Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Cybersécurité, Mise à jour

Crypto-monnaies : compromission du kit Ledger Connect

Des pirates s’invitent dans un outil Ledger et affiche, une fois de plus les limites du SBOM dans la protection de la chaine d’approvisionnement.

Le kit Ledger Connect, une solution logicielle développée par Ledger, entreprise spécialisée dans les portefeuilles physiques pour stocker les crypto-monnaies, a été victime d’une attaque informatique sophistiquée ciblant la chaîne d’approvisionnement. Le kit Ledger Connect est une solution logicielle qui permet aux développeurs de connecter leurs applications aux portefeuilles matériels Ledger, via API.

La faille a entrainé la redirection des transactions des utilisateurs vers un portefeuille contrôlé par le pirate. Le malveillant a réussi sont attaque à la suite d’un hameçonnage [phishing] auprès d’un ancien employé (prise de contrôle du compte npm), puis injection de code malveillant dans les versions 1.1.5, 1.1.6 et 1.1.7 du kit de Ledger.

A l’heure actuelle, plus de 700 000 $ ont été volés. Ledger a rapidement publié la version 1.1.8 pour corriger la vulnérabilité.

Pourquoi un SBOM, n’est pas suffisant ?

Le SBOM, ou « Software Bill of Materials », est essentiellement une liste détaillée des composants logiciels dans un produit programme informatique. Imaginez-le comme une liste d’ingrédients pour un code source.

Bien qu’une nomenclature logicielle (SBOM) soit un outil essentiel pour améliorer la transparence et la sécurité des chaînes d’approvisionnement logicielles, son efficacité reste limitée dans certains types d’attaques. Un SBOM répertorie efficacement tous les composants utilisés dans un produit logiciel, « mais il traite principalement des problèmes liés aux vulnérabilités connues de ces composants, et non nécessairement de la sécurité du mécanisme de distribution en lui-même. » confie la société Checkmarx.

Dans le cas de l’attaque du Kit Ledger Connect, le problème principal résidait dans le processus de distribution, qui a été compromis via le piratage du compte NPM. L’attaquant a publié des versions malveillantes du package via un canal légitime, pas nécessairement signalé par le SBOM. Étant donné que ce dernier répertorie les composants, il n’était donc pas en mesure d’identifier le code malveillant introduit dans les versions compromises.

Les SBOM doivent ainsi être complétés par des mécanismes d’analyse rapides et proactifs capables de détecter en temps réel les modifications non autorisées ou les activités malveillantes, au-delà de la simple liste de composants.

Bitcoin, Cybersécurité

Traque aux blanchiments d’argent 2.0

Lutte contre le blanchiment d’argent : 28 sociétés de crypto-monnaies collaborent avec le ministère indien des finances.

Le ministère indien des finances a annoncé que 28 fournisseurs de services d’actifs virtuels (VASP) se sont enregistrés auprès de la cellule de renseignement financier (CRF) indienne pour intensifier la lutte contre le blanchiment d’argent impliquant des crypto-monnaies.

Pankaj Chaudhary, le ministre indien des finances, a présenté un rapport écrit à la chambre basse du parlement pour informer de ces développements. Parmi les sociétés ayant adhéré à cet enregistrement figurent des plateformes d’échange de crypto-monnaies bien connues en Inde, telles que WazirX, Coin DCX et Coinswitch.

En mars, le ministère indien des finances avait émis une directive obligeant les sociétés opérant dans le secteur des crypto-monnaies à s’enregistrer auprès de la CRF, dans le but de se conformer aux lois anti-blanchiment d’argent. En outre, le ministère avait imposé aux acteurs de l’industrie de mettre en œuvre des procédures de connaissance du client (KYC).

Concrètement, les entreprises enregistrées doivent conserver des données KYC, des documents d’identification des clients, ainsi que des informations sur les comptes et la correspondance commerciale liée aux utilisateurs. Le ministère des finances indien a également souligné que ces directives et exigences de déclaration s’appliquent également aux plateformes de crypto-monnaies basées à l’étranger qui proposent leurs services aux traders indiens.

backdoor, Cybersécurité, Wordpress

Méfiez-vous des fausses notifications et plugins malveillants

La sécurité des sites Web WordPress est une préoccupation majeure pour de nombreux administrateurs. Récemment, une nouvelle menace a émergé sous la forme de fausses notifications de sécurité prétendant qu’une vulnérabilité dangereuse.

Répertoriée sous l‘ID CVE-2023-45124, affecte votre site. Mais méfiez vous, car cette menace n’est rien d’autre qu’une tentative sournoise d’infecter votre site avec un plugin malveillant.

Comment fonctionne cette attaque ? Les utilisateurs de WordPress reçoivent des e-mails qui semblent provenir de WordPress lui-même, alertant sur une vulnérabilité critique d’exécution de code à distance (RCE) détectée sur leur site. La peur de la sécurité incite les administrateurs à agir rapidement, et la solution semble simple : installer un plugin qui prétend résoudre le problème de sécurité.

Cependant, c’est là que réside le piège. En cliquant sur le bouton « Télécharger le plugin », les utilisateurs sont redirigés vers une page qui ressemble étonnamment au site officiel de WordPress, « wordpress.com ». La page affiche fièrement un nombre impressionnant de 500 000 téléchargements du plugin, ainsi que des avis d’utilisateurs élogieux. Toutefois, il s’agissait d’une fausse page reprenant la page officielle : « en-gb-wordpress[.]org » [la page officielle en-gb.wordpress.org], un subterfuge bien élaboré.

Après avoir installé le plugin, il crée un administrateur caché, baptisé « wpsecuritypatch« , et commence à envoyer des informations sensibles à un Serveur de Commande et Contrôle (C2). Le code malveillant est ensuite téléchargé et stocké sur le site, mettant potentiellement en danger l’intégrité de votre site Web.

Ce plugin malveillant est équipé de fonctionnalités redoutables, telles que la gestion de fichiers, un client SQL, une console PHP et un terminal de ligne de commande. De plus, il fournit aux attaquants des informations détaillées sur le serveur compromis, ce qui leur donne un contrôle considérable sur votre site.

Ce qui rend cette menace particulièrement sournoise, c’est que le plugin ne s’affiche pas dans la liste des plugins installés, le cachant ainsi aux yeux des administrateurs. Cette dissimulation rend sa détection et sa suppression difficiles.

Alors, quel est l’objectif final de ce plugin malveillant ? Pour l’instant, il demeure un mystère, mais les experts en sécurité émettent des hypothèses inquiétantes. Il pourrait être utilisé pour injecter de la publicité sur des sites compromis, rediriger les visiteurs vers des destinations malveillantes, voler des informations confidentielles ou même faire chanter les propriétaires de sites en menaçant de divulguer le contenu de leur base de données.

Heureusement, des experts en sécurité WordPress tels que Wordfence et PatchStack ont pris des mesures pour alerter la communauté. Ils ont publié des avertissements sur leurs sites Web pour sensibiliser les administrateurs et les utilisateurs à cette menace grandissante.

Alors, que pouvez-vous faire pour protéger votre site WordPress ? Tout d’abord, soyez extrêmement prudent lors de l’installation de plugins inconnus. Assurez-vous de les télécharger à partir de sources fiables uniquement. De plus, soyez vigilant face à tout e-mail suspect prétendant provenir de WordPress.

Cybersécurité

Cybersécurité aérienne avec « Fly Catcher »

Angelina Tsuboi, une pilote hacker, a développé un système révolutionnaire appelé « Fly Catcher », basé sur l’emblématique ordinateur monocarte Raspberry Pi.

« Fly Catcher » est un système sophistiqué conçu pour détecter les signaux d’avion usurpés, une menace croissante dans le domaine de l’aviation. La technologie clé utilisée ici est le système de surveillance dépendante automatique-B (ADS-B), qui est couramment employé dans l’aviation pour transmettre des informations de localisation des avions. Cependant, il présente un inconvénient majeur : il peut être manipulé par des pirates pour diffuser de fausses données, créant ainsi un risque potentiel pour la sécurité aérienne.

Le génie de « Fly Catcher » réside dans sa capacité à résoudre ce problème. Le système surveille la fréquence 1090 MHz et, grâce à un réseau neuronal spécialement conçu pour ce projet, détermine l’authenticité des signaux d’avion détectés. Le cerveau de ce système est un Raspberry Pi, une carte informatique polyvalente, sur laquelle fonctionne un réseau neuronal programmé en Python. Cet algorithme a été formé avec des données ADS-B précises pour distinguer les informations de vol légitimes des données falsifiées.

Pour tester l’efficacité de « Fly Catcher », Angelina Tsuboi a utilisé un Raspberry Pi 3 B+ connecté à une antenne 1,090 MHz, ainsi que du matériel FlightAware SDR pour lire les signaux ADS-B en temps réel. Le système a été mis à l’épreuve lors d’un vol d’une heure au-dessus de la ville de Los Angeles, une expérience capturée et partagée sur sa chaîne YouTube.

Ce qui rend ce projet encore plus exceptionnel, c’est la générosité d’Angelina Tsuboi envers la communauté de la cybersécurité. Elle a décidé de rendre « Fly Catcher » open source, mettant ainsi le code source à la disposition de tous sur la plateforme GitHub. Cette décision reflète son engagement envers la sécurité aérienne et sa volonté de collaborer avec d’autres experts pour renforcer la cybersécurité dans le domaine de l’aviation.

Pour en savoir plus sur ce projet innovant, vous pouvez visiter la page officielle de « Fly Catcher » sur le site Hackster. Angelina Tsuboi incarne la passion et l’ingéniosité qui sont nécessaires pour relever les défis complexes de la cybersécurité, et son travail avec « Fly Catcher » est une étape importante vers un ciel plus sûr pour tous.

Cybersécurité, Securite informatique

Le mystérieux pirate de la blockchain blanchit des millions avec Magic : The Gathering

La blockchain ne cesse de permettre de remonter à des pirates informatiques. Il a été découvert qu’un hacker avait blanchi une partie de l’argent volé via des cartes Magic : The Gathering !

Tout a commencé en avril 2021, lorsque la plateforme Uranium Finance DeFi a été piratée. Le résultat de cette attaque a été une perte massive de 50 millions de dollars, dont 80 Bitcoins, 1 800 ETH, et divers autres actifs numériques. Cependant, ce qui a suivi a été encore plus surprenant.

L’attaquant, cherchant à brouiller les pistes, a pris des mesures pour blanchir une partie des fonds volés. Le pirate a envoyé 2 438 ETH à Tornado Cash, une plateforme de confidentialité cryptographique, et a également converti d’autres crypto-monnaies en ETH et Bitcoin. Mais c’est là que cela devient vraiment intéressant.

En 2021, ce mystérieux pirate a commencé à retirer environ 11 200 ETH de Tornado Cash, en petits incréments de 100 pièces, puis il a entrepris une série de transactions complexes. Il a échangé ces ETH contre de l’ETH enveloppé (WETH), les a transférés vers une nouvelle adresse et les a échangés contre des pièces stables USDC. Jusque-là, tout semble être une opération de blanchiment de routine, mais voici le tournant inattendu.

Le pirate a utilisé une partie de ces fonds pour acheter des cartes Magic : The Gathering. Pour ce faire, il a fait appel à un courtier américain, agissant comme intermédiaire, sans jamais révéler son identité aux vendeurs. Les sommes en jeu étaient astronomiques, avec des dépenses de plusieurs millions de dollars en decks de démarrage, en sets alpha et en boîtes de cartes scellées. Ce qui est encore plus étonnant, c’est que le pirate a accepté de payer entre 5 et 10 % de plus que la valeur réelle de ces cartes.

Mais les manigances ne s’arrêtent pas là. Une partie des fonds a également été transférée vers des échanges centralisés tels que Kraken, Bitpay et Coinbase. Selon le chercheur ZachXBT, ces mouvements visaient à rendre la traçabilité des fonds encore plus difficile, rendant ainsi la tâche des enquêteurs complexe.

Le piratage d’Uranium Finance en avril 2021 reste l’un des incidents les plus retentissants dans le domaine de la finance décentralisée (DeFi). La plateforme Uranium Finance, basée sur la Binance Smart Chain et dérivée du populaire protocole DeFi Uniswap V2, a été victime d’une faille de sécurité critique lors de sa migration vers la version V2. Cela a permis au pirate d’effacer du système une multitude de cryptomonnaies, dont Bitcoin (BTC), Ethereum (ETH), Binance USD (BUSD), Tether (USDT), Cardano (ADA), Polkadot (DOT), Wrapped BNB (wBNB), ainsi que les jetons natifs Uranium U92.

Une histoire qui met en lumière les défis et les ruses auxquels sont confrontés ceux qui tentent de suivre la trace des criminels de la blockchain. Le mystérieux pirate qui a utilisé Magic : The Gathering pour blanchir des millions de dollars reste dans l’ombre.

Bitcoin, Cybersécurité, nft

Une nouvelle fonction dans la blockchain Ethereum a conduit au vol de 60 millions de dollars

Create2, une nouvelle fonction dans la blockchain, a aidé les fraudeurs à contourner la sécurité d’Ethereum et à trouver une nouvelle source de revenus pour les hackers malveillants.

Les attaquants ont trouvé un moyen de contourner les systèmes de sécurité des portefeuilles de crypto-monnaie en utilisant la fonction Create2 de la blockchain Ethereum. Cette méthode a permis le vol de 60 millions de dollars de crypto-monnaie auprès de 99 000 utilisateurs au cours des 6 derniers mois. Dans certains cas, les pertes individuelles ont atteint 1,6 million de dollars.

Create2, introduit dans la mise à jour Constantinople, permet de créer des contrats intelligents sur la blockchain avec la possibilité de pré-calculer leurs adresses avant le déploiement. La fonction, bien que légitime, a créé de nouvelles vulnérabilités dans le système de sécurité Ethereum.

La principale méthode d’abus consiste à créer de nouvelles adresses contractuelles sans historique de transactions suspectes. Les attaquants incitent les victimes à signer des transactions malveillantes, puis transfèrent les actifs vers des adresses pré-calculées. Ainsi, l’une des victimes a perdu 927 000 $ en cryptomonnaie GMX en signant un contrat de transfert frauduleux.

Une autre méthode, connue sous le nom d’empoisonnement d’adresse (spoofing), consiste à créer plusieurs adresses et à sélectionner celles qui sont similaires aux adresses légitimes des victimes. Ainsi, les utilisateurs envoient des actifs à des fraudeurs, croyant à tort qu’ils transfèrent des fonds vers des adresses familières. Depuis août 2023, 11 cas ont été enregistrés dans lesquels les victimes ont ainsi perdu environ 3 millions de dollars.

Les attaques sont souvent passées inaperçues, mais certaines ont attiré l’attention du public. Le service MetaMask a mis en garde contre les fraudeurs utilisant des adresses nouvellement créées qui correspondent aux adresses utilisées par les victimes lors de transactions récentes. Dans un cas, l’opérateur Binance a envoyé par erreur 20 millions de dollars à des fraudeurs, mais a rapidement remarqué l’erreur et gelé le compte du destinataire.

Les experts soulignent que la méthode d’utilisation d’adresses de crypto-monnaie similaires n’est pas sans rappeler les tactiques utilisées par les logiciels malveillants pour détourner le presse-papiers, par exemple, comme le fait Laplas Clipper.

À cet égard, les experts recommandent fortement aux utilisateurs de vérifier soigneusement les adresses des destinataires lorsqu’ils effectuent des transactions en crypto-monnaie afin d’éviter de telles escroqueries.

Cybersécurité, Mise à jour

La Russie va perdre son .aero

Les compagnies de transport aérien russes se retrouvent dans une situation délicate depuis que SITA, la société suisse qui administre la zone de domaine de premier niveau de l’aviation internationale .aero, a décidé de bloquer l’accès à cette zone pour les clients de la Fédération de Russie.

Une décision qui risque d’être un sérieux problème pour la Russie. Le 10 novembre, date à laquelle Ru-Center, le plus grand registraire de domaines commerciaux en Russie, a informé les entreprises aériennes russes de la résiliation imminente de leurs services d’enregistrement et de renouvellement de domaines .aero.

La zone de domaine aéronautique internationale .aero a été créée en 2002 spécifiquement pour les acteurs de l’industrie aéronautique, tels que les compagnies aériennes, les aéroports, les entreprises spatiales, les clubs aériens, les systèmes de billetterie, les équipages d’avions et les services au sol. Pour enregistrer un domaine .aero, il est nécessaire d’obtenir un identifiant unique de la communauté aéronautique, ce qui garantit que seuls les acteurs légitimes de l’industrie y ont accès. Le coût de l’enregistrement d’un tel domaine commence à 5,8 mille roubles en Russie. En plus de représenter une identité importante pour les entreprises aéronautiques, les domaines .aero sont essentiels pour la communication avec les passagers et la vente de billets en ligne.

En Russie, plus de 200 sites sont enregistrés dans la zone de domaine .aero, ce qui témoigne de son importance pour l’industrie aéronautique du pays. Parmi les utilisateurs de cette zone, on trouve plus de 30 aéroports, notamment les aéroports de Cheremetyevo, Joukovski, Kazan, Krasnoïarsk, ainsi que les holdings Aéroports des régions et Aérodynamique. De plus, une quinzaine de compagnies aériennes russes, telles que Pobeda, Azimut, Yamal, Ikar, Alrosa, et d’autres, dépendent également de cette zone pour leurs opérations en ligne. Même Russian Helicopters, une entreprise spécialisée dans la fabrication d’hélicoptères, utilise des domaines .aero.

.aero

La décision de SITA de bloquer l’accès à la zone .aero pour les entreprises aériennes russes n’est pas totalement surprenante. Cette décision est vue comme un acte de plus dans une série d’actions hostiles contre l’aviation russe. L’année précédente, SITA avait déjà commencé à réduire ses activités en Russie en réponse à la participation de la société SVO en Ukraine. Cette réduction d’activité avait entraîné la fermeture de la plupart de ses services en Russie, ce qui avait été signalé au ministère des Transports.

L’aéroport de Krasnoïarsk a reconnu le risque de non-renouvellement de son enregistrement de domaine .aero, mais jusqu’à présent, il n’a pas reçu de confirmation de la part de son registraire. Malgré cela, l’aéroport prend des mesures pour minimiser les conséquences potentielles en cas de blocage de ses domaines .aero.

Le holding Aerodinamika, qui gère les aéroports de Sotchi, Krasnodar et Anapa, n’a pas encore été notifié de la suspension de l’enregistrement des domaines .aero. Cependant, l’entreprise ne prend pas de risques inutiles et a déclaré : « Nous gérons les risques, c’est pourquoi en 2022, des domaines de la zone .ru ont été achetés pour les sites Web de tous les aéroports gérés. Une fois l’enregistrement des domaines .aero terminé, les sites seront rapidement transférés vers ceux achetés dans la zone .ru.« 

La décision de SITA de bloquer l’accès à la zone .aero pour les entreprises aériennes russes soulève des questions sur les relations internationales dans le domaine de l’aviation. Elle montre également l’importance croissante de la cybersécurité et de la souveraineté numérique pour les acteurs de l’industrie aéronautique. Les entreprises russes devront désormais prendre des mesures pour garantir la continuité de leurs opérations en ligne et la communication avec leurs clients, même si cela signifie migrer vers d’autres domaines de premier niveau tels que .ru. La situation met en évidence l’importance de la planification et de la préparation pour faire face à de telles perturbations inattendues, qui peuvent avoir un impact sur l’ensemble de l’industrie aéronautique russe.

Bitcoin, Cybersécurité, Securite informatique

les groupes militants soutenus par l’Iran passent du bitcoin au tron pour financer leurs activités.

Les groupes militants, notamment ceux soutenus par l’Iran, sont en train de changer leurs méthodes de financement, passant du Bitcoin au Tron, une plateforme de blockchain plus rapide et moins coûteuse.

Voilà une transformation dans le monde de la cryptomonnaie qui attire l’œil. Selon de nombreux experts interviewés par l’agence de presse Reuters, les groupes para militaires, notamment ceux soutenus par l’Iran, changeraient leurs méthodes de financement. Ils ne passent plus par la cryptomonnaie Bitcoin. Ils préfèrent dorénavant Tron.

Le réseau Tron se distingue par sa rapidité et ses coûts réduits, devenant ainsi une option privilégiée pour ces groupes. Les autorités israéliennes ont remarqué cette tendance et ont intensifié la saisie de portefeuilles Tron liés à des activités suspectes.

Saisies et gel de portefeuilles Tron

Entre juillet 2021 et octobre 2023, la NBCTF, le National Bureau for Counter Terror Financing of Israel, a gelé 143 portefeuilles Tron soupçonnés d’être associés à des organisations terroristes ou utilisés dans des crimes graves. Ces actions ciblaient des groupes tels que le Hezbollah libanais, le Djihad islamique palestinien et le Hamas, ainsi que des entités liées à l’échangeur Dubai Co, basé à Gaza.

A noter d’ailleurs qu’Israël a récemment réalisé une saisie record de crypto-monnaies, impliquant environ 600 comptes liés à Dubai Co. Les détails précis des réseaux ou des crypto-monnaies impliquées n’ont pas été divulgués. Les autorités israéliennes ont confisqué des millions de shekels sur des comptes cryptographiques suspectés d’avoir des liens avec le Hamas et d’autres groupes militants au Moyen-Orient au cours des deux dernières années.

Déclarations des utilisateurs de Tron

Suite à ces saisies, plus d’une douzaine de personnes dont les fonds ont été bloqués ont affirmé à Reuters utiliser Tron pour des transactions personnelles, sans lien avec le financement du terrorisme. Une seule personne, s’identifiant comme Neo, a admis avoir transféré de l’argent à une personne associée au Hamas. Cependant, ces affirmations n’ont pas été vérifiées indépendamment par Reuters.

Selon le Wall Street Journal, les militants palestiniens ont reçu au moins 134 millions de dollars en cryptomonnaies. TRM Labs rapporte que les structures de soutien à l’ISIS en Asie ont utilisé des cryptomonnaies, principalement le stablecoin USDT sur le réseau Tron, pour lever plus de 2 millions de dollars.

Position de Tron

Hayward Wong, porte-parole de Tron, a souligné que la société ne contrôle pas les utilisateurs de sa technologie et n’est pas associée à des groupes terroristes. Justin Sun, cofondateur de Tron, a affirmé que le protocole luttait contre le financement du terrorisme en intégrant divers outils analytiques. La fondation TRON a été créée en juillet 2017 à Singapour par l’entrepreneur chinois Justin Sun. Une levée de fonds en cryptomonnaies (Initial Coin Offering) a généré 70 millions de dollars pour le lancement de la blockchain.

Cybersécurité, Justice, loi

LA FCC ADOPTE DE NOUVELLES RÈGLES PERMETTANT AUX FOURNISSEURS DE SERVICES SANS FIL DE CONTRÔLER L’ÉCHANGE DE CARTES SIM

La Federal Communications Commission (FCC) a pris une mesure décisive pour combattre la fraude par échange de cartes SIM, une pratique qui a causé des pertes financières considérables et continue de sévir dans le monde de la cybercriminalité.

Cette fraude, qui consiste à persuader un opérateur de téléphonie mobile de transférer le service d’une victime sur un appareil contrôlé par des pirates, donne accès à des informations personnelles et des mots de passe. Face à ce problème, la FCC a imposé de nouvelles règles pour renforcer la sécurité dans le secteur.

Exigences renforcées pour les fournisseurs

Les fournisseurs de services sans fil devront désormais adopter des méthodes sécurisées pour authentifier les clients avant de rediriger leur numéro vers un nouvel appareil ou fournisseur. De plus, ils sont tenus d’informer immédiatement leurs clients lorsqu’un changement de carte SIM ou une demande de portage est effectué sur leur compte.

Les nouvelles règles visent à établir un cadre uniforme pour le secteur tout en laissant la flexibilité aux fournisseurs de proposer des mesures de protection avancées et appropriées contre la fraude.

Mise à jour des règles CPNI et de portabilité

Ces règles actualisent les régulations antérieures sur l’Information Réseau Propriétaire des Clients (CPNI) et la portabilité des numéros locaux, renforçant ainsi les mesures de sécurité. Appel à la contribution publique
La FCC encourage le public à proposer d’autres moyens de lutter contre la fraude à l’échange de carte SIM et la fraude au port-out, une arnaque similaire impliquant le transfert de numéro de téléphone vers un nouveau compte contrôlé par des fraudeurs.

Le FBI a rapporté que les pertes dues aux attaques par échange de carte SIM ont atteint plus de 68 millions de dollars en 2021, marquant une augmentation exponentielle depuis 2018.

Réponse de la FCC

Jessica Rosenworcel, présidente de la FCC, souligne l’importance de donner aux abonnés plus de contrôle sur leurs comptes et d’alerter les consommateurs à chaque demande de transfert de carte SIM pour prévenir les activités frauduleuses.

La FCC s’efforce d’améliorer la confidentialité des consommateurs et de mettre fin aux escroqueries aux cartes SIM, reconnaissant le rôle central des téléphones dans nos vies et la nécessité de protéger les informations qu’ils contiennent.

Pour aborder ces enjeux, la FCC a créé un groupe de travail sur la confidentialité et la protection des données, visant à résoudre des problèmes tels que l’échange de cartes SIM et autres défis liés à la sécurité des données.

Ces mesures représentent une avancée significative dans la lutte contre la fraude numérique, protégeant ainsi les consommateurs contre les tactiques de plus en plus sophistiquées des cybercriminels.

backdoor, Cybersécurité, Téléphonie

LE PARLEMENT EUROPÉEN CRITIQUE L’INACTION SUR LES LOGICIELS ESPIONS

Dans une résolution adoptée majoritairement (424 voix pour, 108 contre, et 23 abstentions), les législateurs ont ouvertement critiqué la Commission européenne pour son manque d’action contre les abus liés aux logiciels espions. Cette démarche intervient dans un contexte de plus en plus inquiet concernant la surveillance numérique au sein de l’Union Européenne (UE).

Le vote est le fruit d’un examen minutieux mené par la Commission d’enquête sur l’utilisation de Pegasus et d’autres logiciels espions de surveillance (PEGA). Cette enquête parlementaire a révélé des pratiques alarmantes d’abus de surveillance par des acteurs étatiques.

Une réponse timide de la commission

La Commission a initialement argumenté qu’elle ne pouvait empiéter sur les responsabilités de sécurité des États membres. Sophie In’t Veld, rapporteure de PEGA, a critiqué cette position, soulignant que les autorités nationales étaient elles-mêmes impliquées dans ces abus. Face à l’ampleur du problème, une association d’organisations de défense des libertés civiles et des droits de l’homme plaide pour une interdiction totale des logiciels espions dans l’UE. Les députés envisagent de lancer une deuxième enquête en 2023 pour approfondir cette question.

Des mesures pour protéger les journalistes

En septembre dernier, la Commission a proposé une législation visant à protéger les journalistes contre le ciblage par des logiciels espions. Toutefois, cette initiative fait face à de vives contestations du Conseil européen, qui cherche à réduire le niveau de protection des journalistes. Le Conseil européen a émis une position de négociation qui pourrait limiter la capacité de la Cour de justice de l’UE d’intervenir contre les États membres accusés d’espionner des journalistes.

Cette loi, en cours de négociation, est critiquée par des groupes de la société civile, qui la considèrent comme trop « édulcorée » pour être efficace.

Cybersécurité, loi

L’AUSTRALIE REVISE SA STRATÉGIE CYBERSÉCURITÉ SANS INTERDIRE LES PAIEMENTS DE RANÇONS

Le gouvernement australien a choisi de ne pas interdire les paiements de rançon dans le cadre de sa nouvelle stratégie nationale de cybersécurité, contrairement à ce qui avait été initialement envisagé.

Annoncée il y a quelques jours, la nouvelle stratégie de l’Australie face aux rançongiciels met l’accent sur une obligation de déclaration obligatoire des incidents de ransomware. L’idée, tout comme en France ou encore aux USA, alerter les autorités et ne rien cacher des infiltrations liées à une cyberattaque, dont les ransomwares. Bilan, le gouvernement australien ne souhaite plus interdire le paiement de rançon, mais contrôler au mieux.

Cette révision stratégique, dévoilée presque un an après que la ministre de l’Intérieur et de la Cybersécurité, Clare O’Neil, ait proposé de criminaliser les paiements de rançon, fait suite à plusieurs incidents majeurs affectant des entreprises australiennes. Dotée d’un budget de 587 millions de dollars australiens sur sept ans, soit plus de 350 millions d’euros, cette stratégie vise à atténuer l’impact des ransomwares, estimé à 3 milliards de dollars australiens de dommages annuels [1,8 milliard d’euros] pour l’économie du pays.

Le gouvernement australien va donc introduire une obligation pour les entreprises de signaler les attaques de ransomware. Cette mesure vise à combler le manque d’informations sur l’impact réel de ces incidents sur l’économie nationale. Le gouvernement envisage de partager des rapports anonymisés sur les tendances des ransomwares et de la cyberextorsion avec l’industrie et la communauté pour renforcer la résilience nationale contre la cybercriminalité.

L’attaque contre Medibank, l’un des plus grands fournisseurs d’assurance maladie du pays, est l’un des incidents les plus médiatisés, ayant abouti à la publication en ligne de données sensibles sur environ 480 000 personnes. O’Neil a exprimé sa préférence pour une interdiction totale des paiements de rançon afin de saper le modèle économique des cybercriminels, mais a reconnu que ce n’était pas le bon moment pour une telle mesure. Le gouvernement reconsidérera cette possibilité dans deux ans. En réponse aux attaques, le gouvernement australien a lancé l’Opération Aquila, une collaboration entre la police fédérale australienne et l’agence nationale de cyber-intelligence, pour combattre la cybercriminalité en utilisant des capacités offensives.

Parallèlement, le projet REDSPICE bénéficiera d’un financement accru pour renforcer les cybercapacités offensives du pays. Ces capacités resteront confidentielles. L’Australie, comme de nombreux autres pays, s’est engagée à ne pas payer de rançons en cas d’attaque de ses réseaux. Une annonce faîte, en novembre 2023, lors de la réunion spéciale « Ransomware » organisée par la Maison Blanche.

backdoor, Cybersécurité, Espionnae

APPLE AVERTIT LES ARMÉNIENS DE TENTATIVES DE PIRATAGE SOUTENUES PAR L’ÉTAT

Récemment, Apple a envoyé des alertes à ses clients en Arménie, les informant que leurs téléphones sont ciblés par des pirates informatiques soutenus par un État.

Le logiciel d’espionnage Pegasus est-il caché derrière l’alerte lancée par Apple, au début du mois de novembre, à l’encontre de plusieurs personnalités Arméniennes ? CyberHUB, une organisation arménienne de droits numériques qui enquête sur ces incidents, a observé une augmentation constante des infections par logiciels espions dans le pays au cours des deux dernières années. De nombreuses infections seraient liées au gouvernement azerbaïdjanais, connu pour son histoire conflictuelle avec l’Arménie, en particulier concernant la région contestée du Haut-Karabakh.

« Dans le cas de l’Arménie, ces avertissements signifient que le téléphone a été infecté par le logiciel espion Pegasus« , a déclaré Samvel Martirosyan, co-fondateur de CyberHUB, faisant référence à l’outil de surveillance développé par la firme israélienne NSO Group et vendu à des gouvernements du monde entier. NSO Group qui a demandé, il y a quelques jours, une demande de réunion avec la Maison Blanche pour expliquer l’importance de son outil lors du conflit entre Israël et le Hamas. Une entrevue, demandée par l’avocat de l’entreprise, qui indique d’ailleurs un élément important : le gouvernement israélien semble cautionner et utiliser Pegasus.

Bien qu’Apple n’ait pas précisé le logiciel espion utilisé ni identifié les responsables du piratage, il existe certaines preuves que la dernière vague d’infections a utilisé Pegasus, selon Natalia Krapiva, conseillère juridique et technologique chez Access Now, une organisation à but non lucratif pour les droits numériques. Cependant, elle souligne qu’il est difficile de le savoir avec certitude tant que l’enquête est en cours. Martirosyan a indiqué que le logiciel espion a probablement été installé sur ordre du gouvernement azerbaïdjanais. Pendant la guerre entre l’Arménie et l’Azerbaïdjan en 2020, le logiciel espion Pegasus a été utilisé pour cibler des journalistes, des militants, des fonctionnaires gouvernementaux et des civils arméniens. Bien que l’identité des pirates derrière ces attaques reste floue, des chercheurs suggèrent que l’Azerbaïdjan est l’un des suspects potentiels.

Le Citizen Lab de l’Université de Toronto a identifié au moins deux opérateurs présumés de Pegasus en Azerbaïdjan qui ont ciblé des individus à l’intérieur comme à l’extérieur du pays. Krapiva est également d’avis que « le suspect probable est l’Azerbaïdjan », en raison de son histoire avec Pegasus et de ses liens étroits avec Israël. Les tensions entre l’Arménie et l’Azerbaïdjan sont élevées et ont atteint un point critique en septembre lorsque l’Azerbaïdjan a lancé une offensive militaire à grande échelle au Haut-Karabakh, violant ainsi un accord de cessez-le-feu de 2020.

CyberHUB, qui enquête sur les infections par Pegasus depuis deux ans, a signalé que le nombre de piratages augmente en Arménie. Cependant, l’étendue réelle de ces piratages est difficile à déterminer, car de nombreuses victimes préfèrent ne pas rendre leurs cas publics, selon Krapiva. Elle ajoute que les utilisateurs d’Android ne reçoivent pas du tout de telles notifications. La plupart des infections surviennent lors d’escalades entre l’Arménie et l’Azerbaïdjan. Les cibles en Arménie ont inclus des politiciens de haut rang, des représentants de la société civile, des militants, des journalistes et des rédacteurs.

En septembre, l’Assemblée parlementaire du Conseil de l’Europe a qualifié l’utilisation du logiciel espion Pegasus par plusieurs pays de la région de potentiellement illégale.

Précision : Une version précédente de cet article indiquait que Pegasus avait été utilisé pour cibler des militants en Russie — il a en fait été spécifiquement utilisé contre une journaliste russe lors de son voyage en Allemagne, et elle a reçu la notification en Lettonie.

Cybersécurité, Mise à jour, Patch

L’EXPLOIT PERMETTANT DE CONTOURNER WINDOWS DEFENDER SMARTSCREEN DIVULGUÉ

Le code d’exploitation de démonstration (preuve de concept, PoC) d’une vulnérabilité critique dans Windows Defender a été rendu public.

Cette vulnérabilité, identifiée sous le nom de CVE-2023-36025, permet aux pirates informatiques de contourner efficacement la fonction de sécurité SmartScreen de Windows. Autant dire que cela risque de devenir un sérieux problème si vous n’avez pas encore mis en place le patch qui corrige cette faille.

Microsoft, conscient de l’urgence, a répondu rapidement en déployant un correctif dans sa mise à jour de novembre. Cependant, il est alarmant de constater que, avant même la publication de ce correctif, la vulnérabilité CVE-2023-36025 était déjà exploitée activement dans des cyberattaques, lui conférant ainsi le statut redouté de vulnérabilité « zero-day« .

L’exploit zero-day en question permet aux attaquants d’insérer du code malveillant en déjouant les contrôles de Windows Defender SmartScreen, sans déclencher d’alertes de sécurité. Le vecteur d’attaque implique l’utilisation de raccourcis Web (.url) spécialement conçus ou de liens vers de tels fichiers, nécessitant la participation active de la victime, souvent par le biais de clics imprudents. Un hameçonnage [du Social Engineering via un phishing] aux couleurs de votre entreprise par exemple !

Les systèmes affectés incluent Windows 10, Windows 11 et Windows Server 2008, avec une mention particulière dans l’ensemble de correctifs de novembre en raison de sa haute priorité. Le PoC récemment publié est en soi un simple fichier de raccourci Internet, mais représente un outil puissant pour exploiter la faille CVE-2023-36025. Le spécialiste à l’origine de cette publication met en garde : « Bien que ce fichier .URL conduise à un site malveillant, il peut être déguisé en raccourci inoffensif. Les attaquants peuvent distribuer un tel fichier via des e-mails de phishing ou des ressources Web compromises.« 

L’exploitation de cette vulnérabilité pourrait ouvrir la voie à une distribution massive de logiciels malveillants, des attaques de phishing réussies et diverses autres cybermenaces comme un rançongiciel [ransomware].

Cybersécurité, double authentification

Une solution cyber à double anonymat pour prouver son âge sur le web

Docaposte expérimente une solution sécurisée et souveraine de preuve de majorité qui garantit le double anonymat. Une solution en cours de test sur des sites pour adultes !

Docaposte, la filiale numérique du groupe La Poste, expérimente, dans le cadre du Laboratoire de la protection de l’enfance porté par le Gouvernement, une solution délivrant une preuve d’âge destinée à limiter l’accès aux sites pour adultes aux personnes majeures. La solution développée par Docaposte répond à un triple enjeu : la protection des mineurs, le respect de l’anonymat des utilisateurs et un système ouvert proposant un choix de plusieurs moyens d’identification.

Constituée d’une plateforme numérique et d’une application mobile, la solution propose un dispositif unique de double anonymat, sans transmission d’informations sur l’identité des utilisateurs ni de traçabilité des sites fréquentés. De plus, un hébergement souverain de la solution dans les datacenters installés en France de l’opérateur.

La solution a vocation à être généralisée en début d’année 2024 aux services en ligne nécessitant une vérification sécurisée de l’âge des utilisateurs.

La garantie de l’anonymat et l’absence de traçabilité

La solution est un dispositif sécurisé qui garantit l’anonymat de l’utilisateur et l’absence de traçabilité des sites qu’il consulte. La solution est constituée d’une plateforme internet et d’une application mobile. Ces deux composants ont chacun leur rôle : la plateforme internet sert d’intermédiaire entre l’utilisateur et le site auquel il souhaite accéder. L’application mobile récupère uniquement la preuve d’âge de l’utilisateur, qui est une donnée anonymisée.

Ces deux composants garantissent le double anonymat : le site consulté ne connaît pas l’identité de l’utilisateur et le moyen d’identification choisi par l’utilisateur ne connaît pas le site consulté avec la preuve d’âge.

Concrètement, lorsqu’un utilisateur souhaite accéder à un site requérant un âge minimum, il se connecte sur la plateforme qui confirmera son âge auprès du site pour en autoriser l’accès, en transmettant uniquement une preuve d’âge, sans transmettre la moindre information personnelle sur l’identité de l’utilisateur. De la même manière, le moyen d’identification utilisé (par exemple, L’Identité Numérique La Poste ou un numéro de carte bancaire Mastercard) ne connaît pas le site accédé avec la preuve d’âge.

Une solution sécurisée, souveraine et ouverte

Cette solution est hébergée en France dans ses propres datacenters. La sécurité des données est assurée par un stockage en compartiments étanches empêchant l’accès à l’ensemble des informations personnelles des utilisateurs et des usages de leur preuve d’âge. Conçue dans une logique de plateforme ouverte à différents moyens d’identification, la solution offre aux utilisateurs le choix de la modalité d’identification qui leur convient le mieux.

Dans la phase d’expérimentation, la plateforme propose L’Identité Numérique La Poste, l’utilisation de sa pièce d’identité (contrôlée par un service de vérification d’identité à distance) ou un numéro de carte bancaire Mastercard. Des négociations sont en cours en vue de l’intégration de nouveaux partenaires et de l’élargissement du nombre d’options d’identification proposées aux utilisateurs.

L’expérimentation, lancée depuis plusieurs semaines avec des sites pour adultes, s’achèvera début 2024. Une généralisation de la solution est par la suite prévue. Au-delà des sites pour adultes, elle apporte une réponse aux besoins de protection des mineurs et de respect de la loi en matière de vérification d’âge par des activités réglementées tels que les jeux vidéos à contenu violent ou adulte ou l’achat d’alcool et de tabac en ligne.

Cybersécurité, Mise à jour, Securite informatique

Black Friday, Cyber monday : les commerçants Français confrontés à une augmentation des cyber attaques

Dans le paysage en constante évolution du commerce en ligne, les commerces français font face à une menace croissante en matière de cybersécurité. Selon de récentes données, 60% des attaques ciblant ces entreprises sont des attaques de logique commerciale, dépassant largement la moyenne mondiale de 37%. Cette tendance inquiétante met en lumière les défis croissants auxquels le secteur du e-commerce est confronté en France.

De plus, une proportion significative du trafic non désiré sur les sites français de vente au détail est désormais associée à des robots avancés, dépassant la moyenne mondiale de 53%. Ces « bad bots » posent un problème sérieux en matière de sécurité en ligne, car ils sont souvent utilisés pour des activités malveillantes.

L’évolution des attaques est également préoccupante. Au cours des 12 derniers mois, on a observé une augmentation spectaculaire de 4 fois des attaques DDoS de niveau 7 chez les commerçants français. De plus, les attaques DDoS de la couche applicative ont augmenté de près de 10 fois pendant la période des achats de Noël par rapport à l’année précédente. Ces attaques automatisées, en particulier celles visant la logique commerciale des applications, représentent une menace majeure pour les commerces.

Les cybercriminels cherchent à exploiter les vulnérabilités des applications, des API et des données du secteur du e-commerce, avec des conséquences potentiellement désastreuses pour les entreprises visées.

Karl Triebes, SVP et GM de la sécurité des applications chez Imperva, met en garde : « Les risques sécuritaires auxquels le secteur du e-commerce est confronté sont de plus en plus élaborés, automatisés et difficiles à détecter. Cette automatisation sophistiquée peut sérieusement affecter les résultats financiers des retailers, compromettant ainsi les ventes de fin d’année.« 

Les perspectives pour la période des fêtes de fin d’année 2023 sont également inquiétantes. Une récente augmentation des attaques de bots malveillants, en particulier sur les sites de e-commerce basés aux États-Unis et en France, laisse présager une perturbation potentielle des ventes pendant le Black Friday et le Cyber Monday. Les attaques DDoS au niveau des applications sont en hausse par rapport à la même période l’année dernière, accentuant les risques pour la période des fêtes.

Cybersécurité, IA

YouTube impose des règles pour les contenus générés par l’IA

La révolution de l’intelligence artificielle (IA) est en train de bouleverser notre monde à bien des égards, et l’une des dernières frontières à être touchée est l’industrie du contenu vidéo en ligne. YouTube, la plate-forme vidéo la plus importante du monde, est en train de prendre des mesures pour réglementer ces nouvelles formes de médias créés par des machines intelligentes. Dans cet article, nous allons examiner les nouvelles règles que YouTube a mises en place pour encadrer les contenus générés par l’IA.

L’IA à l’assaut de YouTube ? Il est indéniable que l’IA est devenue une force majeure dans le monde de la création de contenu. Des algorithmes sophistiqués peuvent désormais générer des vidéos, des images et même des textes de manière quasi indiscernable de ce que produiraient des créateurs humains. YouTube, anticipant une augmentation future du nombre de vidéos créées par des machines, a décidé d’établir des directives claires pour ces types de contenus.

La transparence en premier

Une des règles majeures mises en place par YouTube est la nécessité de transparence. Les créateurs doivent désormais indiquer clairement si une vidéo a été générée par l’IA ou si elle contient des éléments créés ou adaptés par des algorithmes. Cela est particulièrement important pour les contenus qui semblent réalistes, car il est essentiel que les téléspectateurs sachent si des outils d’IA ont été utilisés dans leur création.

Un porte-parole de YouTube a expliqué cette décision en déclarant : « Nous voulons que les utilisateurs aient un contexte lorsqu’ils regardent un contenu réaliste. Cela leur permet de savoir si des outils d’IA et d’autres changements synthétiques ont été utilisés pour le créer. » Cette mesure vise à éviter que les téléspectateurs ne soient induits en erreur par des vidéos qui semblent être le fruit du travail humain.

Les conséquences du non-respect des règles

YouTube prend ces nouvelles règles très au sérieux. Les créateurs qui ne respectent pas l’obligation d’indiquer l’utilisation de l’IA dans leurs vidéos peuvent être bannis de la plate-forme. Cette mesure vise à garantir l’intégrité et la confiance des utilisateurs dans le contenu qu’ils consomment sur YouTube.

YouTube n’est pas la première plate-forme à devoir faire face à la question de la réalité des contenus générés par l’IA, et elle ne sera certainement pas la dernière. Avec l’avancée rapide des outils d’IA, la distinction entre ce qui est « réel » et ce qui ne l’est pas devient de plus en plus floue. Les réseaux sociaux tels que TikTok et Instagram sont depuis longtemps critiqués pour l’utilisation de filtres d’IA qui modifient l’apparence des utilisateurs. Cela peut créer des idéaux de beauté irréalistes, en particulier pour les adolescents qui sont de grands consommateurs de ces plateformes.

De plus, les outils d’IA sophistiqués peuvent être utilisés pour créer des « deepfakes », des vidéos hyper-truquées dans lesquelles des personnalités politiques ou célèbres disent des choses qu’elles n’ont jamais dites. YouTube a déjà mis en place des outils pour signaler et supprimer de telles vidéos.

Cybersécurité, santé

Guide CNIL : durées de conservation des données dans le secteur social et médico-social

Dans le domaine complexe et crucial des secteurs social et médico-social, la gestion des données est une préoccupation majeure. Pour aider les acteurs de ces secteurs à naviguer efficacement dans ce paysage, un nouveau référentiel a été élaboré par la CNIL. Son objectif ? Guider de manière opérationnelle les acteurs dans l’identification et la détermination des durées de conservation pertinentes pour les traitements qu’ils mettent en œuvre.

Ce référentiel s’avère être une ressource inestimable pour les responsables de traitement. Il les oriente vers les durées de conservation obligatoires, conformément à la réglementation en vigueur, notamment le code de l’action sociale et des familles ainsi que le code de la santé publique. De plus, il met en lumière les durées recommandées par la CNIL, offrant ainsi des points de repère essentiels pour déterminer la durée pertinente.

Il est important de noter que ce référentiel ne prétend pas à l’exhaustivité. Il se concentre sur les traitements les plus fréquents dans ces secteurs d’activité. Cependant, pour une gestion encore plus efficace des durées de conservation, une fiche pratique dédiée est mise à disposition de tous les acteurs, qu’ils soient salariés, bénévoles, ou autre, afin de leur offrir des recommandations pratiques pour la gestion quotidienne des durées de conservation des données.

Un référentiel indispensable qui, espérons le, pourra éviter de voir des fuites comme celles repérées par le blog ZATAZ, référence mondiale concernant les fuites de données et la lutte contre le cybercrime, ICI et LA.

À qui s’adressent ces ressources ?

Le référentiel et la fiche pratique sont conçus pour répondre aux besoins de l’ensemble des organismes, qu’ils soient privés ou publics, opérant dans les secteurs social et médico-social. Cela inclut, entre autres, les services mandataires et judiciaires à la protection des majeurs (SMJPM), les services d’accompagnement à la vie sociale (SAVS), les établissements et services d’aide par le travail (ESAT), les établissements d’hébergement pour personnes âgées dépendantes (EHPAD), et bien d’autres.

Un guide complet pour aller encore plus loin

Pour ceux qui souhaitent approfondir leurs connaissances en matière de gestion des durées de conservation des données, la CNIL a publié en 2020 un guide pratique plus général. Ce guide a pour objectif de répondre aux questions les plus courantes des professionnels concernant le principe de limitation de la conservation des données. Il détaille les éléments clés de cette obligation et offre des conseils pratiques pour faciliter sa mise en œuvre au sein des organismes, qu’ils soient publics ou privés.

Ce nouveau guide 2023 a été élaboré en partenariat avec le Service interministériel des archives de France (SIAF), et il met en relation les obligations du RGPD (Règlement général sur la protection des données) avec celles du code du patrimoine. Une ressource inestimable pour tous ceux qui cherchent à naviguer dans le labyrinthe complexe de la gestion des données dans le secteur social et médico-social.

cyberattaque, Cybersécurité

DES PME FRANÇAISES ADMETTENT AVOIR ÉTÉ TOUCHÉES PAR UNE VIOLATION DE LA SÉCURITÉ DE LEURS IMPRIMANTES.

L’augmentation des menaces de sécurité, telles que le phishing ou les ransomware, est une préoccupation très réelle pour les petites et moyennes entreprises (PME) d’Europe. D’autant plus que l’exploitation de nouvelles vulnérabilités fait des appareils en réseau, tels que les multifonctions et les imprimantes, des cibles de choix pour les atteintes à la sécurité informatique.

Une étude menée par Sharp Europe – L’un des principaux fournisseurs de produits et de services technologiques aux PME européennes, a révélé que près d’une PME française sur huit (12%) admet avoir été affectée par une violation de la sécurité de son imprimante. Près d’un tiers d’entre elles ont été touchées par des pertes de données (28%), des malware (31%), du phishing (32%) et des attaques de virus informatiques (29%).

Aujourd’hui, le paysage des menaces liées à l’impression continue de s’élargir avec les défis réels que pose le travail hybride, qu’il s’agisse de sécuriser les connexions réseau ou de se prémunir contre l’erreur humaine. Pourtant, seulement 3% des PME s’inquiètent du risque de sécurité des imprimantes. En fait, plus d’un tiers (38%) des petites entreprises françaises n’ont mis en place aucune mesure de sécurité informatique pour protéger les imprimantes.

L’étude paneuropéenne a interrogé 5 770 professionnels responsables de l’achat IT dans leurs PME, sur la confiance dans leurs capacités de sécurité informatique et les obstacles à l’investissement dans la sécurité informatique au cours des 12 prochains mois.

Manque de compréhension des employés en matière de sécurité informatique

L’étude révèle que le travail hybride est la deuxième raison (28%) pour laquelle les PME françaises s’inquiètent de plus en plus de la sécurité informatique. Plus d’un quart d’entre elles (26%) s’inquiètent également du manque de compréhension des employés en matière de sécurité informatique. Malgré ces inquiétudes, seul un peu plus d’un tiers (41%) couvre le travail hybride dans le cadre de sa formation actuelle à la sécurité informatique et moins d’un quart des PME sensibilisent leurs employés à la sécurité informatique des scanners (16%) et des imprimantes (19%).

Pour les petites entreprises qui ne disposent pas de ressources informatiques importantes, la réalité du paysage des menaces en constante évolution et les défis posés par le travail hybride peuvent sembler décourageants. Les PME peuvent commencer par mettre à jour les logiciels pour les scanners et les imprimantes, sauvegarder régulièrement les données et encourager une politique de sécurité cohérente au sein des équipes travaillant sur plusieurs sites afin de garantir leur protection. Demander l’avis d’un expert peut aider à s’assurer que les bonnes décisions en matière de sécurité informatique sont prises, qu’une vision holistique de la sécurité est adoptée et que les solutions sont toujours à jour.

Cybersécurité, Entreprise

PERSPECTIVES POUR 2024 : LES CYBERCRIMINELS S’OFFRENT DE NOUVEAUX LEVIERS D’ATTAQUE SIMPLIFIÉS

Avec la progression des offres de cybercriminalité en tant que service (CaaS) et l’avènement de l’intelligence artificielle (IA) générative, les auteurs de menaces gagnent en simplicité pour mener à bien leurs attaques. Avec leurs boîtes à outils qui s’enrichissent de nouvelles capacités, les assaillants affûtent leurs armes. Ils lanceront des attaques plus ciblées et furtives, capables de contourner les arsenaux de sécurité en place et gagneront en agilité en rendant chaque tactique d’attaque plus efficace au fil du temps. Voici les perspectives pour 2024.

Dans son rapport 2024 de prédictions sur les menaces, FortiGuard Labs se penche sur une nouvelle ère de la cybercriminalité, examine comment l’IA change la donne en matière d’attaques et livre les nouvelles tendances qui devraient émerger pour l’année à venir et au-delà. Ce rapport propose également des conseils qui permettront aux entreprises dans le monde de renforcer leur résilience face à des menaces qui n’ont pas fini d’évoluer.

Une évolution des techniques traditionnelles d’attaque

Depuis des années, nous observons et échangeons sur les tactiques d’attaque les plus populaires, abordées dans des rapports précédents. Les grands classiques ne disparaissent jamais, mais ils évoluent et progressent à mesure que les assaillants accèdent à de nouveaux outils. Ainsi, en matière de menaces APT (Advanced Persistent Threat), nous anticipons une activité plus dynamique. Au-delà de l’évolution des APT, nous prévoyons qu’en général, les groupuscules cybercriminels diversifieront leurs cibles et leurs playbooks en misant sur des attaques plus sophistiquées et plus destructives, basées notamment sur des dénis de services et autres tentatives d’extorsion.

Les guerres de territoires restent d’actualité au sein de la cybercriminalité. En l’espace de 24 heures ou moins, de nombreux groupuscules se concentrent sur les mêmes cibles en déployant plusieurs variantes de ransomware. Cette multiplication des actions est telle que le FBI américain a lancé un avertissement aux entreprises sur ce sujet en début d’année.

D’autre part, n’oublions pas que l’IA générative évolue et que l’instrumentalisation de l’IA jette de l’huile sur le feu en offrant aux assaillants un moyen simple d’améliorer les nombreuses étapes de leurs attaques. Comme nous l’avions prédit, les cybercriminels font de plus en plus appel à l’IA pour optimiser leurs actions, qu’il s’agisse de déjouer la détection de leurs techniques d’ingénierie sociale ou d’imiter des comportements humains.

Nouvelles tendances pour 2024 et au-delà

Même si les cybercriminels continuent de tirer parti de tactiques éprouvées pour engranger des gains rapides, ils disposent d’un nombre croissant d’outils pour simplifier l’exécution de leurs attaques. À mesure que la cybercriminalité évolue, nous anticipons différentes tendances pour 2024, et au-delà :

Voir plus grand : ces dernières années, les attaques par ransomware ont proliféré dans le monde, ciblant toutes les entreprises, quelles que soient leur taille et leur secteur d’activité. Toutefois, alors des cybercriminels sont toujours plus nombreux à exécuter leurs attaques, ils épuisent rapidement les cibles les plus petites et les plus faciles à pirater. À l’avenir, nous prévoyons que les assaillants adopteront une approche de type « tout ou rien ». Ils se recentreront leurs attaques sur des secteurs critiques (santé, finance, transports et services publics) pour un impact majeur sur l’ensemble de la société et des demandes de rançons bien plus élevées qu’aujourd’hui. Ils élargiront également leur mode opératoire, rendant leurs exactions plus personnalisées, moins prévisibles, plus agressives et donc plus dommageables.

Des vulnérabilités zero-day toujours plus nombreuses : les entreprises intègrent de nouvelles plateformes, applications et technologies pour mener leurs activités. Les cybercriminels disposent ainsi de nouvelles opportunités d’exploiter des vulnérabilités logicielles. Nous avons observé un nombre record de vulnérabilités zero-day et CVE en 2023, et cette tendance s’accélère. Ces vulnérabilités attirent les assaillants et nous nous attendons à ce que des brokers (cybercriminels qui revendent ces vulnérabilités sur le dark web à plusieurs acheteurs) apparaissent au sein de la communauté CaaS. De manière générale, les vulnérabilités N-days continueront à faire courir d’importants risques aux entreprises.

Jouer à domicile : les entreprises renforcent leurs contrôles de sécurité, adoptent de nouvelles technologies et de nouveaux processus pour consolider leurs défenses. Il est donc beaucoup plus difficile d’infiltrer un réseau depuis l’extérieur. Les cybercriminels doivent donc trouver de nouvelles stratégies pour atteindre leurs cibles. Anticipant cette évolution, nous prévoyons que les assaillants continueront à préparer toujours plus en amont leurs exactions (tactiques, reconnaissance et armement). D’ailleurs certains groupuscules n’hésiteront pas à recruter à l’intérieur même des entreprises ciblées pour obtenir un accès initial pour leurs attaques.

L’avènement d’attaques médiatiques : nous nous attendons à ce que les assaillants tirent parti de rendez-vous géopolitiques et événementiels majeurs, tels que les élections américaines de 2024 ou les Jeux olympiques de Paris en 2024. Pour cibler ces événements, les cybercriminels disposent désormais de nouveaux outils, en particulier l’IA générative, pour rendre leurs opérations plus efficaces.

Réduire le champ d’action des TTP : les assaillants continueront inévitablement à élargir l’ensemble des tactiques, techniques et procédures (TTP) qu’ils utilisent pour atteindre leurs cibles. Cependant, les équipes de sécurité en entreprise peuvent prendre l’avantage en identifiant les leviers pour perturber leurs actions. Bien que la majeure partie du travail quotidien des équipes de cybersécurité consiste à traiter les indicateurs de compromission, il est utile d’examiner de près les tactiques, techniques et procédures régulièrement utilisées pour en maîtriser le champ d’action.

La 5G en tant que nouveau terrain de chasse : l’accès à un éventail toujours plus large de technologies connectées entraîne de nouvelles opportunités. Avec la croissance exponentielle de la 5G, nous prévoyons une accélération des attaques connectées. Des attaques réussies contre l’infrastructure 5G sont susceptibles de perturber nombre de secteurs critiques (pétrole et gaz, transports, sécurité publique, finance, santé).

Vivre dans la nouvelle ère de la cybercriminalité

La cybercriminalité impacte chaque citoyen et les conséquences d’un incident sont souvent considérables. Pour autant, les acteurs malveillants ne sont pas nécessairement en capacité de prendre le dessus. Les professionnels de la cybersécurité peuvent prendre de nombreuses mesures pour anticiper les actions des criminels et perturber leurs activités : collaboration entre public et privé pour partager des informations, normalisation des procédures de reporting des incidents, etc.

Les entreprises ont bien sûr un rôle essentiel à jouer dans la lutte contre la cybercriminalité. En premier lieu, il s’agit de favoriser une culture de la cyber résilience pour faire de la cybersécurité le travail de chacun. On peut également penser à des initiatives permanentes telles que des programmes d’information et de formation à l’échelle de l’entreprise, ou encore des activités plus ciblées telles que des simulations ou des études de cas pratiques à l’intention des dirigeants. Un autre axe consiste à pallier le déficit de compétences de cybersécurité en interne en puisant dans de nouveaux viviers de talents pour pourvoir les postes vacants, une approche qui aidera les entreprises à faire face à la surcharge de travail des équipes sécurité et à anticiper l’évolution des menaces. Enfin, le partage de l’information, qui est appelé à gagner en importance, permettra d’activer rapidement les mesures de protection qui s’imposent.

Cybersécurité, Entreprise

NIS 2 : ÊTES-VOUS « CYBER READY » ?

Votée par les députés européens le 10 novembre 2022 et inscrite au Journal Officiel, NIS 2 (ou “Network Information Security”) a pour objectif d’harmoniser et de renforcer la cybersécurité du marché européen. Etes-vous « cyber ready » ?

NIS 2, cela vous dit quelque chose. Êtes-vous au courant qu’il existait un NIS 1 ? En 2016, le parlement européen a adopté NIS 1 dans un souci de renforcement de la cybersécurité des organisations majeures en Europe, dans des secteurs perçus comme sensibles. Mais avec l’instabilité du contexte géopolitique et l’augmentation des cyberattaques, l’Europe a publié à la fin de l’année 2022 l’extension NIS 2 afin d’élargir le périmètre des secteurs critiques et augmenter les niveaux de sécurité.

Cette directive, qui sera transposée à l’échelle nationale d’ici le 17 octobre 2024, apportera plusieurs exigences pouvant bouleverser les entreprises européennes.

Avec plus de 18 secteurs d’activité concernés, cette directive oblige des milliers d’entités à mieux protéger la sécurité de leurs réseaux par le biais de différentes stratégies cyber comme l’analyse de données, le traitement des incidents, la continuité des activités, la sécurité de la chaîne d’approvisionnement, la veille [comme celle proposée par le Service Veille ZATAZ] ou l’utilisation de système de communication d’urgence sécurisés au sein de l’organisation. Cette directive prévoit aussi des sanctions plus sévères, avec des amendes comprises entre 1,4 % et 2 % du chiffre d’affaires pour les entreprises n’appliquant pas les mesures de sécurité adéquates.

Il est également important de noter que la Directive NIS 2 efface la dénomination OSE (Opérateurs de services essentiels) au profit de deux catégories d’entités : les entités essentielles (EE) qui regrouperaient principalement les grandes entreprises dans les secteurs classés comme hautement critiques et les entités importantes (EI) qui concerneraient principalement les organisations de taille moyenne dans les secteurs classés comme hautement critiques et les organisations des secteurs critiques.

DORA l’exploratrice

En complément de NIS 2, le parlement européen a adopté en juin 2023 la réglementation DORA (Digital Operational Resilience Act) visant particulièrement le secteur bancaire car il est considéré comme hautement critique. Parmi les acteurs concernés, on retrouve les établissements de crédit, des sociétés de gestion ou des compagnies d’assurance. Ces organisations devront redoubler de vigilance sur les risques liés aux technologies d’information et communication et élaborer des processus de gestion des incidents.

« Dans le cadre de NIS 2, confirme Renaud Ghia, Président de Tixeo, les organisations attestant d’un incident de cybersécurité disposent d’un délai de 24 heures pour le signaler à l’ANSSI. Bien que la mesure puisse encore être modifiée, les entreprises devront s’organiser pour réagir rapidement. »

S’il leur est conseillé fortement conseillé de faire appel à des prestataires pour évaluer leur niveau de sécurité et recevoir des préconisations, les entreprises doivent également préparer et former dirigeants, managers et collaborateurs aux risques cyber. Cette directive attend justement des entreprises qu’elles ne dépendent plus simplement de leur service informatique mais que la direction soit en capacité d’approuver des mesures de sécurité.

Cybersécurité, Securite informatique

De faux messages de clients mécontents visent des hôtels

Les experts de VADE viennent de découvrir des tentatives de fraudes, via des courriels piégés, s’attaquant spécifiquement aux hôtels. 

Les premiers messages envoyés ne contiennent pas forcément de pièces jointes ou de liens nuisibles, mais leur rédaction est telle qu’ils sont reconnus comme potentiellement frauduleux par les systèmes de filtrage. Ces courriers électroniques ne sont pas toujours détectés par les filtres anti-spam habituels car ils ne contiennent pas d’éléments malveillants évidents. Le but est d’amener le destinataire, souvent la réception ou la direction de l’hôtel, à répondre à l’arnaqueur. Un second message, potentiellement avec une pièce jointe ou un lien dangereux, serait alors envoyé.

Le Blog ZATAZ, référence depuis plus de 20 ans dans les actualités liées à la lutte contre le cybercrime avait alerté de ce type de fraude, au mois d’août 2023. Même méthode, même excuse : la plainte d’un client.

Les analyses de l’entreprise française Vade suggèrent qu’il s’agit d’un malware versatile, capable de dérober des informations, d’obtenir des droits d’accès supérieurs, de se maintenir dans le système et de récolter des données d’identification, avec un potentiel de dégénérer en ransomware. Des indices laissent penser que cet acteur de menaces pourrait être d’origine chinoise, sans que cela puisse être affirmé avec certitude. « Nos analystes ont trouvé des preuves de l’existence de variantes apparentées qui indiquent qu’il s’agit très probablement d’un acteur chinois, mais les données ne permettent pas de le conclure à 100 %. » indique Romain Basset, directeur des services clients Vade.

Les auteurs se font passer pour des clients mécontents pour engager une conversation avec le personnel, comme l’alerte de ZATAZ au mois d’août 2023. Ces tentatives d’escroquerie sont généralement brèves et exemptes de charge malicieuse, du moins jusqu’à présent, avec l’hypothèse que cela intervient dans les échanges ultérieurs.

Une découverte notable est celle d’un courriel intégrant un lien vers un fichier malicieux sous un faux prétexte visuel. Bien que ces attaques aient jusqu’à présent visé principalement des entités anglophones, elles pourraient s’étendre à d’autres langues. Nos systèmes de détection n’identifient pas toujours ces tentatives, à l’instar d’autres filtres.

Voici quelques exemples de ces emails :

  • « Bonjour, lors de mon séjour à votre hôtel, j’ai subi un désagrément impliquant l’un de vos employés. J’ai dû contacter mon avocat. Pourriez-vous m’assister ?« 
  • « Bonjour, je souhaite signaler un souci rencontré avec ma réservation. J’ai besoin de renseignements et d’aide. Merci de répondre rapidement.« 

Les tentatives semblent viser les adresses email génériques telles que « info@ » trouvées sur les sites des hôtels, souvent consultées par le personnel de gestion. Les pirates créé un prétexte d’urgence dans la réponse [des clients pas content] pour une réponse rapide et une action de la part de la victime, augmentant ainsi les chances de succès de l’arnaque. Le fondateur de ZATAZ, Damien Bancal, a participé au mois d’octobre 2023 à une compétition de Social Engineering, au Québec [il a fini avec la médaille d’argent]. Il a démontré lors de la compétitions de 48 heures, comment les services hôteliers étaient des mines d’informations.

Preuves de l’objectif de l’attaque : Bien que le logiciel semble principalement conçu pour le vol d’informations, il est équipé pour évoluer vers des attaques plus sérieuses, telles que le ransomware, avec des indications d’utilisation de bibliothèques de cryptographie, suggérant une volonté de chiffrer les données et perturber les opérations hôtelières.

Cybersécurité, Securite informatique

Des entités israéliennes cibles des pirates du groupe Agonizing Serpens

Des experts révèlent une campagne de cyberattaques visant les domaines éducatifs et technologiques en Israël.

Ces offensives sont attribuées à un groupe APT, étroitement lié à l’Iran, surveillé par l’Unité 42 sous le nom d’Agonizing Serpens (également connu sous le nom d’Agrius), actif depuis 2020. Ce groupe est spécialisé dans les attaques cybernétiques destructrices, utilisant des malwares Wiper (appelés « essuie-glaces » car ils suppriment intégralement les données des systèmes infectés) et des ransomwares trompeurs visant principalement des institutions israéliennes.

Lancées en janvier 2023 et persistantes jusqu’en octobre 2023, ces attaques sont marquées par des tentatives de dérobement de données confidentielles, incluant des informations personnelles identifiables (PII) et de la propriété intellectuelle.

Les offensives d’Agonizing Serpens ont pour but le vol d’informations sensibles et la destruction massive de données par l’effacement des contenus des systèmes impactés. Les responsables ont subtilisé des données critiques, dont des informations personnelles et de propriété intellectuelle des organisations visées, et les ont divulguées sur les réseaux sociaux ou via des canaux Telegram, probablement dans le but d’intimider ou de nuire à la réputation des victimes.

Les analyses des nouveaux malwares Wiper indiquent que le groupe a peaufiné ses méthodes, privilégiant des techniques discrètes et évasives pour échapper aux systèmes de sécurité, notamment les technologies EDR.

Les chercheurs ont repéré 3 nouveaux Wiper et 1 outil de pillage de bases de données employés récemment par Agonizing Serpens :

  • Wiper multicouche
  • Wiper PartialWasher
  • Wiper BFG Agonizer
  • Sqxtractor – un outil spécifique pour l’extraction de données de serveurs de bases de données

Des détails supplémentaires et une analyse technique détaillée sont disponibles dans le rapport complet.

Qu’est-ce que le groupe APT Agonizing Serpens ?

Agonizing Serpens, aussi appelé Agrius, est un groupe APT associé à l’Iran, actif depuis 2020. Des rapports précédents avaient évoqué l’usage de ransomwares et de demandes de rançon, mais ces éléments se sont avérés être des diversions, comme noté dans le rapport de l’Unité 42 de 2023 sur le ransomware et la cyberextorsion. Lors des récentes attaques, aucune rançon n’a été exigée ; à la place, les conséquences ont été la perte de données et des interruptions d’activité significatives.

Les chercheurs estiment que ces attaques sont l’œuvre d’Agonizing Serpens, lié à l’Iran, basé sur les similitudes de code dans les différents Wipers : le Wiper MultiLayer analysé montre des correspondances de code et des schémas de noms similaires déjà documentés pour les Wipers d’Agonizing Serpens connus sous les noms Apostle, Fantasy et la backdoor IPsec Helper.

Les similitudes de code dans les web shells : les assaillants ont utilisé des web shells variant légèrement de l’un à l’autre, les différences résidant principalement dans les noms de variables et de fonctions. La nature destructrice des attaques : la phase finale des assauts implique une stratégie de « terre brûlée », avec l’utilisation de Wipers sur mesure pour détruire les terminaux et dissimuler les traces.

Enfin, le ciblage exclusif d’organisations israéliennes : la télémétrie de l’Unité 42 n’a relevé aucune victime non israélienne, suggérant une focalisation du groupe APT sur Israël.

Cybersécurité, IA, loi

Décret pour de nouvelles normes liées à l’intelligence artificielle

Le 30 octobre, l’administration du président américain Joe Biden a publié un décret établissant de nouvelles normes en matière de sûreté et de sécurité de l’intelligence artificielle.

Ces nouvelles normes décidées par l’administration Biden, alors qu’au même moment, à Londres, un rendez-vous politique tentait de mettre en place une coalition IA, se divise en 26 points, classé en huit groupes, dont chacun vise à garantir que l’IA est utilisée pour maximiser les bénéfices escomptés et minimiser les risques. En outre, la mise en œuvre du document devrait placer les États-Unis à l’avant-garde de l’identification des obstacles à la technologie et de la promotion de la poursuite de la recherche. Bref, la course aux normes reste la course au monopole visant l’IA. « Le décret […] protège la vie privée des Américains, fait progresser l’égalité et les droits civils, protège les intérêts des consommateurs et des travailleurs, encourage l’innovation et la concurrence, fait progresser le leadership américain dans le monde et bien plus encore« , indique la Maison Blanche.

Le document exige que les développeurs des systèmes d’IA « les plus puissants » partagent les résultats des tests de sécurité et les « informations critiques » avec le gouvernement. Pour garantir la sécurité et la fiabilité de la technologie, il est prévu de développer des outils et des tests standardisés. A noter que cet été, lors de la Def Con de Las Vegas, la grande messe du hacking, un village avait été mis en place afin de hacker les IA proposées par les géants américains du secteur.

Le document parle de la croissance de « la fraude et de la tromperie utilisant l’intelligence artificielle« , de la nécessité de créer des outils pour trouver et éliminer les vulnérabilités des logiciels critiques, ainsi que de l’élaboration d’un mémorandum sur la sécurité nationale. Cette dernière est destinée à guider les actions futures dans le domaine de l’IA et de la sécurité.

« Sans garanties, l’intelligence artificielle pourrait mettre encore davantage en danger la vie privée des Américains. L’IA facilite non seulement l’extraction, l’identification et l’utilisation des données personnelles, mais elle incite également davantage à le faire, car les entreprises utilisent les données pour former les systèmes d’IA« , indique l’ordonnance.

Selon le document, une utilisation irresponsable de la technologie peut conduire à la discrimination, aux préjugés et à d’autres abus. En mai, Sam Altman, PDG d’OpenAI, s’était exprimé devant le Congrès américain et avait appelé le gouvernement à réglementer l’utilisation et le développement de l’intelligence artificielle.

En juin, des représentants de l’ONU avaient déclaré que les deepfakes créés par l’IA nuisaient à l’intégrité de l’information et conduisent à l’incitation à la haine dans la société. Des fakes news et autres deepfakes que la Cyber émission de ZATAZ, sur Twitch, présentait aux spectateurs.

Pendant ce temps, en Angleterre, un accord historique s’est conclu à Bletchley Park : 28 pays leaders en intelligence artificielle ont conclu un accord mondial inédit. Cette Déclaration de Bletchley marque une avancée majeure dans le développement responsable et sécurisé de l’IA avancée. Les États-Unis, l’UE et la Chine, réunis par le Royaume-Uni, ont uni leurs forces pour établir une vision commune des opportunités et des risques liés à l’IA frontalière, soulignant ainsi l’impératif d’une collaboration internationale.

La conférence de Bletchley préfigure les futures instances comme l’AIEA dans le nucléaire (l’Agence Internationale de l’Énergie Atomique). « Une excellente façon de mettre toutes les grandes puissances au même diapason sur une même sémantique avant de trouver un référentiel qui permette à chacun d’évaluer la dangerosité de tel ou tel développement. » confirme Stéphane Roder, CEO d’AI Builders. Une façon aussi de se contrôler les uns les autres, de redonner confiance au public, mais surtout de se donner bonne conscience quand on sait que la Chine fait un usage massif de l’IA pour la notation sociale ou que toutes les armées du monde ont des armes contenant de l’IA.

Bard, l’IA de Google qui renifle vos données

A noter que l’intelligence artificielle lancée par Google, Bard, va bientôt renifler les documents et les mails des utilisateurs des produits du géant américain. Google explique qu’il s’agit d’une évolution pratique et positive pour ses clients. Dans sa dernière mise à jour, Bard Extension, l’Intelligence Artificielle de la firme Californienne peut se connecter à Maps, YouTube, Gmail et à votre calendrier Google. Bard va tout voir, tout savoir afin de mieux répondre à vos requêtes de recherche.

Google indique que cette « connexion entre Bard et vos autres applications n’était pas visible par des humains, mais uniquement utilisée pour entraîner Bard au quotidien […] Les informations ne seraient pas utilisées pour entraîner ses modèles ou pour vous noyer sous les publicités ciblées« . Espérons que cela ne sera pas comme son concurrent Microsoft dont plusieurs millions de documents utilisés pour entrainer son IA ont fuité. Le blog ZATAZ, référence de l’actualité dédiée à la cybersécurité, a expliqué dans son émission sur Twitch [zataz émission sur Twitch] avoir vu en vente dans un espace pirate les données IA de Microsoft.

A noter qu’il est possible de bloquer l’IA Bard de Google. Pour cela, ouvrez un navigateur Web et accédez à la page « Gérer les applications et services tiers ayant accès à votre compte ». Connectez-vous à votre compte Google. Dans la liste des applications et services, recherchez « Bard ». Sélectionnez le bouton « Supprimer l’accès ». Voilà, Bard ne pourra plus accéder à vos applications Google. Je vous conseille de vérifier dans chaque application Google que Bard est bien devenu sourd, aveugle et muet. Pour cela, rendez-vous vous dans les paramètres de vos applications. Recherchez « Bard ».

Chiffrement, cryptage, Cybersécurité

Lutte contre la pédopornagraphie : lettre ouverte de scientifique pour protéger l’anonymat

Des parlementaires européens proposent une alternative à la loi contre la pédopornographie, qui aurait contraint les entreprises du secteur technologique à surveiller massivement les contenus des utilisateurs. Cette nouvelle mouture vise à protéger les enfants sans violer la vie privée des citoyens et à maintenir l’intégrité du chiffrement.

Pendant des mois, la Commission européenne a travaillé sur une régulation visant à freiner la propagation de la pédopornographie. Cette initiative, qui aurait obligé les plateformes technologiques à inspecter systématiquement les appareils des utilisateurs pour du contenu inapproprié via des logiciels basés sur l’IA, a suscité de nombreuses controverses.

Elle aurait aussi signifié la fin du chiffrement. Permettre le scannage de fichiers, machines, correspondances, obligerait de ne pas chiffrer, et sécuriser, les documents pour être lus par l’IA.

Ce projet a soulevé des inquiétudes quant à sa conformité avec les lois européennes sur la vie privée. De plus, des questions ont émergé sur la précision du logiciel de détection : une grand-mère pourrait-elle être faussement identifiée en envoyant une simple photo de son petit-fils à la piscine ? En juillet 2023, environ 150 scientifiques ont exprimé leurs préoccupations concernant les implications de cette proposition sur la vie privée et la sécurité en ligne.

Suite à ces critiques, un groupe de parlementaires a introduit une alternative. Elle demande aux entreprises technologiques et plateformes en ligne d’adopter des mesures proactives, comme la vérification de l’âge des utilisateurs. Les comptes des mineurs sur des plateformes telles qu’Instagram ou YouTube seraient privés par défaut, empêchant ainsi les contacts non désirés. Sont-ils au courant que cela existe déjà ? En France, par exemple, la loi instaure une majorité numérique à 15 ans. Avant, les enfants ne peuvent pas s’inscrire sur les réseaux. La loi oblige les plateformes à mettre des solutions techniques de contrôle. Instagram interdit les inscriptions de personnes de moins de 13 ans. TikTok indique aussi 13 ans [14 ans au Quebec]. Selon le blog du modérateur, le top 3 des réseaux sociaux les plus utilisés par la Gen Z (11 / 14 ans) : Instagram : 90 % (+6 % par rapport à 2022), Snapchat : 80 % (+4 %), TikTok : 63 % (+53 % par rapport à 2020).

Contrairement à la proposition initiale, cette version ne mandate le scan des contenus que dans des circonstances spécifiques, basées sur des preuves fournies par les autorités policières. De plus, les scans ne seraient réalisés que sur des plateformes sans chiffrement, éliminant ainsi la nécessité de créer des « backdoors ».

Cette proposition révisée devrait être examinée par le Conseil de l’Europe et la Commission européenne avant un vote final. – Avec DataNews.

Cybersécurité, Securite informatique

Les appareils Huawei et Vivo considèrent l’application Google comme dangereuse

La guerre commerciale entre la Chine et les USA passe aussi dans les fausses alertes de piratage informatique !

Les appareils Huawei et Vivo considèrent dorénavant l’application Google comme un malware. Voilà la réponse des marques chinoises au blocage américain de ses technologies et l’interdiction d’utiliser les outils Google. Les utilisateurs ont découvert que d’étranges avertissements de menace de sécurité apparaissent sur les smartphones et tablettes Huawei, Honor et Vivo, les invitant à supprimer l’application Google. Les appareils signalent que l’application est reconnue comme un malware TrojanSMS-PA. Un faux positif, mais qui a fait son effet !

Ce problème est signalé en masse sur les forums d’assistance de Google, Reddit et les forums Huawei. L’alerte explique que l' »application a été observée envoyant des messages SMS à l’insu de l’utilisateur, attirant les utilisateurs avec du contenu payant pour adultes, téléchargeant/installant des applications à l’insu de l’utilisateur ou volant des informations sensibles, ce qui peut entraîner des dommages matériels et une fuite de données sensibles. Nous vous recommandons de le supprimer immédiatement ». A noter que l’éditeur de solutions de cybersécurité Avast a annoncé un bug de son service annonçant Google Quick Search Box comme un malware sur les smartphones Huawei, Vivo et Honor.

Du côté de Samsung, des utilisateurs d’appareils Samsung ont commencé à recevoir des avertissements de Google Play Protect dès plus inquiétants. Le service d’analyse des logiciels malveillants intégré aux appareils Android se méfie, depuis octobre, de certaines applications populaires, notamment Samsung Wallet et Samsung Messages. Comme le rapporte 9to5Google, les utilisateurs se sont plaints en masse sur le forum d’assistance de Google du fait que Play Protect signalait les applications du système Samsung comme « dangereuses ».

Pendant ce temps, en Russie, le ministère des communications et contrôle de l’Internet local [Roskomnadzor] a fait interdire dans les moteurs de recherche russes qu’apparaissent dans les résultats : Hetzner Online GmbH ; Network Solutions, LLC ; WPEngine, Inc. ; HostGator.com, LLC ; Ionos Inc. ; DreamHost, LLC ; Amazon Web Services, Inc. ; GoDaddy.com LLC ; Bluehost Inc. ; Kamatera Inc. ; DigitalOcean, LLC.

La loi russe [n° 236-FZ] oblige les hébergeurs étrangers dont les utilisateurs sont situés, y compris sur le territoire de la Fédération de Russie, à remplir les obligations locales. Les hébergeurs doivent créer un compte personnel sur le site Web de Roskomnadzor ; publier un formulaire de commentaires pour les citoyens et organisations russes ; créer un bureau de représentation autorisé en Russie.

Cybersécurité, VPN

Google Chrome masquera les véritables adresses IP des utilisateurs

Google se prépare à commencer à tester une nouvelle fonctionnalité de protection IP dans le navigateur Chrome. Cette solution devrait améliorer la confidentialité des utilisateurs en masquant leurs adresses IP à l’aide des propres serveurs proxy de Google.

Google prévoit de tester la protection IP entre la sortie de Chrome 119 et Chrome 225. Les développeurs expliquent que les adresses IP permettent aux sites et services en ligne de suivre les activités des utilisateurs et aident à créer des profils permanents de personnes.

Google affirme que cela pose de sérieux problèmes de confidentialité car, contrairement aux cookies tiers, il n’existe actuellement aucun moyen direct pour les utilisateurs de se désinscrire et d’éviter un tel suivi secret.

Dans le même temps, les adresses IP sont également utilisées pour exécuter des fonctions aussi critiques que le routage du trafic et la lutte contre la fraude. Les experts de Google sont convaincus que la protection IP n’interférera pas avec cela en dirigeant le trafic tiers de certains domaines via des serveurs proxy et en rendant les adresses IP des utilisateurs invisibles pour ces domaines particuliers.

À mesure que l’écosystème évolue, la protection IP devrait s’adapter pour protéger les utilisateurs du suivi inter-sites, et des domaines supplémentaires seront ajoutés au trafic proxy.

Ainsi, dans un premier temps, la protection des adresses IP sera effectuée à la demande de l’utilisateur, ce qui permettra aux personnes de contrôler leurs paramètres de confidentialité, et Google pourra suivre les tendances.

L’introduction de la nouvelle fonction se fera par étapes, en tenant compte des spécificités régionales. Dans un premier temps, la fonctionnalité ciblera uniquement des domaines spécifiques dans le contexte de tiers, ce qui permettra d’identifier ceux qui, selon les utilisateurs, les espionnent.

Au cours de la première phase, appelée « Phase 0 », Google ne proxy que les requêtes pour ses propres domaines à l’aide d’un serveur proxy propriétaire. Cela permettra à l’entreprise de tester l’infrastructure et donnera aux développeurs le temps de finaliser la liste des domaines. Parmi les domaines sur lesquels Google compte tester cette fonctionnalité figurent les plateformes de l’entreprise telles que Gmail et AdServices.

Pendant la phase 0, seuls les utilisateurs connectés à Google Chrome avec une adresse IP américaine pourront accéder aux serveurs proxy. Ces tests préliminaires seront menés sur un groupe sélectionné, automatiquement sélectionné, mais il est prévu que l’architecture et la conception du système changent au fur et à mesure des tests.

Cybersécurité, Justice, loi

Le Canada interdit les applications WeChat et Kaspersky sur les appareils du gouvernement

Le Canada a annoncé l’interdiction de l’utilisation des applications de Tencent et Kaspersky sur les appareils mobiles gouvernementaux. Invoqué, un niveau inacceptable de risque pour la vie privée et la sécurité du pays.

« Le gouvernement du Canada s’engage à assurer la sécurité des informations et des réseaux gouvernementaux« , a déclaré le porte parole du gouvernement canadien. « Nous surveillons régulièrement les menaces potentielles et prenons des mesures immédiates pour faire face aux risques. » Les derniéres mesures en date sont les interdictions de WeChat et des solutions informatiques de la société russe Kaspersky.

Depuis le 30 octobre, WeChat de Tencent et la suite d’applications de Kaspersky ont été supprimées des appareils mobiles émis par le gouvernement. À l’avenir, les utilisateurs de ces appareils ne pourront plus télécharger les applications montrées du doigt.

« Nous adoptons une approche de cybersécurité basée sur les risques en supprimant l’accès à ces applications sur les appareils mobiles du gouvernement« , a déclaré Anita Anand, présidente du Conseil du Trésor, dans un communiqué, ajoutant que les applications « offrent un accès considérable au contenu de l’appareil ».

Les logiciels russes et chinois dans la ligne de mire

Il est vrai qu’un antivirus connait la moindre information de votre ordinateur, le moindre de vos mails, et si vous n’y prenez pas garde enverra des échantillons à la société cachée derrière l’antivirus. Je vous invite a regarder les nombreuses options qui vont dans ce sens, rien que pour l’antivirus de Microsoft, installé dans tous les Windows 10 et 11 de la planète, automatiquement.

WeChat est une application chinoise de messagerie instantanée, de médias sociaux et de paiement mobile développée par Tencent. L’application tout-en-un compte plus d’un milliard d’utilisateurs actifs par mois, ce qui en fait l’une des plus grandes plateformes en ligne.

Kaspersky a déclaré que cette interdiction semble être fondée sur des motifs politiques et que les actions sont « très mal fondées et constituent une réponse au climat géopolitique plutôt qu’une évaluation globale de l’intégrité des produits et services de Kaspersky« .

Cette décision intervient après que le Canada a interdit TikTok, propriété du chinois ByteDance, des appareils gouvernementaux pour des motifs similaires en février 2023. Auparavant, en mars 2022, la Federal Communications Commission (FCC) des États-Unis avait ajouté Kaspersky à la « liste couverte » des entreprises qui présentent un « risque inacceptable pour la sécurité nationale » du pays.

Cybersécurité, Justice

L’affaire REvil devant un tribunal militaire

Des membres du groupe de ransomware REvil seront jugés par un tribunal militaire russe. Ils étaient militaires au moment des faits qu’ils leurs sont reprochés.

L’affaire des pirates informatiques du groupe russophone REvil ne cesse de faire des vagues. Pour rappel, REvil (Aka Sodinokibi) était un groupe de pirates informatiques spécialisés dans l’infiltration d’entreprise et le chantage numérique. Ils seront arrêtés en 2022, avec le soutien du FBI. Le conflit autour du procès REvil l’a vu passer du tribunal militaire au tribunal civil, puis revenir devant les instances militaires.

Parmi les membres de REvil arrêtés et détenus dans les casernes russes figurent un officier du service militaire, Artem Zayets. Il aurait lancé des cyber attaques alors qu’il servait dans l’armée.

Le sac de nœuds judiciaires lié à cette affaire fait rebondir le dossier de manière assez intéressante. D’abord, au mois d’août 2023, la justice refuse que l’affaire soit portée devant un tribunal militaire. L’affaire REvil va ensuite être renvoyée au bureau du procureur général car elle violait la règle de compétence en matière d’enquête. Voici que maintenant, retour à la case départ. Bilan, c’est le tribunal militaire de la garnison de Saint-Pétersbourg qui va se charger de juger tout ce petit monde.

Argent saisi par le FSB

Alors aidé à l’époque par les informations fournies par le FBI, le FSB a perquisitionné 25 domiciles afin d’arrêter 14 personnes soupçonnées d’avoir participé aux opérations du ransomware-as-a-service REvil. Huit vont comparaitre devant le tribunal. Parmi les membres de REvil arrêtés figuraient l’adjudant supérieur de réserve Artem Zaets, Alexey Malozemov, Andrey Bessonov, Mikhail Golovachuk, Roman Muromsky, Dmitry Korotaev, Daniil Puzyrevsky et Ruslan Khansvyarov.

Tous sont accusés d’être, non pas des instigateurs des cyberattaques, mais d’être des mules et d’avoir permis de blanchir l’argent des rançons. Outre la découverte monétaire, les autorités russes ont également confisqué 20 voitures de luxe que les membres de REvil ont achetées avec l’argent obtenu grâce à des attaques de ransomware.

Les membres du ransomware REvil n’ont pas été extradés vers les États-Unis, et ne sont pas prêts de connaitre les prisons de l’Oncle Sam.

Cybersécurité, Justice, loi, Securite informatique

Ransomware : partage d’informations et suivi des paiements

Une coalition mondiale de dirigeants gouvernementaux en matière de cybersécurité annoncent des efforts visant à renforcer le partage d’informations sur les menaces numériques et à s’attaquer aux paiements en cryptomonnaies des chantages numériques.

Lors de sa réunion à Washington, la Maison Blanche a décidé de mettre les bouchées doubles à l’encontre des rançongiciels et maîtres-chanteurs adeptes de ransomware. L’administration Biden a accueilli des responsables de 47 pays pour son Initiative internationale de lutte contre les ransomwares –  (International Counter Ransomware Initiative – CRI), au cours de laquelle les participants ont dévoilé un certain nombre d’actions.

La Maison Blanche a exhorté, ce 31 octobre, les gouvernements participants à prendre un engagement politique commun annonçant qu’ils ne paieraient pas de rançon aux cybercriminels. « Nous n’en sommes pas encore là, avec 50 pays, ce sera de la haute voltige« , a déclaré Anne Neuberger, conseillère adjointe à la sécurité nationale pour la cybersécurité et les technologies émergentes. Bref, une posture politique déjà prise en octobre 2021.

International Counter Ransomware Initiative

De son côté, le Conseil de sécurité nationale des États-Unis (NSC) exhorte les gouvernements de tous les pays participant à l’Initiative internationale de lutte contre les ransomwares (CRI) à publier une déclaration commune annonçant qu’ils ne paieront pas de rançon aux cybercriminels. La France, via l’ANSSI, l’Agence Nationale de Sécurité des Systèmes d’Information, a été l’une des premiéres structures à rappeler ce fait : ne payez pas !

Il faut dire aussi qu’il n’existe pas de norme mondiale sur la question suivante : Le paiement d’une rançon doit-il être effectué lors d’une cyberattaque ? Une plateforme de partage d’informations doit être mise en place « où les pays pourront s’engager à partager rapidement des informations après un incident majeur ». Une plate-forme gérée par les Émirats arabes unis.

L’argent des pirates, le nerfs de la guerre !

Les américains non jamais partagé auparavant des portefeuilles pirates, ni d’informations concernant les portefeuilles de la blockchain qui déplacent des fonds illicites liés aux ransomwares. D’ici peu, ces données seraient partagées avec les départements du Trésor du monde entier.

Le CRI a été lancé en 2021 avec 31 membres Australie, Brésil, Bulgarie, Canada, République tchèque, République dominicaine, Estonie, Union européenne, France, Allemagne, Inde, Irlande, Israël, Italie, Japon, Kenya, Lituanie, Mexique, Pays-Bas, Nouvelle-Zélande, Nigéria, Pologne, République de Corée, Roumanie, Singapour, Afrique du Sud, Suède, Suisse, Ukraine, Émirats arabes unis, Royaume-Uni et États-Unis) et en a ajouté d’autres à mesure que les ransomware gagnaient du terrain, comme le gouvernement du Costa Rica.

Le pays avait été paralysé après avoir refusé de payer une rançon de 20 millions de dollars aux pirates du groupe CONTI, le 16 avril 2022. L’expérience du Costa Rica montre que la politique peut également jouer un rôle dans la décision d’un gouvernement. Lors d’une comparution au Centre d’études stratégiques et internationales (CSIS) à la fin du mois de septembre, le président costaricien Rodrigo Chaves a déclaré que même si le paiement d’une rançon aurait nécessité une législation, il ne l’aurait pas fait même s’il en avait eu la possibilité.

A noter que cette demande de ne pas payer ne concerne que les Pays. Les paiements de rançons améliorent non seulement les capacités des groupes de cybercriminalité, mais qu’ils peuvent également financer d’autres actions malveillantes ou des Etats-nation aux intérêts criminels et/ou terroristes. Bien qu’aucun gouvernement national n’ait publiquement reconnu avoir payé une rançon, rien n’empêche de penser que certains ont payé le silence des pirates, comme ont pu le faire des milliers d’entreprises privées de part le monde.

Cybersécurité, Securite informatique

Kopeechka : le site web qui permet d’ouvrir des milliers de comptes réseaux sociaux

Un outil web russe inonde les réseaux sociaux de robots permettant, dans certains cas, d’orchestrer des vagues de fakes news.

Des cybercriminels peu qualifiés utilisent un nouvel outil pour créer des centaines de faux comptes de réseaux sociaux en quelques secondes seulement, ont découvert des chercheurs de chez Trend Micro. Appelé Kopeechka (« penny » en russe), le service permet de contourner deux obstacles principaux pour quelqu’un qui tente de créer un faux compte : la vérification par courrier électronique et par téléphone.

J’avoue être très étonné, le site Kopeechka existe depuis plusieurs années [2019] et il est légal. Il affiche être une solution prête à l’emploi pour l’achat groupé de comptes de messagerie sans nécessiter de maintenance supplémentaire de ces comptes. Mais, comme d’habitude, des pirates et autres malveillants ont trouvé le moyen de détourner le service.

Bref, les cyber criminels peuvent utiliser Kopeechka pour mener des campagnes de désinformation, de spam et de promotion de logiciels malveillants. Il semble que ce service a été utilisé pour enregistrer en masse des comptes sur la plateforme de médias sociaux Mastodon afin de mener des campagnes de spam à grande échelle promouvant des plateformes d’investissement frauduleuses en crypto-monnaie.

Une lutte contre les faux comptes

Les géants des médias sociaux comme Instagram, Facebook et X (anciennement Twitter) s’efforcent depuis longtemps de minimiser l’enregistrement massif de faux comptes, également appelés robots, car ils sont souvent utilisés par les pirates informatiques dans leurs activités illégales. Les mesures anti-bot de base, comme la validation de l’adresse e-mail et du numéro de téléphone, l’utilisation d’adresses IP non suspectes et le CAPTCHA (un puzzle sur un site Web conçu pour confirmer qu’il est utilisé par une personne réelle plutôt que par un programme informatique), sont dissuasives.

Les cybercriminels peuvent contourner les CAPTCHA et les contrôles de réputation des adresses IP à l’aide de scripts automatisés, mais obtenir des adresses électroniques et des numéros de téléphone uniques peut s’avérer plus difficile. C’est alors qu’ils se tournent vers des services comme Kopeechka. En plus des principales plateformes de médias sociaux comme Facebook et X, les cybercriminels ont utilisé l’API de Kopeechka pour enregistrer des comptes sur Discord ou encore Telegram.

Un détournement malveillant voulu ?

Des chercheurs de Trend Micro ont également découvert un script Python via Kopeechka qui pourrait être utilisé pour créer des comptes sur Virus Total, un service en ligne qui analyse les fichiers informatiques à la recherche de virus, ce qui implique que certains utilisateurs pourraient enregistrer ces comptes pour tester la détection de leurs logiciels malveillants. Kopeechka permet aux utilisateurs d’accéder aux courriels reçus des plateformes de médias sociaux. Il ne cède pas lui-même le compte de boîte aux lettres, car il est contrôlé par Kopeechka et non par un utilisateur tiers.

Kopeechka dispose de plusieurs comptes de messagerie en stock, notamment avec Hotmail, Outlook ou encore Gmail. L’outil étant russe, Mail.ru fait parti du râtelier du service. Il permet d’utiliser une seule adresse pour plusieurs inscriptions sur différentes plateformes de médias sociaux. Les chercheurs soupçonnent que ces adresses sont soit compromises, soit créées par les acteurs de Kopeechka eux-mêmes.

Pour vérifier les numéros de téléphone des utilisateurs lors de l’enregistrement du compte, Kopeechka offre l’accès à 16 services SMS en ligne différents, provenant pour la plupart de Russie. Le blog ZATAZ a montré, il y a deux ans, dans son espace OSINT, différents sites web permettant de recevoir des SMS, sans être obligé de fournir un numéro de téléphone officiel ou enregistré.

Il faut compter moins de 0.0020$ par message. Deux adresse en .fr sont disponibles : outlook.fr et gmx.fr.