opérateurs de mettre en place des mesures techniques et organisationnelles pour assurer la sécurité des données personnelles. Ils doivent également notifier toute violation de données à la CNIL dans les 72 heures et, si nécessaire, informer les personnes concernées.

L’accès des autorités publiques aux données conservées par les opérateurs téléphoniques est encadré par la loi. En France, par exemple, l’accès aux données de trafic des communications électroniques par les autorités publiques constitue une ingérence dans les droits fondamentaux, qui doit être proportionnée et justifiée par des motifs légitimes, tels que la prévention et la répression des infractions pénales. En France, les opérateurs de télécommunication sont tenus de conserver les données de connexion de leurs utilisateurs pendant un an à des fins de lutte contre la criminalité et le terrorisme. Cette obligation a été confirmée par le Conseil d’État, qui a jugé que la conservation généralisée des données est justifiée par la menace existante pour la sécurité nationale.

La réticence des opérateurs téléphoniques américains à partager des informations de sécurité avec le Département de la Défense met en lumière les défis complexes de la cybersécurité nationale. Il est essentiel que les entreprises et les gouvernements collaborent étroitement pour protéger les infrastructures critiques et les données sensibles. Les exemples internationaux, tels que les réglementations européennes sur la protection des données, peuvent offrir des perspectives sur la manière de concilier la sécurité nationale et la protection des droits individuels.

L’ambiance est-elle que même le FBI incite à l’utilisation de messageries chiffrées ! Dans une alerte de ce 4 décembre, la CISA (Cybersecurity and Infrastructure Security Agency), la NSA (National Security Agency), le FBI (Federal Bureau of Investigation), le Centre australien de cybersécurité (ACSC), le Centre canadien pour la cybersécurité (CCCS), et le Centre national de cybersécurité de Nouvelle-Zélande (NCSC-NZ) alertent sur une vaste campagne d’espionnage menée par des acteurs affiliés à la République populaire de Chine (RPC). Ces derniers auraient compromis les réseaux de grands fournisseurs mondiaux de télécommunications pour accéder à des informations sensibles. Cette alerte vise à fournir des pratiques exemplaires pour protéger les infrastructures et équipements critiques, tout en renforçant leur visibilité et leur durcissement face aux menaces.

Pour anticiper ces défis, il est essentiel de rester informé et de mettre en place des stratégies de défense modernes et adaptatives. Rejoignez la newsletter de ZATAZ MEDIA et le Groupe WhatsApp pour ne rien manquer des actualités et des conseils en cybersécurité.

Cybersécurité, Entreprise

2025 : IA et ingénierie sociale aux mains des hackers ?

Alors que 2024 s’achève, voici les prédictions de Data Security Breach pour 2025, une année où l’Intelligence Artificielle (IA) et les attaques sur les identités promettent de redéfinir le paysage de la cybersécurité. Avec une sophistication accrue des cybermenaces, les entreprises et individus devront redoubler de vigilance face aux nouvelles formes d’ingénierie sociale et d’attaques assistées par IA.

Les plateformes cloud comme AWS, GCP, et autres environnements similaires, devenues indispensables pour les entreprises, continuent d’être des cibles de choix pour les cybercriminels. La stratégie des attaquants n’a jamais été aussi claire : compromettre des identités plutôt que des systèmes.

Les vulnérabilités liées aux identités, telles que :

Comptes à privilèges excessifs avec identifiants faibles.
Comptes d’anciens collaborateurs désactivés mais non sécurisés.
Accès dormant laissé actif après une démission.
permettent aux attaquants de s’infiltrer sans déclencher d’alertes. Une fois un compte compromis, ces acteurs malveillants peuvent « se connecter » aux ressources sensibles, sans effort ni piratage technique complexe. La sécurisation des identités devient ainsi une priorité absolue pour les entreprises en 2025.

L’IA : entre innovation et menace

Une IA plus avancée pour la détection des menaces. En 2025, les systèmes d’IA devraient atteindre de nouveaux sommets. Des modèles avancés permettront :

Une détection améliorée des menaces internes avec une précision inégalée.
Une prédiction proactive des cyberattaques, limitant leur impact avant qu’elles ne se concrétisent.
La collaboration mondiale d’IA pour instaurer des standards de sécurité réactive et proactive.

La répression de l’IA générative

Toutefois, les entreprises seront également confrontées à un revers de la médaille. En 2025, les dirigeants comprendront que l’IA générative n’apporte pas que des avantages. Nous pourrions voir apparaitre un usage restreint et contrôlé autour de cas spécifiques ayant prouvé leur utilité. Les applications non essentielles seront limitées pour éviter des dérives coûteuses et risquées. Cependant, le contrôle s’annonce déjà très compliqué et potentiellement liberticide.

Ingénierie sociale et arnaques avancées : des outils plus puissants

Ingénierie sociale sophistiquée. L’ingénierie sociale, une méthode classique d’exploitation des comportements humains, continuera d’évoluer en 2025 grâce à l’IA générative. Cette dernière permettra de :

Créer des contenus réalistes (textes, images, voix, vidéos) pour tromper les cibles.
Améliorer la personnalisation des attaques, rendant les campagnes de phishing presque indétectables.
Les acteurs malveillants pourront exploiter ces outils pour produire des contenus sophistiqués à faible coût, augmentant l’impact psychologique sur leurs victimes.

Les arnaques vocales (vishing) et les vidéos générées par IA (deepfakes) deviendront encore plus convaincantes en 2025. L’une des innovations les plus inquiétantes sera la combinaison de voix synthétiques et de deepfakes vidéo lors d’appels en temps réel. Cette technologie permettra aux cybercriminels :

D’interagir directement avec leurs victimes en simulant l’apparence et la voix d’un proche ou d’un supérieur hiérarchique.
De manipuler des employés pour autoriser des transferts de fonds ou divulguer des informations sensibles.
Multiplication des menaces assistées par IA

L’IA générative permettra des campagnes de phishing d’une précision jamais vue. Les attaques utiliseront des données publiques ou compromises pour créer des e-mails, messages ou appels authentiques et ciblés.

Exploitation des vulnérabilités à distance

Les cyberattaques à distance, comme le minage illicite de cryptomonnaies, resteront un vecteur de menace majeur. Couplées à l’IA générative, ces attaques deviendront plus complexes, contournant les mesures de sécurité traditionnelles et nécessitant des contre-mesures sophistiquées.

Se préparer aux défis cybersécurité de 2025

Les prévisions du Threat Labs soulignent que 2025 sera une année charnière pour la cybersécurité. Les entreprises et les individus devront investir dans des technologies modernes et repenser leurs stratégies pour contrer ces nouvelles menaces. Quelques axes clés pour se préparer :

Renforcer la gestion des identités et des accès : Supprimer les comptes dormants, implémenter des politiques robustes de mots de passe et activer une authentification multifactorielle.
Investir dans l’IA pour la sécurité : Intégrer des systèmes capables de détecter et de prévenir les comportements anormaux.
Sensibiliser les employés : Former les collaborateurs à reconnaître les tactiques d’ingénierie sociale, même lorsqu’elles sont sophistiquées.
Collaborer à l’échelle mondiale : Participer à des initiatives internationales pour établir des standards de sécurité contre les menaces générées par l’IA.

En 2025, le paysage de la cybersécurité sera marqué par des avancées technologiques et des menaces inédites. L’IA générative, bien qu’offrant des opportunités de protection sans précédent, sera également exploitée par des cybercriminels toujours plus inventifs.

Pour anticiper ces défis, il est essentiel de rester informé et de mettre en place des stratégies de défense modernes et adaptatives. Rejoignez la newsletter de ZATAZ MEDIA et le Groupe WhatsApp pour ne rien manquer des actualités et des conseils en cybersécurité.

Banque, Entreprise

Les fuites d’informations personnelles en Russie : un pays en crise

Au cours des deux dernières années, les principales sources de fuites d’informations personnelles sur les citoyens Russes ont été les magasins en ligne et les établissements médicaux, tandis que les organismes bancaires ne représentaient que 2 % de l’ensemble des fuites.

Stanislav Kuznetsov a décrit la situation en matière de protection des données en Fédération de Russie comme « déplorable », affirmant qu’au cours de cette période, les données personnelles d’au moins 90 % de la population adulte ont été rendues publiques. Cette statistique choquante souligne la vulnérabilité des systèmes de sécurité dans plusieurs secteurs cruciaux.

La majorité des fuites proviennent de secteurs tels que le commerce en ligne et les établissements médicaux, et non des institutions bancaires.

Un pic des fuites en 2023

Le vice-président a souligné que 2023 a été l’année la plus critique pour les fuites de données confidentielles. En 2024, même si le nombre d’incidents a diminué, les conséquences restent importantes. Sberbank prévoit que les dommages économiques liés aux incidents de cybersécurité atteindront environ 1 000 milliards de roubles pour la période 2023-2024. Le montant estimé des vols par les escrocs et cybercriminels en 2024 s’élève à 250 milliards de roubles.

Cette situation alarmante montre que malgré les efforts des institutions financières, la fuite des données et le vol de fonds continuent d’afficher une tendance à la hausse.

L’essor des escroqueries téléphoniques

Entre février et mars 2024, Sberbank a enregistré un pic record de 20 millions d’appels frauduleux par jour. À l’heure actuelle, ce chiffre reste élevé, avec entre 6 et 7 millions d’appels quotidiens. Les escrocs, de plus en plus habiles, perfectionnent leurs techniques et adoptent des approches toujours plus sophistiquées pour tromper leurs victimes. Un représentant d’une institution financière a déclaré qu’au cours des deux dernières années, les données personnelles d’au moins 90 % de la population adulte de la Fédération de Russie étaient devenues librement accessibles sur Internet.

La majorité des appels frauduleux proviennent de numéros masqués ou internationaux, renforçant la difficulté de leur détection par les victimes.

Malgré cela, les systèmes de sécurité des banques bloquent actuellement environ 99 % des tentatives de transfert frauduleux. Cette statistique montre l’efficacité relative des mesures prises par les institutions financières, mais aussi la nécessité de rester vigilant face aux nouvelles méthodes des criminels.

Amende en cas de fuite de données

Le chef du ministère russe du Développement numérique, Maksut Shadayev, a déclaré que la décision d’introduire des amendes en cas de fuite de données confidentielles serait prise par la Douma d’État et le gouvernement de la Fédération de Russie avant la fin de cette année. Le ministre a fait la déclaration correspondante lors de son discours lors de l’événement en cours SOC Forum 2024.

Maksut Shadayev a déclaré qu’aujourd’hui le volume total des fuites d’informations personnelles sur les citoyens russes dépasse toutes les limites acceptables. À cet égard, on s’attend à ce que les autorités russes décident d’introduire des amendes négociables pour de tels incidents de sécurité de l’information avant la fin de 2024, d’autant plus que le projet de loi correspondant a déjà été adopté en première lecture à la Douma d’État.

Le ministre du Développement numérique, lors de son discours, a également souligné qu’en Russie, il était depuis longtemps nécessaire d’introduire des mesures économiques sérieuses visant à empêcher les fuites de données confidentielles. De plus, nous parlons non seulement des données personnelles des citoyens russes, mais également des informations sur les entreprises, qui présentent également un grand intérêt pour les fraudeurs et les cybercriminels. Maksut Shadayev est convaincu que les entreprises devraient assumer une responsabilité financière importante dans les fuites d’informations confidentielles, surtout si elles concernent les données personnelles des citoyens russes.

Pour rester informé des évolutions en matière de cybersécurité, inscrivez-vous à notre newsletter ou rejoignez le groupe WhatsApp de DataSecurityBreach.

backdoor, Bitcoin, Cybersécurité

BlueNoroff : la nouvelle menace contre les cryptomonnaies sur macOS

Le groupe nord-coréen BlueNoroff, spécialisé dans les cyberattaques ciblant les sociétés de cryptomonnaies, a lancé une campagne massive baptisée Hidden Risk. Utilisant un malware multi-étapes sophistiqué, ce groupe vise les systèmes macOS en exploitant un mécanisme de persistance indétectable par les dernières versions de l’OS.

BlueNoroff utilise des e-mails de phishing pour attirer ses victimes, exploitant l’intérêt croissant autour des actualités liées aux crypto-monnaies. Les messages se présentent comme des communications d’influenceurs reconnus, renforçant ainsi leur crédibilité aux yeux des destinataires. Chaque e-mail contient un lien soi-disant associé à un document PDF informatif sur les événements récents, mais qui redirige en réalité vers le domaine contrôlé par les attaquants, « delphidigital[.]org ».

Point clé : le phishing reste une des méthodes les plus efficaces pour infiltrer des systèmes et accéder à des données sensibles.

Les experts de SentinelLabs ont découvert que le malware déployé par BlueNoroff utilise un mécanisme de persistance novateur qui ne déclenche aucune alerte sur les dernières versions de macOS. Ce logiciel malveillant ouvre un shell distant sur les appareils compromis, permettant aux cybercriminels d’effectuer des actions à distance sans que l’utilisateur ne le soupçonne.

L’URL malveillante est configurée pour distribuer un document apparemment inoffensif sur le Bitcoin ETF, mais elle sert également à déployer un package d’application intitulé « Le risque caché derrière la nouvelle flambée des prix du Bitcoin« .

La première étape de l’attaque repose sur une application compte-gouttes signée et notariée avec un identifiant de développeur Apple légitime, « Avantis Regtech Private Limited (2S8XHJ7948)« , qui a été révoqué par Apple depuis. Une fois lancé, le programme télécharge un faux fichier PDF à partir d’un lien Google Drive, l’ouvrant dans une visionneuse standard pour occuper la victime, tandis qu’en arrière-plan, la charge utile principale est téléchargée depuis « matuaner[.]com ».

cette campagne s’appuie sur un document de recherche authentique de l’Université du Texas, soulignant le niveau de détail et de planification de l’attaque.

BlueNoroff, déjà connu pour ses vols de cryptomonnaies, met en œuvre des stratégies de plus en plus complexes, ciblant directement l’écosystème macOS qui, jusqu’ici, restait moins affecté par ce type d’attaques. Cette campagne met en lumière la nécessité pour les entreprises et les utilisateurs de rester vigilants et de renforcer leur sécurité.

Pour rester informé des dernières alertes de cybersécurité et des menaces, inscrivez-vous à notre newsletter ou rejoignez le groupe WhatsApp de DataSecurityBreach.

Cybersécurité, Entreprise

Compromettre les données d’identification

Les attaques visant à compromettre les données d’identification se multiplient, avec plus de 600 millions de tentatives chaque jour.

Les cyberattaques axées sur le vol de données d’identification connaissent une croissance exponentielle. Chaque jour, ce ne sont pas moins de 600 millions d’attaques qui ciblent des comptes personnels et professionnels. L’obtention d’un premier accès est le point de départ de nombreuses cyberattaques majeures.

Les pirates mènent ces attaques pour voler les données d’accès aux réseaux sociaux, comptes bancaires et professionnels. Cet accès initial ouvre la voie à des stratégies plus complexes, telles que le phishing, l’installation de logiciels espions ou de rançongiciels.

Les mots de passe : la cible principale

Selon les statistiques, près de 99 % des attaques contre les données d’identification impliquent la compromission d’un mot de passe. Les logiciels spécialisés utilisés par les attaquants permettent de déchiffrer ces mots de passe de manière automatisée, augmentant ainsi le nombre total d’attaques.

L’avènement de l’IA et des logiciels d’automatisation a radicalement changé la donne pour les pirates informatiques. Ils n’ont plus besoin de tenter manuellement de deviner les mots de passe, car un programme le fait pour eux en un temps record. Ainsi, le volume d’attaques peut être multiplié grâce à la capacité du logiciel à traiter simultanément de nombreux mots de passe.

L’avenir des cyberattaques et la riposte nécessaire

Une augmentation de 15 à 20 % par an du nombre d’attaques, alimentée par l’amélioration constante des outils automatisés pourrait rapidement apparaitre. Pour se protéger, datasecuritybreach.fr recommande de renforcer la sécurité des comptes par :

  • L’utilisation de mots de passe complexes et leur mise à jour régulière.
  • L’adoption de la technologie MFA (authentification multi-facteurs).
  • La segmentation régulière du réseau.
  • La limitation et la répartition stricte des droits d’accès.

Le modèle « Zéro confiance » : une tendance de sécurité à surveiller

Une tendance majeure pour 2025 sera l’adoption croissante du modèle de « zéro confiance ». Ce modèle prévoit l’absence d’accès par défaut aux éléments de l’infrastructure informationnelle. Bien que cette approche minimise les risques de fuites de données et d’opérations malveillantes, elle peut ralentir les processus métiers si la configuration des accès est mal gérée.

backdoor, Cybersécurité

Augmentation des attaques de comptes Azure par pulvérisation de mots de passe depuis août 2023

Depuis août 2023, Microsoft a observé une intensification des attaques de pirates ciblant les comptes Azure en utilisant la technique de pulvérisation de mots de passe (brute force).

Ces attaques furtives, souvent couronnées de succès, sont associées au botnet CovertNetwork-1658, connu également sous les noms de xlogin et Quad7 (7777). Ce botnet est principalement composé de routeurs TP-Link SOHO infectés par des portes dérobées et fonctionnant comme relais.

La durée moyenne d’activité des nœuds de ce botnet est d’environ 90 jours. Les attaques par ‘brute force’, pulvérisation de mots de passe est un terme amusant pour traduire brute force, impliquent simultanément environ 8 000 adresses IP, et dans 80 % des cas, chaque adresse effectue une tentative de piratage par jour.

Pour installer une porte dérobée, les attaquants exploitent des vulnérabilités dont la nature exacte reste incertaine. Une fois l’exploit réalisé, l’appareil est configuré pour fonctionner comme proxy.

Les informations d’identification compromises par CovertNetwork-1658 sont ensuite utilisées pour lancer des attaques ciblées. Le piratage des comptes cloud Azure permet aux cybercriminels de progresser plus en profondeur dans le réseau, d’établir des points d’ancrage à l’aide de RAT (Remote Access Trojans) et de commencer à voler des données.

Cette activité est particulièrement prisée par un groupe de cybercriminels opérant en Amérique du Nord et en Europe, surveillé par Microsoft sous le nom de Storm-0940.

L’activité de CovertNetwork-1658 a toutefois diminué ces derniers mois, probablement en raison de l’attention accrue de la communauté de la sécurité de l’information, notamment à travers les publications Sekoia, par exemple, consacrées à Quad7.

Les opérateurs du botnet auraient décidé de mettre à jour leur infrastructure en modifiant leurs empreintes numériques pour échapper à la détection et revenir à une activité plus discrète.

Pendant ce temps, avec l’IA, chasse au 0Day

Les experts de GreyNoise ont identifié deux vulnérabilités zero-day dans les caméras réseau PTZ (panoramique/inclinable/zoom).

Ils ont été aidés en cela par un outil d’IA spécialement créé pour les besoins de la cyberintelligence. L’assistant intelligent intégré au système Honeypot de chasse aux menaces répondait clairement au trafic suspect. L’analyse a révélé qu’il s’agissait d’une tentative d’exploitation automatisée.

La vulnérabilité critique CVE-2024-8956 est causée par une mise en œuvre incorrecte des mécanismes d’authentification et permet l’accès aux noms d’utilisateur, aux mots de passe hachés (MD5), aux données de configuration et à d’autres informations confidentielles. La vulnérabilité CVE-2024-8957 ouvre la possibilité d’injection de commandes. Lorsqu’il est utilisé conjointement avec CVE-2024-8956, il vous permet de prendre le contrôle de la caméra à distance et sans authentification, de visualiser et d’arrêter le flux vidéo en temps réel, d’apporter des modifications et également de connecter l’appareil à un botnet DDoS.

Les problèmes concernent les caméras PTZ haute résolution avec des versions de micrologiciel inférieures à 6.3.40, en particulier pour les appareils de PTZOptics, Multicam Systems SAS et SMTAV Corporation basés sur des processeurs SoC Hisilicon Hi3516A. Ils sont souvent utilisés dans des installations critiques : production robotique, établissements médicaux, agences gouvernementales (par exemple, dans les salles d’audience), ainsi que pour des présentations en ligne et des vidéoconférences. (Greynoise)

Cybersécurité, Securite informatique

Les cybercriminels abandonnent les liens dans les emails malveillants au profit des pièces jointes

Les distributeurs de logiciels malveillants par courrier électronique ont presque cessé d’utiliser des liens. Selon les statistiques, au troisième trimestre 2024, 99,1 % des mails malveillants contenaient une pièce jointe, le plus souvent sous la forme d’un fichier archivé. Les analystes expliquent ce changement par le désir de réduire les frais.

L’utilisation d’URL nécessite la création ou la location d’un stockage Web pour le code malveillant, tandis que les pièces jointes sont moins susceptibles d’éveiller des soupçons et sont plus directes à manipuler. Bilan, les pirates réfléchissent avec leur argent : combien va coûter une attaque, combien doit leur rapporter cette attaque.

Bien que l’usage des liens dans les envois de masse ait considérablement diminué, cette méthode reste prisée lors des attaques ciblées. Dans ces cas, les attaquants dressent le profil d’une victime potentielle et peuvent vérifier qui clique sur un lien et dans quelles conditions. Sur la base des résultats de leur social engineering, les attaquants peuvent fournir une charge utile malveillante ou un fichier factice.

Les fichiers d’archives, principalement aux formats ZIP et RAR, sont les types de pièces jointes malveillantes les plus courants. La part des fichiers PDF et DOCX a augmenté de 2,4 points de pourcentage par rapport au deuxième trimestre, atteignant 8,8 %, tandis que l’utilisation des fichiers XLS a notablement diminué. Ces documents contiennent souvent des logiciels espions tels que Formbook. AgentTesla, un autre logiciel malveillant très répandu dans les canaux de courrier électronique, a vu sa présence multipliée par quatre au cours de la même période, surpassé par Formbook et le cheval de Troie multifonctionnel DarkGate.

Lorsqu’on analyse la répartition par classe de logiciels malveillants, les logiciels espions fournis en tant que service (Malware-as-a-Service, MaaS) restent les plus populaires, représentant 63 % des envois malveillants, bien que ce chiffre soit en baisse de 8 points de pourcentage par rapport au trimestre précédent. La part des programmes de téléchargement est passée de 10 % à 23 %, tandis que celle des portes dérobées a chuté à 8 %.

Enfin, la popularité des services de messagerie gratuits parmi les cybercriminels continue de diminuer, ne représentant plus que 2,6 % des mails malveillants, plus de la moitié étant envoyés depuis des adresses Gmail. Les attaquants créent également des domaines spécifiques (COM, FR, NET, ORG) et utilisent le spoofing pour dissimuler leur véritable identité.

Cybersécurité, Mise à jour

Nvidia met en garde contre des vulnérabilités critiques dans ses cartes graphiques

Aprés des failles sérieuses pour Android de Google, c’est au tour de NVIDIA, le géant de la carte graphique, d’alerter de problèmes de sécurité visant certains de ses hardwares.

Dans un récent rapport de sécurité, le principal développeur de GPU et SoC, Nvidia, met en garde les utilisateurs contre les vulnérabilités critiques de ses cartes graphiques.

La récente publication de la mise à jour du pilote 566.03 de Nvidia corrige un certain nombre de vulnérabilités critiques qui menacent la sécurité des propriétaires de cartes graphiques Nvidia. Parmi les vulnérabilités les plus dangereuses figure CVE-2024-0126, avec un score CVSS de 8,2, qui pourrait permettre aux attaquants d’exécuter du code arbitraire, d’élever les privilèges et de voler des données sur les appareils vulnérables. Cette vulnérabilité affecte les cartes graphiques des séries Nvidia RTX, Quadro, NVS et Tesla, ainsi que les produits GeForce sur les systèmes Windows et Linux.

Les vulnérabilités CVE-2024-0117, CVE-2024-0118 et d’autres ont également été découvertes, qui permettent à des utilisateurs non privilégiés d’interférer avec le système, provoquant des plantages et pouvant potentiellement obtenir un accès complet aux données.

Les pirates utilisant ces vulnérabilités peuvent obtenir un accès non autorisé aux systèmes de l’entreprise en exécutant du code à distance et en obtenant des privilèges élevés. Cela peut entraîner une fuite de données confidentielles, un sabotage des processus métier et de graves perturbations des services critiques. De plus, de telles attaques peuvent provoquer des temps d’arrêt, endommager les réseaux d’entreprise et nuire à la situation financière et à la réputation d’une entreprise si les données des clients sont compromises.

Android, backdoor, Cybersécurité

Google signale de nouvelles vulnérabilités critiques dans Android

Google a alerté la communauté sur une exploitation active de la vulnérabilité CVE-2024-43093, découverte dans le framework Android. Cette vulnérabilité permet aux attaquants d’accéder de manière non autorisée aux répertoires sensibles « Android/data », « Android/obb » et « Android/sandbox » ainsi qu’à leurs sous-répertoires. Bien que les détails spécifiques des attaques n’aient pas encore été rendus publics, Google souligne que l’exploitation reste limitée à des cibles précises.

Outre cette vulnérabilité, Google a mis en lumière la CVE-2024-43047, une autre faille critique exploitée activement. Celle-ci est associée aux chipsets Qualcomm et résulte d’une erreur d’utilisation après libération (use-after-free) dans le processeur de signal numérique (DSP), menant potentiellement à une corruption de la mémoire. Cette vulnérabilité a été confirmée par les chercheurs de Google Project Zero ainsi que par Amnesty International le mois dernier.

Bien que Google n’ait pas encore clarifié si les deux vulnérabilités pouvaient être exploitées conjointement pour créer une chaîne d’attaques, la possibilité qu’elles soient utilisées à des fins d’espionnage ciblant des membres de la société civile est évoquée.

La vulnérabilité CVE-2024-43093 est la deuxième faille critique du framework Android activement exploitée cette année, suivant de près la CVE-2024-32896, corrigée cet été. Initialement, cette dernière affectait uniquement les appareils Pixel, mais il a été révélé plus tard qu’une plus large gamme d’appareils Android était concernée.

APT, backdoor, Cybersécurité

Les pirates nord-coréens utilisent une nouvelle variante de FASTCash pour cibler les distributeurs de billets

Une nouvelle menace émerge dans le monde de la cybersécurité alors que des pirates informatiques nord-coréens exploitent une variante Linux du malware FASTCash pour infiltrer les systèmes de commutation de paiement des institutions financières et effectuer des retraits d’espèces non autorisés aux distributeurs automatiques (DAB). Ce développement marque une extension des capacités de ce malware, initialement conçu pour les systèmes Windows et IBM AIX (Unix), désormais adapté aux distributions Linux, notamment Ubuntu 22.04 LTS.

Le malware FASTCash a été utilisé pour la première fois en 2016 pour voler des fonds à des institutions financières en Asie et en Afrique. Il permettait aux pirates de manipuler les systèmes bancaires et d’autoriser des retraits massifs et simultanés aux DAB. En 2017, FASTCash a permis le retrait simultané d’espèces dans 30 pays, suivi d’un incident similaire en 2018 dans 23 autres pays.

L’attaque repose sur l’exploitation des commutateurs de paiement, des systèmes centraux qui gèrent la communication entre les guichets automatiques, les terminaux de paiement (PoS) et les banques. En interférant avec les messages de transaction ISO8583, un protocole utilisé pour traiter les paiements par carte de crédit et de débit, les pirates peuvent modifier les réponses aux transactions et approuver des retraits d’argent, même lorsque le compte de la carte n’a pas suffisamment de fonds.

Variante Linux de FASTCash

Repérée pour la première fois en juin 2023 par le chercheur en sécurité HaxRob sur VirusTotal, cette variante Linux présente des similarités avec les versions Windows et AIX. Le malware se dissimule sous la forme d’une bibliothèque partagée, injectée dans un processus actif sur les serveurs de la banque à l’aide de l’appel système ptrace. Il se connecte ensuite aux fonctions réseau du système, permettant aux pirates de manipuler les messages de transaction.

Plus précisément, FASTCash intercepte les transactions refusées pour insuffisance de fonds, remplaçant les réponses de « rejet » par des réponses « approuvées ». Ces réponses modifiées permettent aux mules d’argent, travaillant en collaboration avec les pirates, de retirer des sommes importantes aux DAB, allant de 350 à 875 dollars.

Une menace furtive et en constante évolution

L’un des aspects les plus inquiétants de cette nouvelle variante Linux est sa capacité à contourner les mécanismes de sécurité des systèmes de détection de malware. Lorsqu’elle est apparue sur VirusTotal, elle n’a été détectée par aucune solution de sécurité, ce qui a permis aux pirates d’opérer sans être perturbés.

En plus de cette version Linux, une nouvelle version de FASTCash pour Windows a été repérée sur VirusTotal en septembre 2024, démontrant que les attaquants continuent d’améliorer et de diversifier leur arsenal pour cibler plusieurs systèmes d’exploitation.

Le malware FASTCash a longtemps été attribué au groupe de hackers nord-coréen Hidden Cobra, également connu sous le nom de Lazarus ou APT38. Ce groupe est soupçonné d’être responsable de vols massifs d’argent et de cyberattaques sophistiquées visant les institutions financières du monde entier, notamment un vol de plus de 1,3 milliard de dollars.

En 2020, le US Cyber Command a relancé les avertissements concernant la menace de FASTCash 2.0, signalant une intensification des activités de Lazarus. Par ailleurs, en 2021, des accusations ont été portées contre trois ressortissants nord-coréens impliqués dans ces stratagèmes, soulignant le lien entre ce groupe de cybercriminels et le gouvernement nord-coréen.

Le gouvernement américain a montré du doigt, en 2021, plusieurs pirates informatiques Nord-Coréens qui semblent être cachés derrière ces nouvelles cyberattaques. Le ministère américain de la Justice affichait alors deux citoyens nord-coréens associés au groupe de hackers Lazarus (alias Hidden Cobra, Dark Seoul et APT28). L’acte d’accusation s’étendait également aux accusations déposées en 2018 contre Park Jin Hyok (alias Jin Hyok Park et Pak Jin Hek), le pirate informatique nord-coréen qui serait responsable des attaques massives du ransomware WannaCry en 2017 contre la Banque centrale du Bangladesh en 2016 ou encore la société Sony (vengeance pour le fait que le studio ait sorti le film « The Interview »). Park se retrouvait alors fiché avec Jon Chang Hyok et Kim Il. Les malveillants auraient aussi créé une fausse société de cryptomonnaie et le token Marine Chain.

Le ministère américain de la Justice estime que ce système permettait aux utilisateurs d’acheter des options dans des navires maritimes, et que la Corée du Nord pouvait à terme avoir accès aux fonds des investisseurs et contourner les sanctions américaines.

Cybersécurité, Entreprise

CISA et FBI alertent sur les bonnes pratiques sécurité dans les logiciels

Le monde numérique repose sur une infrastructure vaste et complexe de logiciels qui régissent presque tous les aspects de la vie moderne. Cependant, cette dépendance croissante aux produits logiciels expose également les infrastructures critiques, les entreprises et les particuliers à des risques de sécurité potentiellement dévastateurs.

Le 26 octobre 2024, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, en collaboration avec le Federal Bureau of Investigation (FBI), a dévoilé une série de recommandations sur les pratiques de sécurité à éviter dans le développement des produits logiciels, appelées « mauvaises pratiques » (« Bad Practices »). Ces pratiques représentent des faiblesses importantes dans les produits finaux et compromettent leur sécurité et leur fiabilité.

Dans un contexte où la cybersécurité est un impératif pour le bon fonctionnement des infrastructures critiques, la CISA et le FBI invitent le public, les professionnels de la cybersécurité, et les fabricants de logiciels à contribuer en partageant leurs commentaires et suggestions sur ce document de bonnes pratiques. Cette initiative, intitulée « Secure by Design », vise à encourager une approche proactive où la sécurité est intégrée dans les produits dès leur conception.

Les « Mauvaises Pratiques » Identifiées

Les directives mises en avant par la CISA et le FBI identifient des pratiques courantes dans le développement de produits, qui sont souvent négligées en matière de sécurité et exposent les systèmes à des vulnérabilités graves. L’une des principales préoccupations est la manière dont les développeurs abordent la sécurité au cours du cycle de vie des produits, en particulier les choix de conception, les configurations par défaut et les failles de sécurité non corrigées.

Les pratiques jugées comme les plus risquées incluent :

Absence de sécurisation par défaut : Dans de nombreux cas, les produits logiciels sont expédiés sans configuration de sécurité active par défaut, laissant ainsi aux utilisateurs la responsabilité de mettre en place eux-mêmes des paramètres de sécurité adéquats.
Stockage et Transmission des Données Non Sécurisées : L’utilisation de méthodes non sécurisées pour le stockage ou la transmission de données sensibles, telles que des mots de passe ou des informations d’identification personnelle, ouvre la porte aux cyberattaques.
Absence de Mises à Jour Automatiques ou de Patches Réguliers : Les produits qui ne disposent pas de mécanismes automatiques pour les mises à jour de sécurité sont particulièrement vulnérables, car les utilisateurs ne sont souvent pas informés des mises à jour critiques, augmentant ainsi les risques d’attaques réussies.
Les Dangers pour les Infrastructures Critiques
Ces pratiques concernent en premier lieu les infrastructures critiques, un ensemble de systèmes essentiels pour le bon fonctionnement d’une société, comme l’approvisionnement en énergie, les télécommunications et les soins de santé. Les cyberattaques ciblant ces infrastructures peuvent entraîner des conséquences potentiellement désastreuses, y compris des pannes de courant, des interruptions de services de communication, et des atteintes à la sécurité des patients dans les hôpitaux. La CISA et le FBI soulignent que les produits logiciels destinés à ces infrastructures devraient bénéficier d’une attention de sécurité renforcée.

Ces mauvaises pratiques représentent également un risque pour les petites et moyennes entreprises (PME) qui, souvent, n’ont pas les ressources pour se protéger efficacement des menaces de cybersécurité. En utilisant des produits vulnérables, les PME exposent non seulement leur propre système, mais peuvent également servir de point d’entrée pour des attaques de plus grande ampleur visant des entreprises partenaires ou des réseaux plus larges.

« Secure by Design » : Intégrer la Sécurité dès la Conception

La campagne « Secure by Design » de la CISA et du FBI met l’accent sur une approche proactive de la sécurité dans la conception des produits. Cette approche incite les développeurs à prévoir des mesures de sécurité dès le début du processus de création d’un produit. L’idée est de ne pas considérer la sécurité comme une simple mise à jour ou un patch appliqué en fin de cycle, mais comme un élément fondamental intégré dans chaque phase de développement. Les recommandations encouragent les entreprises technologiques et les développeurs à adopter des pratiques comme :

Des Paramètres de Sécurité par Défaut : Assurer que les produits sont configurés de manière sécurisée dès l’installation, pour éviter que les utilisateurs finaux n’aient à modifier manuellement ces paramètres.
Des Protocoles de Chiffrement Solides : Utiliser des méthodes de chiffrement de pointe pour le stockage et la transmission des données sensibles, réduisant ainsi le risque de compromission.
Des Mises à Jour Automatisées et Simples d’Accès : Faciliter la gestion des mises à jour de sécurité en intégrant des processus automatisés qui alertent les utilisateurs en temps réel des correctifs nécessaires.
En agissant ainsi, la CISA et le FBI espèrent que les produits sécurisés dès la conception deviendront une norme, non seulement pour les infrastructures critiques, mais aussi pour tous les secteurs qui reposent sur des technologies numériques avancées.

Commentaires Publics et Implication de l’Industrie

L’une des étapes clés de cette initiative est l’appel aux commentaires publics, ouvert jusqu’au 16 décembre 2024. Cet appel invite les fabricants de logiciels, les experts en cybersécurité, ainsi que toute partie prenante du domaine à examiner les directives publiées et à contribuer par des suggestions. L’objectif est de créer une base de pratiques sécurisées partagées et appliquées par l’ensemble de l’industrie.

Cet effort collaboratif vise à renforcer la sécurité à tous les niveaux, de la petite entreprise à la grande infrastructure critique, pour développer une cyber-résilience commune. L’implication de l’industrie dans ce processus est essentielle pour s’assurer que ces pratiques de sécurité soient non seulement adoptées, mais aussi constamment améliorées et adaptées aux menaces émergentes.

La Responsabilité Partagée pour un Futur Plus Sûr

En somme, la publication de ces mauvaises pratiques par la CISA et le FBI représente une étape significative vers un renforcement de la cybersécurité globale. En encourageant des pratiques sécurisées dès la conception des produits, cette initiative vise à réduire les risques auxquels les infrastructures et les utilisateurs sont confrontés. Les commentaires publics permettront d’enrichir et de peaufiner ces recommandations, et d’établir un consensus sur les meilleures pratiques en matière de développement de logiciels.

Pour les entreprises, développeurs, et utilisateurs finaux, cette démarche de la CISA et du FBI rappelle que la sécurité numérique est une responsabilité partagée. Le respect de ces directives contribuera à la construction d’un écosystème numérique plus sûr et plus résilient, dans lequel chaque acteur joue un rôle crucial pour se prémunir contre les cybermenaces.

Cybersécurité, Entreprise, Social engineering

La nouvelle arnaque nord-coréenne : extorsion de fonds par de faux travailleurs informatiques

Une nouvelle forme de cybercriminalité nord-coréenne inquiète les entreprises américaines et britanniques : l’infiltration d’agents nord-coréens sous couvert de travailleurs informatiques. Grâce à des identités volées ou falsifiées, ces individus accèdent à des informations sensibles et, une fois découverts, extorquent des rançons à leurs employeurs.

L’arnaque des faux travailleurs informatiques n’est pas nouvelle, mais ce qui est inédit, c’est la tactique d’extorsion qui s’est développée au sein de ces opérations. Les agents, souvent employés comme sous-traitants informatiques dans de grandes entreprises, commencent par voler des données sensibles dès leur embauche. Lorsqu’ils sont licenciés pour des performances insuffisantes ou démasqués, ces agents menacent de rendre publiques les informations volées à moins de recevoir une rançon.

Par exemple, un sous-traitant a commencé à exfiltrer des données dès les premiers jours de son contrat en 2024. Après son licenciement, l’entreprise a reçu des demandes de rançon à six chiffres en cryptomonnaie. L’agent a envoyé des preuves du vol de données à travers des e-mails provenant de plusieurs adresses anonymes.

Un programme massif et organisé

Ces extorsions sont la partie émergée d’un vaste programme d’infiltration mené par le gouvernement nord-coréen. Depuis plusieurs années, les États-Unis et d’autres pays occidentaux mettent en garde les entreprises contre le recrutement de faux travailleurs informatiques, souvent opérant depuis la Chine ou la Russie, mais se faisant passer pour des résidents locaux grâce à des infrastructures de fermes d’ordinateurs portables. Le programme, qui ciblait initialement les entreprises de cryptomonnaie, s’est élargi aux entreprises du Fortune 100 et à des secteurs variés comme les technologies de l’information, les systèmes de chaîne d’approvisionnement, ou encore la production de puces électroniques.

Selon James Silver, directeur de la sécurité de Secureworks, ces agents ne se contentent pas d’extorquer de l’argent. Ils sont également intéressés par des informations sensibles, allant de la propriété intellectuelle aux données militaires et financières. Cela permet à la Corée du Nord de financer ses programmes militaires tout en profitant d’un flux de revenus via les rançons demandées aux entreprises.

Cependant, certaines de ces infiltrations semblent cibler des données qui ne sont pas traditionnellement d’intérêt pour Pyongyang, ce qui laisse penser qu’il pourrait y avoir une collaboration avec d’autres acteurs, comme la Chine. Stephen Schmidt, directeur de la sécurité chez Amazon, a mentionné lors d’une conférence que certaines informations exfiltrées semblaient plus utiles à Pékin qu’à Pyongyang, suggérant une éventuelle relation d’échange d’informations entre les deux nations.

Techniques utilisées par les agents nord-coréens

Les faux travailleurs nord-coréens utilisent plusieurs méthodes pour éviter d’être démasqués. Ils masquent souvent leur adresse IP et dirigent leurs ordinateurs portables professionnels vers des centres de calcul situés à l’étranger. Ils exploitent des outils tels que Chrome Remote Desktop ou AnyDesk pour accéder à distance aux systèmes de leurs employeurs.

Un autre indice de leur activité frauduleuse réside dans leur réticence à participer à des appels vidéo, souvent demandés par les entreprises pour vérifier l’identité des employés. Pour contourner ce problème, ces agents ont commencé à utiliser des outils comme SplitCam, qui permet de gérer plusieurs conversations vidéo en même temps à partir d’une seule webcam, brouillant ainsi davantage leur identité.

Les recherches menées ont révélé une tendance au partage d’identités parmi les agents nord-coréens. Dans certains cas, plusieurs individus semblent utiliser la même adresse e-mail ou CV pour postuler à différents postes. Lorsqu’un agent est démasqué ou licencié, il est parfois remplacé par un autre individu du même réseau, ce qui complique la tâche des entreprises pour identifier les véritables responsables.

Les défis de la détection et les risques pour les entreprises

Les entreprises touchées par ces infiltrations se trouvent confrontées à des défis majeurs. L’utilisation de faux profils, combinée à des méthodes de travail à distance, rend la détection des agents malveillants particulièrement difficile. Il a été observé que les agents nord-coréens mettent à jour fréquemment leurs informations bancaires et utilisent des services comme Payoneer pour éviter les systèmes de contrôle traditionnels. Cela permet de masquer les flux financiers et de rendre plus difficile l’identification des transactions suspectes.

De plus, ces agents travaillent souvent en réseau, se recommandant les uns les autres auprès des entreprises et partageant des identités et des outils pour faciliter l’infiltration. Dans certains cas, une seule personne peut adopter plusieurs identités ou utiliser différents styles de communication pour tromper ses employeurs.

Le risque pour les entreprises ne se limite plus à la perte de données ou à l’extorsion financière. Le vol de propriété intellectuelle, en particulier dans les secteurs technologiques et militaires, peut avoir des conséquences graves sur la sécurité nationale, en plus des pertes économiques. Les entreprises qui embauchent par inadvertance ces agents nord-coréens se retrouvent souvent dans des situations délicates, où elles doivent non seulement gérer les répercussions internes mais aussi les risques de réputation et de responsabilité légale.

La combinaison de cybercriminalité, d’espionnage industriel, et d’extorsion à grande échelle fait de ce phénomène un défi croissant pour les entreprises à travers le monde. Avec des méthodes de plus en plus sophistiquées et une expansion rapide de leurs cibles, les acteurs nord-coréens posent une menace sérieuse que les forces de l’ordre internationales peinent à contenir.

Avez-vous embauché un agent nord-coréen sans le savoir ? 

Parmi les comportements suspects observés, si un employé insiste pour utiliser ses propres appareils, évite de se présenter à la webcam, et modifie fréquemment ses services de paiement, il pourrait s’agir d’un agent nord-coréen infiltré. Ces tactiques sont utilisées par Nickel Tapestry, un groupe soutenu par l’État nord-coréen, pour placer de faux travailleurs dans des entreprises commerciales basées aux États-Unis, au Royaume-Uni, et en Australie.

Utilisation d’équipements personnels : Les faux employés demandent souvent à utiliser leur propre ordinateur portable ou une infrastructure de bureau virtuel pour éviter de se connecter avec l’équipement de l’entreprise, ce qui complique la surveillance de leurs activités.
Camouflage de leur emplacement : Certains employés font envoyer leur équipement de travail à des adresses anonymes ou utilisent des fermes d’ordinateurs portables masquées par des adresses IP américaines.
Évitement des appels vidéo : Lorsqu’ils sont contraints d’utiliser les appareils de l’entreprise, ces agents invoquent des « problèmes techniques » pour éviter de se présenter lors des réunions en visioconférence. Dans certains cas, ils utilisent même des logiciels de clonage vidéo pour simuler leur présence.

Une infiltration bien orchestrée

Les agents de Nickel Tapestry ne se contentent pas de travailler seuls. Ils créent des réseaux entiers de faux employés et de fausses entreprises, fournissant des références professionnelles crédibles et gérant les paiements. Si un agent est découvert ou licencié, il est rapidement remplacé par un autre, permettant ainsi au système de continuer à fonctionner sans interruption. Les documents et CV utilisés par ces agents présentent souvent des similitudes dans leur style d’écriture, laissant supposer que plusieurs personnages sont contrôlés par une seule et même personne, ou par un groupe coordonné. Pour éviter d’être repérés par les banques, ces agents mettent à jour leurs comptes bancaires de manière régulière ou utilisent des services de paiement numérique comme Payoneer, qui a indiqué travailler de manière proactive pour lutter contre cette menace.

Le programme de cybercriminalité nord-coréen : une source de revenus vitale

L’infiltration des entreprises étrangères est devenue une source de revenus essentielle pour la Corée du Nord, qui est soumise à de sévères sanctions internationales limitant ses débouchés économiques. En 2022, le FBI, le département du Trésor et le département d’État des États-Unis ont publié un avertissement public, qualifiant le programme d’infiltration des travailleurs informatiques nord-coréens de « source de revenus cruciale » pour le régime de Pyongyang.

Les agents nord-coréens placés dans des entreprises occidentales, mais opérant en réalité depuis la Chine ou la Russie, peuvent gagner jusqu’à 300 000 dollars par an, ce qui représente un revenu dix fois supérieur à celui d’un ouvrier moyen en Corée du Nord.

Ces fonds servent à financer les projets militaires du pays, notamment son programme d’armement nucléaire. Le dirigeant nord-coréen, Kim Jong Un, a investi massivement dans les infrastructures informatiques et la formation des informaticiens du pays. De nombreux Nord-Coréens reçoivent des diplômes en informatique via des programmes rigoureux mis en place dans des centres de recherche régionaux, tant en Corée du Nord qu’à l’étranger. (treasury.gov)

Cybersécurité

Microsoft avertit ses clients d’une perte de journaux critiques due à un bug

Microsoft a récemment averti plusieurs entreprises clientes d’une perte de journaux critiques en raison d’un bug technique, affectant la période du 2 au 19 septembre.

Les journaux de sécurité sont cruciaux pour la surveillance des accès non autorisés et des activités suspectes. Le bug qui a touché plusieurs services de Microsoft, notamment Microsoft Entra, Azure Logic Apps, Microsoft Sentinel, et Azure Monitor, a couvert une période de 15 jours, du 2 au 19 septembre 2024. Les organisations s’appuient sur ces enregistrements pour détecter des cybermenaces, et leur absence pourrait compliquer l’analyse des données et la sécurité globale des systèmes.

Parmi les services touchés, Microsoft Entra a subi des lacunes dans les tentatives de connexion enregistrées, compromettant la surveillance des accès réseau. Azure Logic Apps et Azure Monitor ont rapporté des pertes dans les données de télémétrie et les journaux de ressources. Pour Microsoft Sentinel, qui gère les journaux de sécurité, les échecs de journalisation compliquent la détection des menaces, rendant plus difficile l’identification de comportements malveillants.

Origines du bug

Selon Microsoft, ce problème est survenu alors que l’entreprise tentait de résoudre un autre dysfonctionnement lié à son service de collecte de journaux. Bien que les détails techniques restent limités, Microsoft a travaillé à résoudre ce nouveau bug dès qu’il a été découvert.

Les entreprises concernées s’appuient sur ces journaux pour assurer la cybersécurité et surveiller les anomalies dans les comportements réseau. L’absence de données pendant cette période pourrait rendre les systèmes vulnérables et ralentir l’investigation en cas d’attaque cybernétique. Les failles dans des services comme Azure Virtual Desktop et Power Platform compliquent également l’accès aux données d’analyse essentielles pour le bon fonctionnement des opérations informatiques.

Microsoft, dans son communiqué, a affirmé qu’il prenait l’incident très au sérieux. La société travaille activement à résoudre les problèmes sous-jacents et assure que des mesures supplémentaires sont mises en place pour éviter de futures interruptions de ce type. L’entreprise conseille à ses clients de vérifier leurs systèmes et de renforcer leurs protocoles de sécurité pour combler les potentielles lacunes créées par la perte des journaux. (business insider)

Entreprise, Justice, RGPD

Marriott et Starwood : un règlement de 52 millions de dollars pour violation de données personnelles

Marriott International, ainsi que sa filiale Starwood Hotels, ont accepté de verser 52 millions de dollars dans le cadre d’un règlement suite à une série de violations de données ayant exposé les informations personnelles de 344 millions de clients.

Le parcours de Marriott et Starwood en matière de sécurité des données est marqué par trois violations majeures. En juin 2014, une première faille chez Starwood a compromis les informations relatives aux cartes de paiement des clients, une fuite qui est restée non détectée pendant 14 mois. L’ampleur de cet incident a augmenté le risque pour des millions de clients, dont les informations étaient à la merci des cybercriminels.

Un deuxième incident s’est produit en juillet 2014, révélant cette fois 339 millions de dossiers clients, dont 5,25 millions de numéros de passeport non cryptés. Ce n’est qu’en septembre 2018 que cette faille a été découverte, laissant les clients dans une situation de vulnérabilité prolongée. Ces deux événements, antérieurs à l’acquisition de Starwood par Marriott, ont néanmoins rendu ce dernier responsable de la protection des données à la suite de l’intégration.

En septembre 2018, Marriott a également été directement touché par une attaque. Cette fois, les informations personnelles de 5,2 millions de clients ont été compromises, incluant les noms, adresses e-mail, numéros de téléphone, dates de naissance et informations liées aux comptes de fidélité. Bien que cet incident ait eu lieu en 2018, la fuite n’a été découverte qu’en février 2020, mettant en évidence des failles dans la détection et la gestion des incidents de cybersécurité.

Les conséquences du règlement pour Marriott et ses clients

Cet accord intervient après plusieurs incidents de sécurité, dont certains remontent à 2014, avant même l’acquisition de Starwood par Marriott en 2016. Outre l’amende, Marriott devra mettre en place un programme de cybersécurité complet, offrir aux clients la possibilité de supprimer leurs données personnelles et limiter la quantité d’informations stockées.

Pour faire face aux répercussions de ces violations, Marriott a accepté de verser 52 millions de dollars aux autorités de 49 États américains. L’entreprise devra également instaurer des mesures de sécurité renforcées, parmi lesquelles l’implémentation d’un programme complet de protection des données, des audits tiers réguliers, et des limitations strictes quant aux données clients stockées. Ces efforts visent à empêcher de futurs incidents similaires, en assurant que seules les informations nécessaires sont conservées et en offrant aux clients la possibilité de demander la suppression de leurs données personnelles.

Cet accord, bien que coûteux pour Marriott, constitue un signal fort quant à l’importance de la cybersécurité dans un monde de plus en plus connecté. Avec plus de 7 000 hôtels répartis dans 130 pays, Marriott est une entreprise qui gère une quantité massive de données personnelles. La multiplication des attaques informatiques visant les grandes entreprises a souligné l’urgence d’investir dans des systèmes de protection robustes et d’assurer une vigilance constante face aux menaces cybernétiques.

La Federal Trade Commission (FTC) des États-Unis, qui a surveillé de près les différentes violations, a souligné que les entreprises doivent non seulement protéger les données de leurs clients, mais également être en mesure de détecter rapidement toute faille de sécurité pour minimiser les risques. Le cas de Marriott illustre parfaitement l’importance de la détection précoce : une fuite restée inaperçue pendant plusieurs mois, voire années, expose non seulement l’entreprise à des sanctions sévères, mais surtout met en danger les informations sensibles de millions de personnes.

Des changements structurels pour une meilleure gestion des données

L’une des principales mesures prises par Marriott dans le cadre de cet accord est l’audit régulier de ses systèmes de sécurité par des tiers. Cette pratique permettra de garantir que les nouvelles politiques de sécurité mises en place sont effectivement respectées et fonctionnent efficacement. Limiter la quantité de données stockées est également une réponse directe aux violations antérieures, où des informations non nécessaires étaient conservées, augmentant inutilement les risques en cas de piratage.

Offrir aux clients la possibilité de supprimer leurs données personnelles est une autre mesure significative, permettant une transparence accrue et un contrôle direct sur les informations partagées. Ce droit de suppression répond aux attentes croissantes en matière de protection des données dans le cadre des législations internationales, telles que le Règlement général sur la protection des données (RGPD) en Europe.

Bitcoin, Cybersécurité

Une attaque SIM-swap bouleverse le marché des cryptomonnaies

Janvier 2024, un incident majeur secoue le monde de la cryptomonnaie. La page officielle de la Securities and Exchange Commission (SEC) américaine sur le réseau social x a été la cible d’une attaque de type SIM-swap. ce type d’attaque, bien connu dans l’univers du piratage, permet à des cybercriminels de prendre le contrôle d’un numéro de téléphone en le transférant sur un autre appareil. Dans ce cas précis, les attaquants ont réussi à accéder au compte de la SEC, et ont publié un faux message qui allait perturber le marché du bitcoin de manière significative.

Avant d’analyser les détails de cette attaque, il est important de comprendre le fonctionnement d’une attaque SIM-swap. le principe est relativement simple : les cybercriminels ciblent les services de télécommunications pour rediriger un numéro de téléphone vers une nouvelle carte SIM en prétendant être le véritable propriétaire. une fois le contrôle obtenu, ils peuvent contourner les systèmes d’authentification, en particulier ceux reposant sur des SMS pour l’authentification à deux facteurs (2FA). Dans le cas de la SEC, l’authentification à deux facteurs n’était pas activée, ce qui a facilité l’accès des hackers au compte officiel sur le réseau social x. cette faille de sécurité a permis aux attaquants de publier un message prétendant que la SEC venait d’approuver un bitcoin-ETF, ce qui a déclenché une série de réactions sur le marché.

Le faux message qui sème la panique

Une fois aux commandes du compte officiel de la SEC, les pirates ont publié un faux message qui annonçait l’approbation d’un ETF bitcoin (un fonds indiciel coté permettant d’investir sur le bitcoin via la bourse). l’annonce d’un bitcoin-ETF est un événement très attendu par les investisseurs et les spéculateurs, car cela signifierait une étape majeure pour l’adoption légale de la cryptomonnaie. Le faux tweet a immédiatement provoqué une flambée du prix du bitcoin. les spéculateurs, voyant cette « information » relayée par un compte officiel aussi influent que celui de la SEC, ont rapidement investi dans la cryptomonnaie, ce qui a fait grimper sa valeur jusqu’à un sommet de 48 000 dollars en quelques minutes. c’est un bond spectaculaire pour une cryptomonnaie qui est soumise à de fortes fluctuations de prix.

Malheureusement, la hausse soudaine du prix du bitcoin ne fut que de courte durée. peu de temps après la publication du tweet, la SEC a réagi en déclarant que le message était faux et que leur compte avait été piraté. cette déclaration a provoqué un renversement brutal du marché : la valeur du bitcoin a chuté aussi vite qu’elle avait grimpé, créant un véritable effet de yo-yo. La chute brutale a provoqué des liquidations massives sur les marchés de la cryptomonnaie. environ 230 millions de dollars ont été liquidés, ce qui signifie que de nombreux investisseurs ont perdu d’importantes sommes d’argent. les traders utilisant des effets de levier ont été particulièrement affectés, car ils se sont retrouvés dans l’incapacité de maintenir leurs positions à cause des fluctuations soudaines. cette volatilité, alimentée par la publication d’une fausse information, a révélé à quel point le marché des cryptomonnaies peut être sensible à des manipulations externes, même lorsqu’elles sont brèves.

Comment une faille de sécurité a pu permettre une telle attaque

L’une des questions centrales qui ressort de cet incident est : comment une organisation aussi influente que la SEC a-t-elle pu être vulnérable à une attaque SIM-swap ? la réponse réside dans une série de manquements au niveau de la sécurité du compte sur x. Le plus préoccupant a été la désactivation de l’authentification à deux facteurs. en temps normal, l’authentification à deux facteurs ajoute une couche supplémentaire de sécurité en exigeant non seulement un mot de passe, mais aussi un code envoyé par SMS ou généré par une application. or, dans ce cas, cette fonctionnalité était désactivée, rendant l’accès au compte plus facile pour les pirates. De plus, l’attaque a ciblé le fournisseur de télécommunications de la SEC. les attaquants ont réussi à convaincre l’opérateur de transférer le numéro de téléphone associé au compte x vers un autre appareil, probablement en se faisant passer pour un employé de la SEC ou en utilisant des informations volées. cela a permis aux pirates de contourner les mesures de sécurité traditionnelles, comme la réinitialisation de mot de passe via un code envoyé par SMS.

Les répercussions de l’attaque et la réponse des autorités

La SEC, après avoir pris conscience de l’incident, a réagi rapidement en rétablissant l’authentification à deux facteurs sur ses comptes et en renforçant ses mesures de sécurité. mais l’impact de l’attaque a mis en lumière des vulnérabilités dans la gestion des comptes de réseaux sociaux par les grandes institutions. il est désormais clair que la désactivation de certaines fonctionnalités de sécurité peut avoir des conséquences dramatiques, en particulier dans un contexte où des millions d’investisseurs surveillent activement les annonces de la SEC. Les autorités américaines, dont le FBI et le département de la sécurité intérieure, ont également pris l’incident au sérieux. une enquête a été ouverte pour identifier les responsables de l’attaque et comprendre comment les pirates ont réussi à obtenir le contrôle du compte de la SEC.

Quelques semaines après l’attaque, le FBI a annoncé l’arrestation de l’auteur du piratage. les détails sur la façon dont l’arrestation a été effectuée restent confidentiels. Cet incident est un rappel de l’importance des mesures de sécurité en ligne, en particulier pour les entreprises et institutions qui gèrent des comptes à haute visibilité.

Cybersécurité, Entreprise

Piratage chez MediCheck : des données médicales sensibles divulguées par le groupe Killsec

Un nouvel épisode de cyberattaque par ransomware frappe durement la Belgique. Le groupe de hackers Killsec a publié plus de 50 000 documents contenant des informations médicales sensibles sur des patients belges.

Ces données ont été dérobées après une intrusion en ligne dans les systèmes de MediCheck, une entreprise spécialisée dans les contrôles médicaux pour des entreprises comme bpost, H&M, et Lidl. La fuite concerne des informations telles que les noms et adresses des patients, des médecins-contrôles, ainsi que des données sur les symptômes médicaux et les médicaments prescrits.

Les pirates du groupe Killsec ont initialement exigé une rançon pour éviter la publication de ces documents. Bien que MediCheck ait d’abord affirmé ne pas vouloir entrer en contact avec les hackers, des négociations ont finalement eu lieu. Ces discussions n’ont pas abouti, et, en conséquence, toutes les données dérobées ont été publiées sur le dark web. Ces informations incluent des données confidentielles concernant l’absentéisme justifié ou non des employés, ce qui soulève des inquiétudes majeures quant à la vie privée et la confidentialité des dossiers médicaux en Belgique.

L’impact de la fuite et la réaction de MediCheck

Cette fuite de données compromet sérieusement la sécurité des informations médicales en Belgique. Dina De Haeck, CEO de MediCheck, a reconnu la gravité de l’incident en affirmant que son entreprise avait « beaucoup appris » de ce piratage. Depuis l’attaque, MediCheck a renforcé ses mesures de sécurité en collaboration avec le Centre pour la cybersécurité Belgique et a annoncé la mise en place d’un audit de sécurité trimestriel. Malgré le silence qui a entouré l’entreprise après l’incident, MediCheck prévoit de relancer ses activités la semaine prochaine, après avoir renforcé ses systèmes.

Le précédent avec Penbox

Il est important de noter que ce n’est pas la première fois que Killsec s’attaque à une entreprise belge. Le mois dernier, le groupe avait dérobé des données à Penbox, une autre entreprise belge. Toutefois, Penbox avait réussi à éviter la divulgation de ces informations en payant une rançon pour récupérer les données volées. Cette affaire montre que Killsec continue d’exploiter des failles dans les systèmes de sécurité des entreprises, renforçant ainsi l’importance de mesures de cybersécurité accrues pour prévenir de telles attaques. (Le Vif)

Bitcoin, Cybersécurité, Entreprise

Ça pirate à tout-va dans le monde de la cryptomonnaie.

Une série d’attaques majeures secoue l’écosystème des crypto-monnaies et des services financiers

Ces dernières semaines, l’écosystème des crypto-monnaies et des services financiers a été frappé par une série d’attaques massives, affectant plusieurs plateformes de premier plan à travers le monde. Indodax, BingX, Truflation et MoneyGram figurent parmi les victimes les plus marquantes de ces incidents de cybersécurité, qui ont entraîné des pertes cumulées de plusieurs millions de dollars. Ces événements soulignent la vulnérabilité des systèmes numériques et la nécessité croissante de renforcer la sécurité dans l’univers des actifs numériques et des services financiers en ligne.

L’attaque contre Indodax : plus de 22 millions de dollars en crypto-monnaies volés

Le 10 septembre 2024, l’échange de crypto-monnaies Indodax, basé en Indonésie, a été frappé par une cyberattaque qui a conduit au vol de plus de 22 millions de dollars en divers jetons numériques. Selon des rapports publiés par les experts en cybersécurité de Slowmist et CertiK, l’attaque a ciblé les portefeuilles chauds de la plateforme – ces portefeuilles qui sont connectés en permanence à Internet pour permettre un accès rapide aux fonds et aux transactions. Bien que cette fonctionnalité soit essentielle pour faciliter l’expérience utilisateur, elle présente également des risques accrus de vulnérabilité face aux cyberattaques.

Plus de 14 millions de dollars en Ethereum (ETH)
2,4 millions de dollars en Tron (TRX)
1,4 million de dollars dans d’autres actifs cryptographiques

L’attaque contre Indodax est l’une des plus importantes en termes de montant dérobé cette année. Elle a jeté un froid sur l’industrie des crypto-monnaies, suscitant des inquiétudes quant à la sécurité des actifs détenus sur les plateformes d’échange. Bien que la société ait immédiatement pris des mesures pour renforcer ses mesures de sécurité et protéger les fonds restants, cet incident met en lumière les failles persistantes dans les systèmes de sécurité des portefeuilles chauds.

BingX : une perte colossale de plus de 44 millions de dollars

À peine quelques jours après l’attaque contre Indodax, un autre échange de crypto-monnaies majeur a été ciblé. BingX, une plateforme de crypto-monnaies basée à Singapour, a révélé avoir subi une cyberattaque qui a entraîné la perte de plus de 44 millions de dollars en actifs numériques.

L’attaque a été découverte après que les spécialistes en sécurité de la blockchain ont commencé à enregistrer des retraits anormalement élevés sur la plateforme. En réponse, BingX a suspendu temporairement ses opérations, expliquant qu’il s’agissait d’une « maintenance du portefeuille ». Cependant, l’entreprise a rapidement confirmé que cette suspension était en réalité due à la détection d’un accès réseau anormal, ce qui a mis en lumière la gravité de la situation.

La suspension des travaux et des transactions a généré une onde de choc parmi les utilisateurs de la plateforme, soulevant des questions sur la sécurité des fonds déposés. À ce jour, BingX n’a pas encore fourni de détails sur la manière dont l’attaque a été menée, ni sur la manière dont l’entreprise prévoit de compenser les pertes subies. Cependant, cette attaque est l’une des plus importantes survenues cette année en termes de pertes financières.

Truflation : une attaque ciblant la trésorerie et les portefeuilles personnels

Le 25 septembre 2024, une nouvelle attaque a secoué la sphère des crypto-monnaies. Cette fois, c’est Truflation, une plateforme blockchain spécialisée dans la fourniture de données financières, qui a été prise pour cible. Selon des informations partagées par le chercheur en sécurité blockchain ZachXBT, environ 5 millions de dollars ont été volés au cours de cette attaque, principalement à partir de la trésorerie de la plateforme et des portefeuilles personnels de certains de ses membres.

L’incident a été détecté lorsque Truflation a observé des activités anormales sur ses systèmes, indiquant un accès non autorisé à ses fonds. Les hackers semblent avoir utilisé des techniques avancées pour contourner les mesures de sécurité de la plateforme et s’approprier les actifs cryptographiques. Truflation a rapidement réagi en renforçant ses contrôles de sécurité, mais l’incident montre à quel point même les projets les plus réputés peuvent être vulnérables.

Ce type d’attaque soulève des préoccupations importantes quant à la protection des fonds au sein des plateformes décentralisées, et met en avant l’importance de systèmes de sécurité encore plus robustes, particulièrement lorsqu’il s’agit de protéger des trésoreries conséquentes.

MoneyGram : perturbation majeure des services de transfert d’argent

Le secteur financier traditionnel n’a pas été épargné par cette vague d’attaques. Le 20 septembre 2024, MoneyGram, un géant des services de transfert d’argent, a suspendu l’ensemble de ses opérations en raison d’un cyber-incident d’envergure. Les services en ligne et hors ligne de MoneyGram ont cessé de fonctionner, plongeant ses millions d’utilisateurs dans l’incertitude.

Le 22 septembre, MoneyGram a confirmé que cette suspension était la conséquence directe d’une cyberattaque ayant compromis les données personnelles de ses clients ainsi que des informations sur leurs transactions. Bien que la société ait indiqué qu’elle enquêtait sur l’incident, elle n’a pas encore fourni de détails quant au nombre exact d’utilisateurs touchés ni à l’ampleur des données compromises.

L’impact de cette attaque est profond. MoneyGram, étant un acteur majeur dans le secteur des transferts d’argent, dessert des millions de personnes à travers le monde. La perturbation de ses services pendant plusieurs jours a non seulement affecté des transactions financières cruciales, mais a également semé le doute sur la capacité de l’entreprise à protéger les données sensibles de ses utilisateurs. Bien que le système soit progressivement remis en ligne, la réputation de MoneyGram pourrait être durablement affectée par cet incident.

Ces attaques successives montrent clairement que l’ère numérique, et en particulier le secteur des crypto-monnaies, reste une cible privilégiée pour les cybercriminels. Les attaques contre Indodax, BingX, Truflation, et MoneyGram mettent en lumière la sophistication croissante des menaces auxquelles ces plateformes doivent faire face.

Bitcoin, Cybersécurité

Telegram : les transactions crypto dans la ligne de mire

Telegram vient d’ajouter une nouveauté dans sa FAQ qui ne plaira pas aux pirates !

Depuis l’arrestation en août 2024 de Pavel Durov, cofondateur de Telegram, les groupes de pirates sur la plateforme sont en panique. La FAQ de Telegram précise désormais que l’application Wallet, utilisée pour les transactions en cryptomonnaies, est prête à divulguer les informations des utilisateurs aux forces de l’ordre.

Bien que Telegram ne gère pas directement Wallet, cette mise à jour de la politique de confidentialité intervient après l’arrestation de Durov et signale un changement dans la gestion de l’anonymat pour les transactions effectuées via la plateforme.

Cybersécurité, Entreprise

Anti-spoofing d’entreprise : Apple sonne la fin du « game » ?

Une nouvelle fonctionnalité pour les utilisateurs Apple permet de distinguer un appel d’une véritable entreprise du spam et des arnaques.

Apple va mettre en place, dans quelques semaines, une option dédiée à contrer les escroqueries et les tentatives d’usurpation d’identité des entreprises. Les sociétés vérifiées via l’option « Business Caller ID » pourront afficher leur logo, leur nom et leur service directement sur l’écran d’appel des appareils Apple. Toute entreprise vérifiée peut s’inscrire sur Apple Business Connect, sans que la taille, l’emplacement géographique ou la présence d’un bureau ne soient des facteurs limitants. La vérification est basée sur l’identifiant Apple.
Le lancement de cette nouvelle fonctionnalité est prévu pour 2025.

Banque, Cybersécurité, loi

Fausse musique et hack de streaming pour 10 millions de dollars !

Les autorités américaines ont récemment inculpé Michael Smith, 52 ans, pour avoir orchestré une fraude aux services de streaming d’une valeur de plus de 10 millions de dollars. Smith aurait utilisé des technologies d’intelligence artificielle (IA) pour générer des centaines de milliers de chansons et les diffuser via des plateformes telles que Spotify, Apple Music, YouTube Music et Amazon Music.

Smith fait face à plusieurs chefs d’accusation, notamment fraude électronique, complot en vue de commettre une fraude électronique et blanchiment d’argent. Chaque accusation pourrait entraîner jusqu’à 20 ans de prison s’il est reconnu coupable. En plus de produire de la musique via IA, Smith aurait manipulé le nombre d’écoutes à l’aide de robots, ce qui lui a permis de percevoir des redevances frauduleuses sur les diffusions.

Selon les autorités, cette fraude aurait duré de 2017 à 2024. Smith aurait utilisé des milliers de comptes fictifs créés à partir d’adresses électroniques achetées pour mettre en œuvre son stratagème. À l’aide d’un logiciel développé en interne, il diffusait en continu ses propres compositions générées par IA, en imitant l’activité de véritables utilisateurs répartis dans plusieurs régions afin de ne pas éveiller les soupçons.

Pour rendre son opération plus crédible et passer sous le radar des plateformes de streaming, Smith a mis en place une stratégie méticuleuse. Il veillait à ne jamais diffuser un morceau trop de fois et choisissait soigneusement des noms d’artistes et de chansons générés par IA afin qu’ils se fondent dans la masse des véritables groupes musicaux. Parmi les exemples cités, des artistes fictifs comme Callous Post et Calorie Screams ont vu leurs morceaux, aux titres étranges tels que Zygotic Washstands et Zymotechnical, inonder les plateformes de streaming.

Les documents d’enquête révèlent que Smith avait commencé en téléchargeant ses propres compositions originales sur les services de streaming, mais ses revenus modestes l’ont incité à passer à la musique générée par IA. En 2018, il s’est associé à un dirigeant anonyme d’une société spécialisée en musique IA et à un promoteur de musique pour créer une vaste bibliothèque de contenu musical produit artificiellement. Bien que les documents judiciaires ne détaillent pas précisément la technologie utilisée pour générer ces morceaux, il est clair que Smith a exploité la flexibilité et la rapidité de production de l’IA pour contourner les systèmes de détection de fraude.

Des millions d’écoutes et des millions de dollars

Le stratagème s’est avéré extrêmement lucratif. Dans des messages internes, Smith a affirmé qu’il pouvait diffuser ses morceaux jusqu’à 661 440 fois par jour, générant ainsi potentiellement 3 307,20 dollars quotidiennement, soit environ 1,2 million de dollars par an. Au plus fort de son activité, Smith contrôlait plus de 1 000 comptes automatisés, chacun hébergeant plusieurs bots destinés à augmenter artificiellement les écoutes de ses morceaux.

En juin 2019, Smith gagnait environ 110 000 dollars par mois, partageant une partie de ces revenus avec ses complices. En 2023, il se vantait d’avoir accumulé 4 milliards de streams et récolté un total de 12 millions de dollars de royalties depuis 2019. Smith a réussi à tromper les services de streaming pendant plusieurs années en manipulant leurs algorithmes et en exploitant les failles de leurs systèmes de surveillance. Cependant, en 2018, lorsque qu’une société de distribution de musique a commencé à signaler des abus dans l’industrie du streaming, Smith a nié toute implication, affirmant qu’il n’y avait « absolument aucune fraude ».

Le procureur Damian Williams a condamné les actions de Smith, déclarant que son stratagème frauduleux lui avait permis de percevoir des millions de dollars de redevances qui auraient dû revenir aux musiciens, auteurs-compositeurs et détenteurs de droits d’auteur légitimes. Un détournement des ressources et des revenus des artistes et créateurs respectant les règles du jeu.

Cybersécurité, double authentification, Entreprise

Remplacer les mots de passe tous les mois ? Plus utile selon le NIST

La sécurité des mots de passe reste un enjeu majeur dans la protection des systèmes numériques et des données sensibles. Le guide du NIST, « Special Publication 800-63B », aborde en détail les pratiques à suivre pour garantir une gestion et une utilisation des mots de passe conformes aux normes de sécurité modernes.

Le National Institute of Standards and Technology (NIST) est l’autorité fédérale américaine. Sa mission, mettre en place des normes technologiques qui s’appliquent aux entreprises américaines. Ses recommandations dépassent les frontière et font, la plupart du temps, référence à l’échelle mondiale. Le guide SP 800-63B du National Institute of Standards and Technology place l’authentification au cœur de la protection des systèmes d’information avec quelque chamboulement. Le NIST rappelle que l’authentification est subdivisée en trois niveaux d’assurance, appelés AAL (Authentication Assurance Levels), qui varient en fonction du niveau de sécurité nécessaire :

AAL1 : Authentification à faible niveau d’assurance, généralement un mot de passe seul.
AAL2 : Authentification nécessitant au moins deux facteurs (par exemple, mot de passe et un facteur physique comme un smartphone ou une clé de sécurité).
AAL3 : Authentification à très haut niveau d’assurance, requérant des méthodes robustes et cryptographiquement sécurisées.

L’un des aspects critiques du SP 800-63B concerne la gestion des mots de passe à tous les niveaux d’authentification.

Traditionnellement, les politiques de sécurité exigeaient des mots de passe complexes, avec des règles telles que l’obligation d’inclure des caractères spéciaux, des chiffres et des majuscules. Le NIST recommande un changement d’approche radical. Plutôt que de forcer la complexité, le guide encourage à privilégier des mots de passe plus longs (au moins 8 caractères) qui sont plus faciles à retenir pour les utilisateurs mais plus difficiles à deviner pour les attaquants. Les mots de passe de 64 caractères ou plus sont autorisés, et les restrictions de complexité doivent être minimisées pour encourager l’utilisation de phrases de passe.

Une autre recommandation du NIST consiste à abandonner les politiques de changement de mot de passe régulier, qui peuvent avoir des effets contre-productifs. Lorsqu’on oblige les utilisateurs à changer leurs mots de passe trop fréquemment, cela les conduit souvent à choisir des mots de passe plus simples ou à réutiliser des variantes faciles à deviner. Bilan, le NIST préconise de ne pas imposer de changement de mot de passe à moins qu’il y ait une raison spécifique, comme la détection d’une compromission. Cela permet de diminuer le stress des utilisateurs tout en garantissant une meilleure protection des comptes.

Désactivation des contraintes inutiles

Le guide déconseille également l’utilisation de règles de composition restrictives qui refusent certains caractères ou qui exigent des combinaisons spécifiques. Cela inclut également la désactivation des systèmes qui empêchent les utilisateurs de copier-coller ou de générer automatiquement des mots de passe, une pratique courante avec les gestionnaires de mots de passe. Le but est de faciliter la création de mots de passe sécurisés tout en réduisant le fardeau cognitif sur les utilisateurs. Le NIST recommande que les mots de passe proposés par les utilisateurs soient vérifiés par rapport à des listes de mots de passe compromis, communément disponibles après des violations de données. Cela inclut les mots de passe courants, les mots de passe exposés et les termes prévisibles associés à des informations personnelles. En bloquant l’utilisation de ces mots de passe connus, le risque de compromission est considérablement réduit. A noter que le Service Veille ZATAZ, entreprise Française, est capable de vous alerter lors de la compromission des informations de votre entreprise, dont les mots de passe.

Les attaques par force brute, où un pirate (ou ses logiciels automatisés) tente d’essayer toutes les combinaisons possibles de mots de passe, restent une menace constante. Le NIST suggère des mesures pour limiter ces tentatives, comme l’introduction de temporisations après un certain nombre d’échecs de connexion. De nombreux sites utilisent cette solution, dont Data Security Breach. L’utilisation d’authentification multi-facteurs est également une défense efficace contre ces types d’attaques, car le hacker malveillant doit non seulement deviner un mot de passe, mais également obtenir un second facteur, ce qui est « quasiment » impossible rapidement et efficacement. Le NIST recommande l’authentification multi-facteurs (MFA) comme méthode essentielle pour garantir une sécurité accrue. Le MFA combine généralement un mot de passe avec quelque chose que l’utilisateur possède (comme un téléphone ou une clé de sécurité) ou quelque chose qu’il est (comme une empreinte digitale). Concernant la biométrie (contrôle par l’empreinte palmaire, l’iris, Etc), le NIST encourage à ne pas utiliser la biométrie comme unique facteur.

Algorithmes de hachage obsolètes

Le NIST déconseille de stocker les mots de passe en texte clair ou sous une forme faiblement protégée, comme les algorithmes de hachage obsolètes (par exemple, MD5 ou SHA-1). Il est essentiel d’utiliser des méthodes modernes de protection des mots de passe comme l’algorithme de hachage sécurisé PBKDF2 ou Argon2, qui ralentissent le processus de vérification hors ligne, rendant les attaques par force brute beaucoup plus difficiles. Les gestionnaires de mots de passe sont fortement recommandés par le NIST pour gérer la complexité de la création et de la mémorisation des mots de passe. Ces outils permettent aux utilisateurs de créer des mots de passe longs et uniques pour chaque service sans avoir à s’en souvenir, ce qui réduit le risque de réutilisation de mots de passe. Le guide suggère d’encourager les utilisateurs à adopter ces outils comme une solution viable pour renforcer leur sécurité personnelle.

Pour conclure, le NIST rappelle la base de la cyber : éducation ! L’un des éléments clés de la sécurité des mots de passe est la sensibilisation des utilisateurs. Les meilleures pratiques en matière de sécurité peuvent être inefficaces si les utilisateurs ne sont pas bien formés. Le NIST insiste sur l’importance de campagnes de sensibilisation pour encourager l’utilisation de phrases de passe, de gestionnaires de mots de passe et de l’authentification multi-facteurs. Il est également crucial que les utilisateurs comprennent les risques liés aux attaques par phishing et à la compromission de leurs identifiants.

Bitcoin, Cybersécurité

Rapport du FBI sur la fraude aux cryptomonnaies : alerte face à la montée des délits

En 2023, la fraude aux cryptomonnaies a atteint des niveaux préoccupants, selon le rapport du FBI. Le Centre de plaintes pour la criminalité sur Internet (IC3) a enregistré plus de 69 000 plaintes liées aux cryptomonnaies, représentant des pertes estimées à 5,6 milliards de dollars. Bien que ces plaintes ne représentent que 10 % des signalements de fraudes financières, les pertes associées à ces cas représentent près de 50 % des pertes totales signalées.

La cryptomonnaie est de plus en plus exploitée dans des escroqueries variées, telles que les fraudes à l’investissement, les escroqueries au support technique, les arnaques amoureuses, ou encore les stratagèmes d’usurpation d’identité gouvernementale. Cependant, la fraude à l’investissement en cryptomonnaies s’est imposée comme la plus répandue et la plus dommageable, causant plus de 3,9 milliards de dollars de pertes en 2023.

La sophistication croissante des fraudes cryptographiques

Le directeur du FBI, Christopher Wray, a exprimé son inquiétude face à la montée en sophistication de ces escroqueries. Il a mis en avant la nécessité d’une vigilance publique accrue, affirmant que la signalisation des fraudes, même en l’absence de pertes financières, est essentielle pour aider le FBI à détecter les nouvelles tendances criminelles et à informer le public.

Les escroqueries liées aux cryptomonnaies suivent souvent un schéma d’ingénierie sociale sophistiqué, dans lequel les victimes sont manipulées pour investir de l’argent dans des opportunités fictives. Voici les étapes typiques d’une fraude à l’investissement en cryptomonnaie :

Cibler les victimes : Les escrocs utilisent diverses méthodes pour attirer leurs victimes, notamment via les réseaux sociaux, les SMS ou les sites de rencontres.

Instaurer la confiance : Une fois la victime approchée, les escrocs cherchent à établir une relation de confiance en flattant et en sympathisant avec leurs difficultés.

Le pitch d’investissement : Après avoir gagné la confiance de la victime, les fraudeurs introduisent l’idée d’un investissement « lucratif », souvent dans des secteurs comme le trading de cryptomonnaies ou le mining.

Investissement initial : Les victimes sont incitées à ouvrir des comptes sur des plateformes légitimes, puis à transférer des fonds vers des plateformes frauduleuses.

Augmentation de l’investissement : Les premières transactions semblent fructueuses, encourageant les victimes à investir davantage. Les escrocs peuvent même autoriser des retraits partiels pour renforcer la confiance.

Le piège final : Lorsque les victimes tentent de retirer tous leurs fonds, elles sont bloquées sous prétexte de frais ou d’impôts supplémentaires à payer. Ce dernier stratagème permet aux criminels de soutirer davantage d’argent avant de disparaître.

La réponse du FBI : Virtual Assets Unit (VAU)

En réponse à cette vague de criminalité, le FBI a renforcé ses capacités d’enquête sur les fraudes liées aux cryptomonnaies en 2022 en créant la Virtual Assets Unit (VAU). Cette équipe spécialisée utilise des technologies de pointe pour analyser la blockchain, suivre les transactions suspectes et saisir les actifs virtuels.

Le FBI encourage les victimes, même celles n’ayant subi aucune perte, à signaler les escroqueries via le portail IC3 (ic3.gov). Ces signalements sont essentiels pour suivre l’évolution des stratagèmes et protéger le public.

Conseils pour éviter les arnaques liées aux cryptomonnaies

Pour se prémunir contre les arnaques en cryptomonnaies, voici quelques conseils :

Méfiez-vous des communications non sollicitées via SMS, réseaux sociaux ou autres canaux proposant des opportunités d’investissement.
Vérifiez de manière indépendante les conseils d’investissement, en particulier s’ils proviennent de contacts en ligne que vous n’avez jamais rencontrés en personne.
Soyez attentif aux signaux d’alerte, tels que les demandes de communication via des applications comme WhatsApp ou Telegram.
Évitez les plateformes d’investissement qui semblent trop belles pour être vraies ou qui imitent des institutions légitimes.
Ne répondez jamais à des demandes de paiements en cryptomonnaie provenant de prétendues agences gouvernementales.

Pourquoi les criminels exploitent-ils les cryptomonnaies ?

La nature décentralisée des cryptomonnaies, combinée à la rapidité et à l’irréversibilité des transactions, en fait une cible attrayante pour les criminels. Les transactions sans supervision d’un tiers sont difficiles à annuler, permettant ainsi aux malfaiteurs de déplacer de grosses sommes d’argent à travers les frontières avec une traçabilité minimale. Bien que la blockchain permette de suivre les transactions, il est difficile de récupérer les fonds lorsque ceux-ci sont transférés dans des pays aux lois anti-blanchiment d’argent peu strictes.

cyberattaque, Cybersécurité

Les cybercriminels de RansomHub utilisent TDSSKiller pour contourner les systèmes de sécurité

Les attaques par ransomware continuent d’évoluer avec l’ingéniosité des cybercriminels, et les méthodes de contournement des systèmes de sécurité se sophistiquent. RansomHub, un groupe de pirates notoire, exploite un outil légitime de Kaspersky Lab, TDSSKiller, pour désactiver les services de détection et de réponse des points finaux (EDR) sur les systèmes qu’ils ciblent.

Ce détournement des outils de cybersécurité souligne un défi majeur dans la lutte contre les ransomwares : l’utilisation d’outils authentiques et signés pour masquer des intentions malveillantes.

TDSSKiller, développé par Kaspersky Lab, est à la base un logiciel de sécurité conçu pour détecter et éliminer les rootkits et bootkits, des types de malwares difficiles à identifier et à éliminer. Ces programmes malveillants peuvent contourner les mesures de sécurité traditionnelles et s’intégrer profondément dans le système, ce qui rend leur élimination complexe.

Cependant, comme le rapporte Bleeping Computer, RansomHub a détourné l’utilisation de cet outil pour interagir avec les services au niveau du noyau du système infecté, désactivant ainsi les services anti-malware tels que MBAMService de Malwarebytes. Ce processus se fait via un script de ligne de commande ou un fichier batch, ce qui permet aux cybercriminels de désactiver les mécanismes de défense critiques et de s’assurer que leur présence sur le système reste inaperçue.

Comment RansomHub utilise LaZagne pour l’exfiltration des informations d’identification

Après avoir désactivé les systèmes de défense via TDSSKiller, les pirates de RansomHub passent à la collecte d’informations d’identification. Ils exploitent l’outil LaZagne, un autre programme légitime, pour extraire les informations de connexion stockées dans les bases de données d’applications. Cet outil peut accéder à des identifiants provenant de navigateurs, de clients de messagerie, de bases de données ou encore de logiciels de gestion de mots de passe.

Une fois les informations d’identification récupérées, les pirates peuvent se déplacer latéralement dans le réseau, escaladant leurs privilèges pour prendre le contrôle de nouveaux systèmes et y installer d’autres malwares ou finaliser une attaque de ransomware. Malwarebytes a enquêté sur une attaque où LaZagne avait généré 60 fichiers contenant des données volées, preuve de l’étendue des informations que ces cybercriminels peuvent exfiltrer.

Les implications pour les entreprises : vigilance et renforcement des défenses

L’utilisation d’outils légitimes dans des attaques malveillantes est particulièrement problématique pour les équipes de sécurité. TDSSKiller est signé avec un certificat valide, ce qui rend sa détection par des logiciels de sécurité standard difficile. Les solutions de sécurité doivent donc être adaptées pour reconnaître des comportements suspects, même s’ils émanent d’outils légitimes. Cela inclut l’analyse comportementale avancée et la mise en place de restrictions plus strictes quant à l’utilisation d’outils tels que TDSSKiller ou LaZagne dans des environnements sensibles. Malwarebytes a souligné que les attaquants de RansomHub ont cherché à dissimuler leurs traces en supprimant des fichiers après avoir exfiltré des données d’identification, un comportement typique visant à éviter la détection post-incident.

Cybersécurité, Entreprise

Cybersécurité : la menace interne

Le FBI a récemment émis une alerte sur une menace de plus en plus courante et souvent négligée : la menace interne. Si les entreprises se concentrent principalement sur les attaques externes, il apparaît que les cybercriminels trouvent de nouveaux moyens d’infiltrer les systèmes de sécurité des organisations en se faisant passer pour des employés.

Une menace interne qui prend une nouvelle dimension avec l’exemple concret de Kyle, un faux employé nord-coréen, qui a réussi à contourner toutes les étapes de recrutement, jusqu’à pénétrer le réseau d’une entreprise. En juillet, KnowBe4 a levé le voile sur un cas inquiétant. L’entreprise avait recruté un employé, appelé Kyle, qui semblait remplir toutes les qualifications nécessaires.

Cependant, dès que Kyle a connecté son PC au réseau de l’entreprise, une vague de malwares a immédiatement été détectée. Le helpdesk a tenté de joindre l’utilisateur, mais celui-ci est resté silencieux. Après une enquête approfondie, il est apparu que Kyle n’était en réalité qu’un faux employé – un agent nord-coréen ayant utilisé une fausse photo générée par l’IA pour tromper les recruteurs. Cette infiltration a mis en lumière un schéma de fraude bien rodé : des fermes d’ordinateurs portables aux États-Unis permettent aux agents nord-coréens de se connecter aux serveurs internes des entreprises depuis l’étranger, camouflant ainsi leur localisation réelle.

Une menace en plein essor aux États-Unis

Et Kyle n’est pas un cas isolé. Le FBI a récemment averti que ce type de menace se propageait aux États-Unis, avec des centaines, voire des milliers de cas similaires recensés depuis 2022 et 2023. Ces infiltrations par des agents étrangers montrent clairement que la cybercriminalité interne est un problème persistant et que les entreprises ne peuvent plus se permettre de sous-estimer ce risque. Face à cette menace croissante, il est essentiel pour les entreprises d’adopter une approche proactive pour renforcer leurs défenses internes. Bien que certaines mesures de sécurité soient déjà en place, d’autres actions peuvent être prises pour limiter les risques d’infiltration.

Les recruteurs doivent désormais redoubler de vigilance, notamment en matière de vérification des antécédents. Même pour des postes en full remote, il est important d’exiger la présence physique des candidats lors du processus de recrutement et régulièrement après leur embauche. La mise en place d’un système de détection des comportements inhabituels est cruciale. Cela peut être aussi simple que de surveiller des paramètres tels que les volumes de données transférées ou les horaires de connexion, ou d’utiliser des technologies avancées comme l’UEBA (User and Entity Behavior Analytics) pour identifier des anomalies plus subtiles. La gestion des droits d’accès aux informations est souvent un point faible dans la sécurité des entreprises. Il est impératif de limiter l’accès aux données sensibles et de s’assurer que chaque employé n’ait accès qu’à ce qui est nécessaire à son travail.

Il est recommandé de constituer une équipe spécifiquement chargée de traiter les incidents liés aux menaces internes. Cette équipe pourra gérer les cas de manière discrète, sans que les informations sensibles ne circulent librement dans le SOC (Security Operations Center) ou dans les tickets ouverts, afin d’éviter des fuites d’informations. Une red team dédiée à la « menace interne » devrait être incluse dans les budgets de cybersécurité pour l’année 2025. Cette équipe spécialisée pourrait simuler des scénarios d’infiltration afin d’identifier les failles potentielles dans les processus de recrutement et de sécurité des entreprises.

Protéger la vie privée tout en assurant la sécurité

Bien que ces mesures soient cruciales, il est tout aussi important de respecter les droits à la vie privée des employés. Les entreprises doivent donc équilibrer la protection contre les menaces internes avec les préoccupations en matière de protection des données personnelles. Pour ce faire, elles peuvent s’inspirer des pratiques éprouvées dans le domaine de la lutte contre la fraude, où des protocoles de sécurité sont en place depuis longtemps tout en préservant les droits des individus.

La menace interne représente un défi croissant pour les entreprises, en particulier avec des cybercriminels capables de se faire passer pour des employés légitimes. L’exemple de Kyle, l’agent nord-coréen infiltré, souligne à quel point ces attaques peuvent être sophistiquées et difficiles à détecter. Mais attention, l’employé malveillant n’est pas obligatoirement venu de pays étranger. Il peut être aussi un « simple » malveillant comme a pu le vivre l’entreprise CapGemini, en France, en 2024.

Chiffrement, Cybersécurité, Entreprise

Entreprise : tentative d’extorsion de données en interne

Le 27 août 2024, Daniel Ryan, un résident de Kansas City, Missouri, âgé de 57 ans, a été arrêté pour tentative d’extorsion de données suite à une opération de cyber-chantage menée contre son ancien employeur, une entreprise industrielle basée dans le comté de Somerset, New Jersey. Cet événement marquant soulève des questions cruciales sur la sécurité des systèmes informatiques et les vulnérabilités internes que certaines entreprises doivent affronter.

Un ancien employé devient cybercriminel

Daniel Ryan, un ancien ingénieur en infrastructures, a été inculpé de trois chefs d’accusation : extorsion par menace de dommages à un ordinateur protégé, dommages intentionnels à un système informatique protégé, et fraude électronique. Ces charges résultent d’une tentative de sabotage et d’extorsion visant à paralyser le réseau informatique de l’entreprise, à moins qu’une somme non spécifiée ne soit versée.

L’arrestation de Ryan met en lumière l’importance de la confiance placée dans les employés ayant accès à des informations sensibles. L’ancien employé, après avoir quitté son poste, a réussi à conserver un accès non autorisé aux systèmes de l’entreprise, exploitant cette faille pour lancer son attaque.

Tentative d’extorsion : un scénario de chaos planifié

L’affaire a débuté lorsque Ryan a envoyé plusieurs lettres de menace à des employés de l’entreprise le 25 novembre 2023, affirmant que le réseau de l’entreprise avait été compromis. Dans ces lettres, il indiquait que tous les administrateurs IT avaient été « exclus ou supprimés » du réseau et que les sauvegardes de données avaient été détruites. Plus alarmant encore, Ryan menaçait de fermer 40 serveurs par jour pendant une période de 10 jours si l’entreprise refusait de se plier à ses exigences.

Cette menace, visant à paralyser totalement l’activité de l’entreprise, souligne l’impact potentiel d’une cyberattaque initiée de l’intérieur, une menace souvent négligée par les entreprises.

L’enquête, menée par le ministère américain de la Justice (DoJ), a révélé que Daniel Ryan avait réussi à obtenir un accès à distance non autorisé au réseau de l’entreprise, en utilisant un compte administrateur. Il a configuré plusieurs tâches malveillantes, incluant la modification des mots de passe des administrateurs et l’arrêt des serveurs, compromettant ainsi la stabilité du réseau.

L’enquête a également découvert que Ryan avait utilisé des outils de hacking bien connus comme Sysinternals Utilities PsPasswd pour changer les mots de passe de l’administrateur de domaine et des comptes locaux, modifiant ces derniers pour qu’ils deviennent TheFr0zenCrew!. Cette modification lui a donné un contrôle quasi total sur les systèmes informatiques de l’entreprise.

De plus, Ryan avait mis en place une machine virtuelle cachée qui lui permettait d’accéder à distance aux systèmes de l’entreprise, dissimulant ses traces grâce à des techniques sophistiquées comme l’effacement des journaux Windows. Les autorités ont également découvert des recherches effectuées par Ryan sur la façon de changer les mots de passe administrateurs à travers des lignes de commande.

Procès et sanctions sévères

Daniel Ryan, après son arrestation, a immédiatement comparu devant la justice. Pour les trois chefs d’accusation retenus contre lui, il risque une peine maximale de 35 ans de prison et une amende de 750 000 dollars. Ce cas de cybercriminalité met en lumière la sévérité des peines encourues pour les crimes liés à l’extorsion et à la fraude électronique, ainsi que l’importance d’une sécurisation renforcée des systèmes IT, même après le départ d’un employé.

L’arrestation de Daniel Ryan est un rappel frappant des dangers internes auxquels les entreprises sont confrontées en matière de cybersécurité. Il est impératif que les entreprises mettent en place des procédures strictes de contrôle d’accès, en particulier lorsque des employés quittent l’organisation, afin de minimiser les risques d’abus. Des systèmes de surveillance renforcés, associés à des pratiques de cybersécurité rigoureuses, sont essentiels pour prévenir de telles attaques internes à l’avenir.

En résumé, la tentative infructueuse d’extorsion de Daniel Ryan démontre les risques liés à une mauvaise gestion des accès IT et souligne la nécessité de rester vigilant face aux menaces internes. Le secteur de la cybersécurité doit continuer à évoluer pour faire face à ces défis en constante mutation, garantissant ainsi la protection des données critiques des entreprises.

Emploi, Entreprise, Wordpress

Enregistrement obligatoire des blogueurs avec plus de 10 000 abonnés : ce qu’il faut savoir

Le Service fédéral de surveillance des communications, des technologies de l’information et des communications de masse (Roskomnadzor) Russe a publié le premier document officiel sur l’enregistrement des blogueurs ayant une audience de 10 000 abonnés ou plus.

Selon ce document, les blogueurs ayant une telle audience sont tenus de s’inscrire auprès de Roskomnadzor dans un registre spécial et de fournir des informations sur :

Nom complet du blogueur (propriétaire de la page personnelle).
Date de naissance.
Données de passeport ou données d’un autre document d’identification.
Adresse email.
Numéro de téléphone du contact.
Le nom du réseau social ou de la plateforme (par exemple, VKontakte, Telegram, YouTube, etc.).
Un lien vers une page personnelle ou un compte comptant plus de 10 000 abonnés.
Confirmation que le nombre d’abonnés dépasse le seuil des 10 000 personnes.
Informations sur le fournisseur d’hébergement et l’adresse IP (le cas échéant).
La nature du contenu.
Les blogueurs s’engagent également à vérifier l’exactitude des informations publiées et à ne pas enfreindre les lois de la Fédération de Russie (par exemple, les lois sur les fausses nouvelles et l’extrémisme). En cas de violation, ils s’exposent à des amendes ou à d’autres sanctions prévues par la législation de la Fédération de Russie. À son tour, Roskomnadzor a la possibilité de surveiller les informations diffusées par les principaux blogueurs pour garantir leur conformité avec les lois russes.

Statistiques

Les statistiques sur le nombre de blogueurs en Russie comptant plus de 10 000 abonnés changent constamment. Ainsi, les blogueurs comptant plus de 10 000 abonnés sont classés parmi les micro-influenceurs, qui représentent une part importante du marché. En 2022, il y avait environ 1,5 million de blogueurs en Russie avec différents niveaux d’abonnés. Parmi eux, les micro-influenceurs (10 000 à 50 000 abonnés) représentent plus de 50 %, les influenceurs intermédiaires (50 000 à 100 000 abonnés) – environ 20 %.

Les chiffres exacts changent constamment, mais le total des blogueurs avec une audience de plus de 10 000 personnes peut être estimé à des centaines de milliers uniquement sur les principales plateformes : VKontakte, Odnoklassniki, Telegram, LiveJournal, Pikabu, Pinterest, Rutube, Yandex.Zen, Twich, Discorde et Yappy. Des plateformes telles qu’Instagram et TikTok, qui sont bloquées en Russie (mais accessibles via un VPN), pourraient également tomber sous le coup de ces règles si elles opèrent officiellement en Russie.

A noter que Roskomnadzor a supprimé le document de son portail quelques heures aprés sa diffusion.

backdoor, Cybersécurité

Un ingénieur découvre une porte dérobée dans des cartes sans contact d’un fabricant chinois

Quarkslab, une entreprise française spécialisée dans la cybersécurité offensive et défensive, a annoncé la découverte d’une porte dérobée présente dans des millions de cartes sans contact fabriquées par Shanghai Fudan Microelectronics Group Co. Ltd., un des principaux fabricants de puces en Chine. Les cartes concernées sont largement utilisées dans les transports publics et l’industrie hôtelière à travers le monde.

Les cartes MIFARE* sont une marque bien connue pour une large gamme de produits de circuits intégrés sans contact, produits et licenciés par NXP Semiconductors N.V. (NASDAQ: NXPI). Les circuits intégrés sans contact MIFARE ont une distance de lecture/écriture typique de 10 cm et sont utilisés dans plus de 750 villes, dans plus de 50 pays, et dans plus de 40 applications différentes à travers le monde, y compris les paiements sans contact, la billetterie de transport et le contrôle d’accès. La gamme de produits a rencontré un immense succès, avec plus de 12 milliards de cartes sans contact et à double interface vendues, selon le vendeur.

Dès 2010, plus de 3,7 milliards de cartes avaient été fabriquées et déployées à travers le monde.

Selon NXP en 2019, lors de son 25e anniversaire, plus de 1,2 milliard de personnes dans plus de 750 villes à travers le monde utilisaient quotidiennement des produits MIFARE.

La famille de cartes MIFARE Classic*, lancée à l’origine en 1994 par Philips Semiconductors (aujourd’hui NXP Semiconductors), est largement utilisée et a été soumise à de nombreuses attaques au fil des années. Les vulnérabilités de sécurité permettant des attaques dites « card-only » (attaques nécessitant l’accès à une carte mais pas au lecteur correspondant) sont particulièrement préoccupantes car elles peuvent permettre aux attaquants de cloner des cartes, ou de lire et de modifier leur contenu, simplement en se trouvant à proximité physique d’elles pendant quelques minutes. Au fil des années, de nouvelles versions de la famille MIFARE Classic* ont été développées pour contrer les différents types d’attaques découvertes par les chercheurs en sécurité.

En 2020, le FM11RF08S, une nouvelle variante de MIFARE Classic*, a été lancée par Shanghai Fudan Microelectronics, le principal fabricant chinois de puces « compatibles MIFARE » non licenciées. Cette variante comporte des contre-mesures spécifiques conçues pour déjouer toutes les attaques « card-only » connues et gagne progressivement des parts de marché à l’échelle mondiale. De nombreuses organisations utilisent ces cartes sans savoir qu’il s’agit de produits Fudan, car elles sont étiquetées MIFARE.

Lors de recherches en sécurité, Philippe Teuwen, chercheur en sécurité chez Quarkslab, a identifié des caractéristiques idiosyncratiques intéressantes des cartes FM11RF08S. Tout d’abord, il a découvert une attaque capable de casser les clés des cartes FM11RF08S en quelques minutes si elles sont réutilisées sur au moins trois secteurs ou trois cartes. Des recherches supplémentaires ont révélé une porte dérobée matérielle qui permet l’authentification avec une clé inconnue.

Il a ensuite utilisé cette nouvelle attaque pour obtenir (« craquer ») cette clé secrète et a découvert qu’elle est commune à toutes les cartes FM11RF08S existantes. Avec la connaissance de la porte dérobée et de sa clé, il a conçu une méthode pour casser toutes les clés d’une carte FM11RF08S en environ 15 minutes si les 32 clés sont diversifiées, beaucoup moins de temps si seulement quelques clés sont définies. Ensuite, il a trouvé une porte dérobée similaire, protégée par une autre clé, dans la génération précédente de cartes (FM11RF08). Après avoir également craqué cette seconde clé secrète, il a découvert que cette clé est commune à toutes les cartes FM11RF08, ainsi qu’à d’autres modèles du même fabricant (FM11RF32, FM1208-10), et même à certaines anciennes cartes de NXP Semiconductors N.V. (NASDAQ: NXPI) et d’Infineon Technologies AG (FSE: IFX / OTCQX: IFNNY).

« Les technologies de communication en champ proche (NFC) sont largement déployées dans le monde entier et ont de nombreuses utilisations aujourd’hui. Elles sont la pierre angulaire de certaines applications critiques telles que les transports publics, l’identification personnelle, le contrôle d’accès physique et les systèmes de paiement, et elles sont omniprésentes dans l’industrie hôtelière. Mais même des technologies matures qui ont été étudiées pendant des décennies et dont la sécurité a été améliorée au fil du temps peuvent être sujettes à des attaques ou à des manipulations par différents types d’acteurs malveillants« , a déclaré Fred Raynal, PDG de Quarkslab. « La découverte de Philippe réaffirme la nécessité pour les organisations de réaliser régulièrement des audits de sécurité approfondis des technologies sans contact qu’elles utilisent. Ce besoin est particulièrement aigu pour les organisations ayant des chaînes d’approvisionnement complexes, où les attaques sur la chaîne d’approvisionnement peuvent représenter une menace sérieuse dans leur modèle de menace.« 

Bien que, sans accès préalable à une carte affectée, la porte dérobée nécessite seulement quelques minutes de proximité physique avec la carte pour mener une attaque, une entité en position de réaliser une attaque sur la chaîne d’approvisionnement pourrait exécuter de telles attaques instantanément et à grande échelle.

Quarkslab a publié un résumé des conclusions sur le blog de l’entreprise. La nouvelle attaque et toutes les découvertes associées ont été révélées dans un article de recherche publié vendredi dernier, le 16 août, sur l’archive de cryptologie ePrint de l’International Association for Cryptologic Research (IACR).

Les outils associés ont été intégrés dans le projet open-source Proxmark3, permettant aux utilisateurs potentiellement affectés de tester leurs cartes.