Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

backdoor, cyberattaque, Cybersécurité

Crise évitée de justesse : comment une cyberattaque sur Linux a failli bouleverser Internet

Les développeurs et les experts en sécurité informatique ont récemment été secoués par une tentative d’attaque contre la chaîne d’approvisionnement logicielle, ciblant l’utilitaire de compression XZ Utils, largement utilisé dans les systèmes d’exploitation Linux. Cette tentative d’infiltration a mis en lumière les vulnérabilités humaines qui sous-tendent les infrastructures de l’Internet.

La récente découverte d’une porte dérobée dans le logiciel XZ Utils, largement utilisé dans les systèmes d’exploitation Linux, a secoué la communauté open source. Ce logiciel, essentiel pour la compression de données, s’est retrouvé au cœur d’une attaque de chaîne d’approvisionnement qui aurait pu compromettre des millions de serveurs à travers le monde.

Cette opération de longue haleine semble être l’œuvre d’une agence de renseignement, bien que l’identité exacte des instigateurs reste inconnue. Le cas de Jia Tan est particulièrement préoccupant puisqu’il a profité de la vulnérabilité d’un développeur [CVE-2024-3094] surmené pour prendre le contrôle de XZ Utils.

L’affaire commence lorsque Andres Freund, un ingénieur chez Microsoft, débusque une anomalie dans un protocole réseau, menant à la découverte d’une des attaques de chaîne d’approvisionnement les plus élaborées à ce jour. Un développeur peu connu, Jia Tan, avait commencé dès février à intégrer discrètement un code malveillant dans XZ Utils. Profitant de la vulnérabilité humaine, notamment la fatigue du seul développeur mainteneur du projet, Tan réussit à s’implanter comme responsable du logiciel, augmentant ainsi ses capacités d’insertion de code malveillant.

Cette situation exposait une faille critique dans la gestion de projets open source : la dépendance excessive à des individus isolés pour la maintenance de logiciels cruciaux.

L’alerte a été donnée par l’Agence de cybersécurité et de sécurité des infrastructures, avec un avertissement spécifique de Red Hat. L’incident, originaire d’octobre 2021, a été découvert presque par hasard, soulignant l’importance de la vigilance et de la collaboration au sein de la communauté open source.

Ce cas rappelle que la sécurité des logiciels open source n’est pas seulement une question de technologie mais aussi de confiance et de collaboration humaine. Les contributions de Jia Tan à d’autres projets tels que libarchive, qui se sont retrouvées dans de nombreux dispositifs, soulèvent des questions sur l’ampleur de la menace.

Heureusement, l’incident a été découvert à temps, évitant une catastrophe majeure. Mais il sert de rappel alarmant que même les outils les plus fondamentaux et largement utilisés, comme XZ Utils, peuvent être des cibles de choix pour des opérations d’espionnage menées par des acteurs étatiques.

Cybersécurité, Piratage, santé

Hausse des attaques d’ingénierie sociale dans le secteur des services d’assistance informatique en santé

Le ministère américain de la santé et des services sociaux (HHS) a récemment publié une alerte à destination des opérateurs de services d’assistance informatique dans le secteur de la santé, signalant une augmentation notable des attaques d’ingénierie sociale. Ces attaques, particulièrement sophistiquées, visent à détourner des fonds vers des comptes bancaires contrôlés par les attaquants.

Selon le bureau de la sécurité de l’information du HHS et le centre de coordination de la cybersécurité du secteur de la santé, les acteurs de la menace procèdent souvent par appel téléphonique, se faisant passer pour des employés des services financiers de l’entreprise ciblée. Ils parviennent à usurper les numéros de téléphone pour qu’ils affichent un indicatif régional qui semble local.

L’alerte précise que ces individus sont capables de fournir des informations personnelles sensibles validant leur fausse identité, telles que les derniers chiffres du numéro de sécurité sociale et d’autres données démographiques, obtenues via des sites de réseautage professionnel ou des violations de données précédentes.

Exploitation des failles de sécurité

L’attaquant prétend souvent que son téléphone est endommagé et qu’il ne peut ni passer d’appels ni recevoir des jetons de vérification multifactorielle (MFA). Cette même ruse est utilisée, depuis quelques semaines, sur WhatsApp. Des parents reçoivent de leur présumé enfant un message sur WhatsApp leur indiquant un changement de numéro. N’y répondez pas, il s’agit d’un piège.

Pour le secteur de la santé, cette ruse l’amène à convaincre le service d’assistance d’enregistrer un nouveau dispositif pour l’accès MFA, permettant ainsi l’accès non autorisé aux ressources de l’entreprise. Une fois cet accès obtenu, les attaquants redirigent les paiements bancaires vers des comptes sous leur contrôle, avant de transférer les fonds à l’international.

Implications pour la sécurité des informations financières

Les attaquants ciblent ensuite les informations de connexion aux sites des payeurs et modifient les instructions ACH pour que les paiements soient redirigés vers des comptes américains qu’ils contrôlent. Ces actions sont souvent suivies par l’accès aux comptes de messagerie des employés, d’où ils envoient des instructions modifiées aux processeurs de paiement.

Le HHS note que des tactiques similaires ont été utilisées par le groupe de menace connu sous le nom de Scattered Spider lors d’une attaque de ransomware contre une organisation du secteur de l’hôtellerie et du divertissement en septembre 2023. De plus, l’usage potentiel d’outils d’usurpation d’identité vocale basés sur l’IA a été signalé comme une complication supplémentaire dans ces attaques.

Mesures recommandées pour renforcer la sécurité

Pour contrer ces menaces, le HHS recommande plusieurs stratégies de mitigation. Parmi celles-ci, l’utilisation de Microsoft Authenticator et/ou Google Authenticator avec correspondance de numéros pour l’authentification, ne plus utiliser les SMS comme option MFA, la sécurisation de l’enregistrement MFA et SSPR en exigeant une authentification depuis un réseau approuvé, et le blocage de l’accès externe aux fonctionnalités d’administration de Microsoft Azure et Microsoft 365 via une stratégie d’accès conditionnel.

backdoor, Cybersécurité, Entreprise

Failles de sécurité dans les appareils NAS D-Link

Un chercheur en cybersécurité met au jour des failles de sécurité inquiétantes dans de nombreux appareils NAS D-Link. Ces vulnérabilités, actuellement non prises en charge par le fabricant, incluent des injections de commandes et des portes dérobées codées en dur.

Le problème a été identifié dans le script /cgi-bin/nas_sharing.cgi, spécifiquement dans son composant HTTP GET Request Handler. Ces failles de sécurité ont été répertoriées sous l’identifiant CVE-2024-3273.

Risques pour les utilisateurs

Le compte vulnérable, nommé « messagebus », possède un mot de passe vide, ce qui permet l’injection de commandes via le paramètre « system ». Si un attaquant parvient à exploiter ces deux failles, il peut potentiellement exécuter du code à distance sur l’appareil. Cette exploitation pourrait conduire à un accès non autorisé à des données sensibles, à la modification des paramètres système, voire à un déni de service (DoS).

Appareils concernés par les failles

Les appareils NAS D-Link suivants sont affectés par la vulnérabilité CVE-2024-3273 :

DNS-320L version 1.11, version 1.03.0904.2013, version 1.01.0702.2013
DNS-325 version 1.01
DNS-327L version 1.09, version 1.00.0409.2013
DNS-340L version 1.08

Une analyse du réseau a révélé plus de 92 000 stockages réseau D-Link vulnérables, soulignant ainsi l’ampleur du problème. Étant donné que D-Link a cessé de prendre en charge ces NAS, il est recommandé aux utilisateurs de remplacer les équipements obsolètes par des modèles plus récents et pris en charge. Cette mesure est essentielle pour garantir la sécurité des données et des systèmes. (Netsecfish)

Cybersécurité, Mise à jour, Patch

Le FBI publie une alerte pour inciter les fabricants à éliminer les SQLi

La CISA et le FBI publient une alerte Secure by Design pour inciter les fabricants à éliminer les vulnérabilités d’injection SQL.

La CISA et le Federal Bureau of Investigation (FBI) ont publié une alerte conjointe Secure by Design, demandant l’élimination des vulnérabilités d’injection SQL dans les logiciels.

Cette alerte a été conçue en réponse à une exploitation récente et très médiatisée de défauts d’injection SQL (SQLi) dans une application de transfert de fichiers gérée qui a touché des milliers d’organisations, la faille MOVEit exploitée par les pirates, maîtres chanteurs CL0P.

Malgré une connaissance et une documentation généralisées des vulnérabilités SQLi au cours des deux dernières décennies, ainsi que la disponibilité de mesures d’atténuation efficaces, les fabricants de logiciels continuent de développer des produits présentant ce défaut, ce qui met de nombreux clients en danger.

La CISA et le FBI exhortent responsables des entreprises de fabrication de technologies à organiser un examen formel de leur code afin de déterminer sa vulnérabilité aux compromissions SQLi. S’ils sont jugés vulnérables, les dirigeants doivent s’assurer que les développeurs de logiciels de leur organisation commencent immédiatement à mettre en œuvre des mesures d’atténuation pour éliminer toute cette classe de défauts de tous les produits logiciels actuels et futurs.

Cybersécurité, Securite informatique

Protection en temps réel

Google s’apprête à mettre à jour sa fonctionnalité de navigation sécurisée afin de renforcer une protection en temps réel contre les logiciels malveillants et le phishing à tous les utilisateurs de Chrome.

Depuis son lancement en 2005, la navigation sécurisée de Google a constamment évolué pour mieux protéger ses utilisateurs contre les menaces en ligne comme le phishing, les logiciels malveillants et les programmes indésirables. Grâce à l’utilisation de l’intelligence artificielle, Google a introduit un mode de protection améliorée pour ceux qui recherchent une sécurité proactive, permettant une analyse en profondeur des fichiers téléchargés.

La version standard actuelle de Safe Browsing vérifie les sites, les téléchargements et les extensions contre une liste locale d’URL malveillantes mise à jour toutes les 30 à 60 minutes. Avec cette mise à jour, Google prévoit de passer à une vérification des sites en temps réel, une mesure qui vise à contrer les sites malveillants éphémères, apparus et disparus en moins de dix minutes.

L’impact global de la navigation sécurisée

La navigation sécurisée protège déjà plus de 5 milliards d’appareils à travers le monde, offrant des avertissements sur plus de 3 millions de menaces potentielles chaque jour. Avec la vérification en temps réel des sites, Google espère augmenter l’efficacité de sa protection contre les attaques de phishing de 25 %.

La nouvelle fonctionnalité, qui sera lancée d’abord pour Android, intègre des méthodes de cryptage et de préservation de la confidentialité pour que vos visites sur le web restent anonymes, même vis-à-vis de Google. Cette confidentialité est assurée par une nouvelle API utilisant Fastly Oblivious HTTP (OHTTP), qui masque les URL visitées et mélange les données des utilisateurs pour une sécurité renforcée.

Le fonctionnement technique de la protection de la confidentialité

Les URL, partiellement hachées, sont envoyées à la navigation sécurisée via un serveur OHTTP qui cache les adresses IP et mélange les hachages avec ceux d’autres utilisateurs. Ce processus est renforcé par le cryptage des préfixes de hachage avant leur transmission, garantissant que seuls les serveurs de vérification d’URL de Google peuvent les décrypter.

Le serveur de confidentialité, crucial pour la préservation de l’anonymat des utilisateurs, est géré indépendamment par Fastly. Cette gestion assure que Google n’a accès à aucune donnée d’identification personnelle, comme les adresses IP ou les agents utilisateurs, lors des vérifications de sécurité.

Cette mise à jour de la navigation sécurisée par Google marque un tournant significatif dans la lutte contre les menaces en ligne, offrant une protection en temps réel tout en préservant la confidentialité des utilisateurs. C’est une évolution prometteuse pour la sécurité sur internet, renforçant la position de Chrome comme navigateur de choix pour des millions d’utilisateurs à travers le monde.

backdoor, Cybersécurité, ransomware

Le ransomware : le plus actif des rançongiciel change de ton

Stop, le plus discret et pourtant le plus actif des rançongiciels au monde. Le code malveillant vient de connaître une mise à jour qui le rend encore plus agressif.

Stop, un code malveillant de la famille des ransomwares. Ce rançongiciel fait de très gros dégâts depuis 2018. Cet outil de prise d’otage est discret, et pourtant, il est le plus actif au monde.

STOP est distribué principalement via des offres groupées publicitaires et des sites suspects. Ces ressources font la publicité pour de faux cracks de logiciels, comme exemple pour Cubase, Photoshop, des antivirus et des logiciels gratuits. Logiciels groupés qui sont en réalité des offres groupées. Elles installent divers programmes indésirables et logiciels malveillants sur les machines des utilisateurs. L’un de ces logiciels malveillants est STOP.

Stop chiffre les fichiers, leur ajoute une nouvelle extension et place une demande de rançon sur la machine infectée (490$, puis le double après 72 heures). En 2019, Bleeping Computer proposait un outil pour se reprendre la main sur Stop.

Mais malheureusement, il existe actuellement près de 850 variantes de STOP connues des chercheur. Chiffre qui ne facilite pas la lutte contre ce microbe.

Parmi les extensions repérées : .STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .CAROTE, .DJVU, .COHAROS., .NOOD.

Nouvelle variante

Les chercheurs ont découvert une nouvelle variante du ransomware STOP qui utilise un mécanisme d’exécution en plusieurs étapes pour contourner les mesures de sécurité. Elle fait d’autant plus de dégâts que les victimes ne vont pas se plaindre. Ce malware attaque principalement les fans de contenus piratés, les visiteurs de sites suspects.

Depuis son introduction en 2018, le blog ZATAZ alertait de sa présence excessive dans les ordinateurs d’internautes, le ransomware est resté pratiquement inchangé et de nouvelles versions sont principalement publiées pour résoudre des problèmes critiques. Cependant, les experts de SonicWall ont découvert une nouvelle version de STOP, qui pourrait toucher un grand nombre de personnes.

Le malware télécharge d’abord un fichier DLL supposément sans rapport (msim32.dll), peut-être comme un faux-positif. Il implémente également une série de longues boucles temporisées qui peuvent aider à contourner les protections basées sur le temps. STOP utilise ensuite des appels d’API dynamiques sur la pile pour allouer l’espace mémoire requis pour les autorisations de lecture/écriture et d’exécution, ce qui rend la détection encore plus difficile. Le malware utilise des appels API pour diverses opérations, notamment l’obtention d’instantanés des processus en cours d’exécution afin de comprendre dans quel environnement il s’exécute. À l’étape suivante, le ransomware intercepte les processus légitimes et y injecte sa charge utile pour s’exécuter silencieusement en mémoire. Cela se fait via une série d’appels API soigneusement conçus qui manipulent la mémoire du processus et contrôlent le flux.

Une fois la charge utile finale exécutée, une série d’actions sont effectuées visant à la sécuriser dans le système, à modifier l’ACL (afin que les utilisateurs n’aient pas la possibilité de supprimer des fichiers importants et des répertoires de logiciels malveillants) et également à créer une tâche planifiée pour exécuter la charge utile toutes les cinq minutes.

backdoor, Cybersécurité, Mise à jour

GhostRace : la menace fantôme pour Intel, AMD, ARM et IBM

Un groupe de chercheurs a développé une nouvelle attaque appelée GhostRace capable de provoquer des fuites de données sur les processeurs modernes de chez Intel, AMD, ARM et IBM.

Les experts d’IBM et de l’Université libre d’Amsterdam décrivent GhostRace (CVE-2024-2193) comme une condition de concurrence spéculative (SRC). Cette attaque vous permet d’extraire de la mémoire des informations potentiellement sensibles, telles que des mots de passe et des clés de chiffrement. Cependant, pour mener à bien l’attaque, un accès physique ou privilégié à la machine cible sera nécessaire, ce qui signifie qu’exploiter ce problème en pratique est une tâche très difficile.

Le rapport d’expert indique qu’une condition de concurrence critique se produit lorsque plusieurs threads tentent simultanément d’accéder à une ressource partagée, ce qui peut conduire à des vulnérabilités pouvant être exploitées de diverses manières, notamment l’exécution de code arbitraire, le contournement de sécurité et l’extraction de données.

Pour éviter que de telles situations ne se produisent, les systèmes d’exploitation modernes utilisent des primitives de synchronisation, mais l’analyse des chercheurs a montré que les conditions de concurrence peuvent être combinées avec une exécution particuliére.

« Notre principale conclusion est que toutes les primitives de synchronisation courantes implémentées à l’aide de branches conditionnelles peuvent être contournées microarchitecturalement sur des chemins spéculatifs à l’aide de l’ attaque Spectre v1 (CVE-2017-5753), provoquant une condition de concurrence spéculative dans toutes les zones critiques sans race (SRC). ce qui permettra aux attaquants d’extraire des informations du logiciel cible« , ont expliqué les chercheurs dans un article de blog .

GhostRace : la menace fantôme pour Intel, AMD, ARM et IBM

Afin de mener une attaque et de « gagner » la course, l’exécution du processus victime doit être interrompue au bon moment et maintenue afin que l’attaquant puisse effectuer ce que les chercheurs appellent un SCUAF (Speculative Concurrent Use-After-Free). ) attaque.

Pour cela, les scientifiques ont utilisé une nouvelle technique d’attaque appelée Inter-Process Interrupt (IPI) Storming, qui consiste à faire déborder le cœur du processeur du processus cible. En conséquence, ils ont démontré une attaque SCUAF sur le noyau Linux, qui a entraîné une fuite d’informations de la mémoire du noyau à une vitesse de 12 kilo-octets par seconde.

Bien que l’étude se soit concentrée sur les architectures x86 et Linux, les experts ont déclaré que les produits d’autres fabricants, ainsi que les logiciels autres que Linux, étaient sensibles à l’attaque.

« En général, tout logiciel est vulnérable au SRC, par exemple un système d’exploitation, un hyperviseur, etc., qui implémente des primitives de synchronisation via des branches conditionnelles sans aucune instruction de sérialisation et s’exécute sur n’importe quelle microarchitecture (par exemple, x86, ARM, RISC). -V, etc.), ce qui permet d’exécuter des branches conditionnelles de manière spéculative« , expliquent les chercheurs.

Les ingénieurs d’Intel, AMD, Arm et IBM ont été informés du problème GhostRace fin 2023 et ont, à leur tour, signalé la vulnérabilité aux fabricants de systèmes d’exploitation et d’hyperviseurs.

AMD a publié cette semaine un avis informant ses clients que les conseils précédents sur la protection contre les attaques Spectre devraient également aider à prévenir les attaques GhostRace.

Les développeurs de l’ hyperviseur Xen ont également émis un avertissement correspondant et développé un mécanisme de protection. Bien qu’ils aient confirmé que techniquement toutes les versions de Xen sont affectées par le problème GhostRace, le projet n’utilise pas de gadgets vulnérables à GhostRace, et l’équipe de sécurité de Xen ne pense pas qu’il y ait un besoin urgent de prendre des mesures, donc les mesures de protection sont désactivés par défaut.

Les développeurs Linux ont implémenté une fonctionnalité de limitation de débit IPI qui devrait protéger contre le problème associé IPI Storming (Inter-Process Interrupt Storming) (CVE-2024-26602), mais n’ont pas encore pris de mesures supplémentaires en raison de problèmes de performances potentiels.

En plus de leur article de blog et de leur livre blanc, les chercheurs ont déjà publié un exploit PoC pour GhostRace, des scripts conçus pour analyser le noyau Linux à la recherche de gadgets SCUAF et une liste de gadgets problématiques déjà identifiés. (pdf)

Cyber-attaque, Cybersécurité, Securite informatique

Des traducteurs logiciels malveillants mis en place dans une cyberattaque

Une récente analyse révèle que des applications de traduction compromises sont utilisées pour cibler les Tibétains dans une campagne de cyber espionnage initiée en septembre 2023.

Selon l’entreprise spécialisée en cybersécurité ESET, les pirates responsables seraient affiliés au groupe Evasive Panda, un groupe de hackers malveillants liés au gouvernement chinois. Ils viseraient des individus tibétains résidant en Inde, à Taiwan, à Hong Kong, en Australie et aux États-Unis.

La campagne inclut la corruption de logiciels pour Windows et macOS, ainsi que la compromission du site d’un organisateur du Monlam Festival, un événement religieux annuel se déroulant en Inde. Les assaillants ont injecté du code malicieux sur ce site, créant ainsi une attaque par empoisonnement d’eau, ciblant des groupes spécifiques via des plateformes populaires.

L’attaque était vraisemblablement planifiée pour coïncider avec le festival de Monlam en janvier et février 2024, afin de compromettre les visiteurs du site devenu un vecteur d’attaque. La chaîne d’approvisionnement d’un développeur d’applications de traduction en tibétain a également été corrompue.

Evasive Panda a recouru à divers outils malveillants déjà utilisés dans des attaques en Asie de l’Est, dont MgBot, une porte dérobée pour Windows utilisée par le groupe depuis au moins 2012 pour dérober des données et enregistrer les frappes clavier. En avril, ce malware a été utilisé contre une entreprise de télécommunications en Afrique.

MgBot cible principalement les applications chinoises populaires comme QQ, WeChat, QQBrowser et Foxmail. Il a été identifié une porte dérobée inédite nommée « Nightdoor », employée depuis 2020, notamment contre une cible de premier plan au Vietnam.

La campagne a été découverte en janvier, suite à la détection de code malicieux sur un site géré par le Kagyu International Monlam Trust, promouvant le bouddhisme tibétain. La compromission semble viser à exploiter l’intérêt pour le festival de Bodhgaya. En parallèle, une entreprise indienne développant un logiciel de traduction tibétain a été corrompue, infectant les systèmes Windows et macOS avec des téléchargeurs malveillants.

Un site d’information tibétain, Tibetpost, a également été compromis pour diffuser ces logiciels malveillants. L’utilisation de MgBot a permis d’attribuer ces attaques à Evasive Panda, un groupe actif depuis 2012 et réalisant des attaques alignées sur les intérêts géopolitiques de la Chine.

Cybersécurité, Entreprise, Justice

Spy to love me : un espion chez Google

Un ancien ingénieur logiciel de Google a été accusé par les États-Unis d’avoir volé des secrets commerciaux sur l’intelligence artificielle (IA) alors qu’il travaillait secrètement pour deux sociétés chinoises.

Linwei Ding, également connu sous le pseudonyme de Leon Ding, fait face à des accusations aux États-Unis pour avoir dérobé des secrets d’affaires liés à l’intelligence artificielle (IA) de Google, tout en étant employé simultanément par deux entreprises basées en Chine. Inculpé en Californie sur quatre chefs d’accusation, Ding a été arrêté mercredi. Le citoyen chinois est accusé d’avoir subtilisé plus de 500 documents confidentiels. En cas de condamnation, il encourt une peine maximale de 10 ans de prison et une amende de 250 000 $ pour chaque accusation.

À ce jour, aucun représentant légal de Ding n’a été cité pour réagir à ces allégations, selon des rapports de presse locaux. Ding est suspecté d’avoir collecté des informations critiques sur l’infrastructure des data centers de supercalcul de Google, essentiels pour l’hébergement et l’entraînement de vastes modèles d’IA. D’après l’accusation, Google l’avait recruté en 2019 pour développer ce type de logiciel. Il aurait entamé le téléchargement de données depuis le réseau de Google vers un compte personnel en mai 2022, une activité qui s’est étendue sur un an.

Pendant ce temps, il a séjourné plusieurs mois en Chine pour collaborer avec Beijing Rongshu Lianzhi Technology, une startup qui lui avait proposé un poste de directeur de la technologie avec un salaire mensuel de 14 800 $. Il est également le fondateur de Shanghai Zhisuan Technology, une entreprise spécialisée dans l’IA et l’apprentissage automatique, dont il est le PDG. Des tentatives de communication avec Rongshu ont été faites par la BBC, tandis que Zhisuan n’était pas joignable pour commentaire.

Les procureurs soulignent que Ding n’a jamais informé Google de son engagement avec ces sociétés. Selon l’acte d’accusation, il a sollicité l’aide d’une organisation chinoise pour développer son entreprise, qu’il a présentée lors d’une conférence d’investisseurs en Chine en novembre 2023. Il a été dénoncé par Google le mois suivant alors qu’il tentait de télécharger davantage de fichiers en Chine, mais a prétendu à l’enquêteur de Google que c’était pour prouver son affiliation avec le géant tech.

Après son retour aux États-Unis, et à l’insu de Google, Ding aurait planifié un voyage sans retour de San Francisco à Pékin, avant de démissionner le 26 décembre. Google a ensuite suspendu son accès après avoir découvert ses actions durant la conférence, révélant ainsi les téléchargements non autorisés à travers son historique d’activités.

Android, Cybersécurité, Logiciels, Mise à jour

Correctifs importants pour Android

Google a publié de nouveaux correctifs pour Android, éliminant un total de 38 failles.

Début mars 2024, Google a mis en place 38 correctifs corrigeant son outil Android. Deux vulnérabilités affectant le composant Système ont été classées comme critiques. Ces derniers portent les identifiants CVE-2024-0039 et CVE-2024-23717.

Tout d’abord, ils sont dangereux pour les utilisateurs d’Android 12, 12L, 13 et 14. Grâce à CVE-2024-0039, les attaquants peuvent exécuter du code malveillant à distance, et CVE-2024-23717 permet une élévation des droits dans le système d’exploitation.

Dans l’avis officiel, Google indique que « La plus dangereuse des vulnérabilités corrigées réside dans le composant système. Cela peut conduire à l’exécution de code à distance sans qu’il soit nécessaire d’obtenir des droits supplémentaires sur le système. »

Les développeurs ont corrigé les deux failles critiques avec la publication de la première partie des mises à jour Android de mars. 11 lacunes supplémentaires ont été corrigées. Huit vulnérabilités sont contenues dans le composant Framework, et trois autres dans le même système. Tous ces problèmes comportent un degré de risque élevé et peuvent conduire à une élévation de privilèges, à une divulgation d’informations et à une interruption de service (DoS).

La deuxième partie de l’ensemble de correctifs – niveau de correctif de sécurité 2024-03-05 – comble 25 trous dans les composants AMLogic, Arm, MediaTek et Qualcomm. De plus, Google a signalé avoir éliminé plus de 50 vulnérabilités dans les smartphones Pixel.

backdoor, Cybersécurité, Microsoft

Midnight blizzard : cyberattaque d’envergure contre Microsoft

Dans le paysage numérique actuel, les cyberattaques représentent une menace constante pour les entreprises et les organisations à travers le monde. Récemment, Microsoft a révélé avoir été la cible de Midnight Blizzard, un groupe de cyber espionnage lié au Kremlin.

Également connu sous les noms de APT29 et Cozy Bear, Midnight Blizzard a fait son apparition dans le paysage cybernétique en janvier 2024, lorsque Microsoft a signalé une attaque APT (Advanced Persistent Threat) ciblant les adresses électroniques de ses dirigeants et employés. La situation s’est aggravée lorsque Microsoft a découvert que des informations volées au sein de ses systèmes étaient utilisées pour accéder de manière non autorisée à ses réseaux.

Le groupe de pirates aurait réussi à infiltrer des référentiels contenant du code source ainsi que certains systèmes internes de l’entreprise. Heureusement, selon les informations actuelles, les systèmes d’interaction avec les clients semblent avoir été épargnés.

La réaction de microsoft face à l’attaque

Face à cette menace, Microsoft a rapidement entrepris une enquête approfondie pour évaluer l’ampleur du cyber incident et ses potentielles répercussions. L’entreprise surveille également de près l’utilisation des informations compromises dans le but de prévenir toute attaque ultérieure. Microsoft a souligné que les attaques menées par Midnight Blizzard se distinguent par l’ampleur des ressources déployées, la coordination et la détermination des cybercriminels, utilisant les données volées pour identifier de nouvelles cibles potentielles. Voilà qui expliquerait, peut-être, le nombre de 0day mis en vente, ces dernières semaines et révélées par ZATAZ.

Dans son billet de blog, Microsoft a mis en lumière les mesures de sécurité prises pour contrer les menaces posées par des acteurs de cyber espionnage de niveau gouvernemental comme Midnight Blizzard. Ces mesures reflètent l’engagement de l’entreprise à protéger ses infrastructures critiques et la sécurité de ses clients. En mettant l’accent sur la prévention, la détection et la réponse rapide aux incidents, Microsoft cherche à minimiser l’impact de telles attaques sur ses opérations et à garantir la continuité de ses services.

cyberattaque, Cybersécurité

Phishing : le bilan alarmant de la cybersécurité

Un acteur majeur dans la lutte contre les cybermenaces a récemment publié les résultats édifiants de sa deuxième édition du baromètre annuel de la cybersécurité. Cette étude, basée sur l’analyse de 5,9 milliards de courriels et représentant plus de 2 millions d’utilisateurs, dévoile un panorama complexe et inquiétant de la cybersécurité actuelle.

En 2023, 1,6 milliard de courriers indésirables ont été interceptés et 143 millions de tentatives de cyberattaques, principalement sous forme de phishing, ont été neutralisées par la société MailingBlack, mettant en lumière l’ingéniosité et la persévérance des cybercriminels. L’étude révèle que des marques de confiance telles que La Poste, WeTransfer, Amazon, Microsoft, et Google sont fréquemment imitées dans le but de leurrer les utilisateurs. 7,6 % des spams contiennent des cybermenaces. 77,5 % de ces assauts numériques se manifestent par un hameçonnage exploitant des biais cognitifs humains tels que le stress, la curiosité, et l’appât du gain pour piéger les employés.

Les petites et moyennes entreprises (PME), suivies des administrations publiques, figurent parmi les cibles privilégiées. Ces entités, souvent moins armées contre les cybermenaces, se retrouvent en première ligne face à des adversaires numériques de plus en plus sophistiqués. Le secteur du commerce se distingue particulièrement, victime de 82 % des attaques exploitant des macros malveillantes dans des documents Word ou Excel, par exemple.

Par ailleurs, les postes de direction et les fonctions marketing sont particulièrement visés, soulignant la stratégie des attaquants de cibler les maillons clés au sein des organisations pour maximiser leur impact. Les postes de direction sont visés, en moyenne, 25 fois par mois. Vient ensuite, les postes marketing, avec 21 tentatives. Les postes administratifs arrivent quant à eux en troisième position, avec 9 tentatives par mois.

Les biais cognitifs auxquels les collaborateurs sont le plus sensibles, sont aussi les plus triviaux : le stress, la curiosité et l’appât du gain. Les messages pour les piéger varient peu, ou pas. Ils restent cependant très efficace. Voici quelques exemples repérés par ZATAZ et MailingBlack.

Promotions et événements spéciaux : “Profitez de notre offre exclusive Black Friday ! Des surprises incroyables vous attendent” ;
Facturation et paiements : “Alerte de facture impayée !” ;
Offres d’entreprise et bien-être : “Améliorez le bien-être de votre équipe ! Découvrez nos solutions exclusives” ;
Logistique et livraison : “Alerte de colis en attente ! Confirmez vos détails de livraison immédiatement !” ;
Sécurité et authentification : “Action requise pour votre sécurité ! Veuillez confirmer votre numéro de téléphone pour protéger votre compte”.

backdoor, Cybersécurité

Une attaque de phishing innovante met en péril la sécurité des comptes des propriétaires de voiture Tesla ?

Une attaque de phishing innovante met en péril la sécurité des comptes des propriétaires de voiture Tesla ?

Récemment, Talal Haj Bakry et Tommy Mysk, experts en cybersécurité, ont mis en lumière une méthode de phishing particulièrement préoccupante qui cible les propriétaires de véhicules Tesla. Grâce à l’utilisation d’un dispositif Flipper Zero, les chercheurs ont démontré qu’il est possible de compromettre un compte Tesla, permettant ainsi de déverrouiller et potentiellement voler un véhicule. Cette vulnérabilité persiste même après la mise à jour vers la dernière version de l’application Tesla (4.30.6) et du firmware (version 11.1 2024.2.7).

https://twitter.com/mysk_co/status/1765783975056851004

Le processus d’attaque détaillé

L’exploit décrit par Bakry et Mysk repose sur la création d’un faux réseau Wi-Fi nommé « Tesla Guest », simulant ceux fréquemment trouvés dans les centres de service Tesla. En se connectant à ce réseau, les victimes sont redirigées vers une page de connexion imitant celle de Tesla, où leurs identifiants sont capturés par l’attaquant. L’étape suivante du processus consiste à obtenir un mot de passe à usage unique (OTP) nécessaire pour contourner l’authentification à deux facteurs, permettant à l’attaquant de se connecter à l’application Tesla et d’accéder à la localisation du véhicule en temps réel.

Les implications de l’attaque

Le succès de cette attaque repose sur la possibilité d’ajouter une nouvelle clé de téléphone au compte Tesla compromis, une opération qui ne requiert pas la présence physique de l’attaquant à l’intérieur du véhicule, mais seulement à proximité immédiate. Cette méthode expose les propriétaires de Tesla à un risque accru, d’autant plus que l’ajout d’une nouvelle clé n’engendre aucune notification ni alerte via l’application ou sur le tableau de bord du véhicule.

Recommandations de sécurité

Face à cette menace, qu’il faut tout de même modérer [il faut de nombreuses interactions] les chercheurs suggèrent que l’ajout d’une nouvelle clé de téléphone devrait exiger une authentification supplémentaire, telle que la présentation d’une clé de carte Tesla physique. Cette mesure renforcerait considérablement la sécurité, ajoutant une couche d’authentification pour le nouvel appareil.

Malgré la remise en question de cette procédure par Tesla, qui considère le comportement observé comme normal, il est clair que des mesures supplémentaires doivent être envisagées pour protéger les propriétaires de Tesla contre ces attaques de phishing de plus en plus sophistiquées.

Cybersécurité, Entreprise, Mise à jour, Patch

Qnap alerte sur des vulnérabilités critiques dans ses systèmes d’exploitation

Dans le monde toujours connecté d’aujourd’hui, la sécurité des systèmes informatiques est devenue une priorité absolue pour les entreprises et les particuliers. QNAP, une entreprise leader dans le domaine du matériel de sauvegarde informatique, a récemment mis en lumière des vulnérabilités critiques dans plusieurs de ses systèmes d’exploitation.

QNAP a identifié des failles de sécurité dans ses systèmes d’exploitation QTS, QuTS hero, QuTScloud et myQNAPcloud. Ces vulnérabilités, si elles sont exploitées, pourraient permettre à des attaquants d’accéder aux appareils des utilisateurs et de compromettre la sécurité des systèmes concernés. Les vulnérabilités affectent un large éventail de versions des systèmes d’exploitation de QNAP, ce qui rend un grand nombre d’appareils potentiellement vulnérables.

Comprendre les risques

Les vulnérabilités identifiées par QNAP comprennent un contournement d’authentification (CVE-2024-21899), une injection de commandes (CVE-2024-21900) et une injection SQL (CVE-2024-21901). La nature de ces failles varie, mais elles partagent un point commun : elles pourraient toutes compromettre gravement la sécurité des systèmes affectés.

La plus préoccupante des vulnérabilités, CVE-2024-21899, permet à des utilisateurs non autorisés de compromettre à distance la sécurité du système sans nécessiter d’authentification. Cela signifie que cette vulnérabilité pourrait être exploitée par n’importe qui ayant accès à Internet, rendant les systèmes non mis à jour extrêmement vulnérables aux attaques.

Mesures correctives de qnap

En réponse à ces vulnérabilités, QNAP a rapidement publié des mises à jour pour ses systèmes d’exploitation, visant à corriger les failles de sécurité et à renforcer la protection des appareils des utilisateurs. Les versions mises à jour qui résolvent ces vulnérabilités sont les suivantes :

QTS 5.1.3.2578 20231110 et versions ultérieures ;
QTS 4.5.4.2627 20231225 et versions ultérieures ;
QuTS hero h5.1.3.2578 20231110 et versions ultérieures ;
QuTS hero h4.5.4.2626 20231225 et versions ultérieures ;
QuTScloud c5.1.5.2651 et versions ultérieures ;
myQNAPcloud 1.0.52 (2023/11/24) et versions ultérieures.

L’importance de la mise à jour

QNAP conseille vivement à tous les utilisateurs de ses systèmes d’exploitation de procéder à ces mises à jour sans délai. La mise à jour des systèmes d’exploitation est une étape cruciale pour garantir la sécurité des données et la protection contre les attaques extérieures. Dans un monde où les menaces informatiques évoluent constamment, maintenir ses systèmes à jour est le meilleur moyen de se prémunir contre les vulnérabilités potentielles.

Cybersécurité, Entreprise, Mise à jour

Alerte sécurité : une vulnérabilité critique chez Fortinet menace 150 000 appareils

La cybersécurité est un domaine en constante évolution, où les menaces et les vulnérabilités émergent à un rythme alarmant. Un récent rapport de la Shadowserver Foundation met en lumière une vulnérabilité critique affectant les appareils Fortinet FortiOS et FortiProxy. 

Identifiée et corrigée le mois dernier, la vulnérabilité CVE-2024-21762 a reçu un score CVSS alarmant de 9,6, soulignant sa gravité. Ce bug critique réside dans FortiOS et est lié à un enregistrement hors limites. Il permet à des attaquants non authentifiés d’exécuter à distance du code arbitraire en envoyant des requêtes HTTP spécialement conçues. Ce qui rend cette vulnérabilité particulièrement dangereuse, c’est sa capacité à permettre l’exécution de code sans nécessiter d’authentification préalable.

L’exploitation active de la vulnérabilité

Le caractère critique de CVE-2024-21762 a attiré l’attention de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), qui a rapidement ajouté cette vulnérabilité à sa liste de failles déjà exploitées par des attaquants. Cette inclusion souligne non seulement la gravité du problème mais aussi le fait qu’il est activement exploité dans des attaques de cyberpirates.

L’ampleur de la menace : 150 000 appareils vulnérables

La Shadowserver Foundation a lancé un avertissement concernant l’ampleur de cette menace. Selon leurs analyses, environ 150 000 appareils Fortinet FortiOS et FortiProxy restent vulnérables à CVE-2024-21762. Les États-Unis comptent le plus grand nombre de ces appareils vulnérables, avec plus de 24 000 cas recensés. Des nombres significatifs d’appareils affectés ont également été identifiés en Inde, au Brésil et au Canada, soulignant l’impact global de cette vulnérabilité.

Comment vérifier et protéger vos appareils

Les administrateurs de système ne sont pas sans défense face à cette vulnérabilité. Un script Python spécial, développé par les spécialistes en sécurité de l’information de BishopFox, est disponible pour aider à identifier les appareils vulnérables. Il est crucial pour les administrateurs de vérifier l’état de leurs systèmes et d’appliquer les correctifs nécessaires pour se protéger contre les exploitations potentielles de cette faille critique.

Cybersécurité, Entreprise

BlueFiles : l’outil indispensable pour sécuriser vos transferts

Le service français Bluefiles s’arme de nouvelles options permettant de sécuriser vos transferts.

Dans le monde professionnel d’aujourd’hui, la sécurité des données et des communications électroniques est une préoccupation majeure. Il existe de nombreuses solutions apportant des solutions pour répondre à ce défi, renforçant la confidentialité et la sécurité des informations échangées. Il y a un an, ZATAZ nous faisait découvrir un outil étonnant, 100% français, offrant une solution de transfert de fichiers sécurisé : Bluefiles. J’utilise d’ailleurs cette solution pour transmettre et recevoir des documents en toute sécurité. Un an plus tard, retour sur l’évolution de cette solution venue du Sud de la France.

Simplicité d’usage et intégration transparente

BlueFiles se distingue par sa capacité à s’intégrer de manière fluide dans les routines quotidiennes, notamment en se greffant sur Microsoft Outlook grâce à un complément (AddIn). Cette intégration permet aux utilisateurs de continuer à composer leurs courriers électronique et joindre des fichiers comme ils le feraient habituellement, tout en offrant la possibilité de sécuriser les envois en un clic. Une nouveauté notable réside dans l’option laissée à l’utilisateur de choisir ou non de sécuriser chaque message envoyé, renforçant ainsi la flexibilité sans compromettre la sécurité. Il est toujours possible de blinder le transfert par un mot de passe et une auto destruction selon un timing prédéterminé.

Capacités étendues de transfert de fichiers

Dans sa dernière mise à jour, BlueFiles augmente la capacité de transfert de fichiers jusqu’à 2 Go en standard, répondant ainsi aux besoins croissants de partage de fichiers volumineux dans le cadre professionnel. L’outil introduit également un système d’accusés de réception, informant l’expéditeur dès que les destinataires accèdent aux données ou téléchargent les pièces jointes. Cette fonctionnalité renforce la traçabilité et assure une meilleure responsabilité dans la gestion des informations sensibles.

Comptes partagés et anonymisation

BlueFiles innove en proposant la mise en œuvre de comptes partagés, simulant le fonctionnement des boîtes électroniques de service, tout en garantissant une traçabilité nominative des actions réalisées à partir de ces comptes. Cette fonctionnalité favorise la continuité du service et une meilleure gestion des communications au sein des équipes. Une avancée particulièrement intéressante est la possibilité de créer et de publier des formulaires réglementaires sans nécessiter de compétences en programmation. Cette option simplifie considérablement les démarches administratives et réglementaires pour les entreprises.

Le Filigrane dynamique : une innovation marquante

Pour la diffusion de documents sensibles ou personnels, BlueFiles propose une liseuse PDF en ligne sécurisée. Cette innovation permet aux destinataires de consulter les documents directement dans leur navigateur sans devoir les télécharger, offrant ainsi une couche supplémentaire de protection. Enfin, BlueFiles introduit le concept du Filigrane dynamique, inspiré de l’intelligence Corse. Cette technologie permet d’insérer des informations personnelles spécifiques à chaque destinataire, telles que leur adresse IP ou leur adresse électronique, directement dans le filigrane du document. Cette approche sensibilise les destinataires à la confidentialité des informations reçues et renforce leur responsabilité individuelle, tout en facilitant l’identification de la source en cas de fuite de données.

Cybersécurité, escroquerie, Social engineering

Opération texonto : campagne de désinformation russophone

Mise à jour d’une nouvelle vaste campagne de désinformation psychologique déployée via des courriels, visant à influencer l’opinion publique ukrainienne par la diffusion de fausses informations suggérant que la Russie prenait l’avantage dans le conflit.

Lancés en deux temps, en novembre puis fin décembre 2023, ces courriers électroniques propageaient des messages sur les coupures de chauffage, les manques de médicaments, et les pénuries de nourriture, reprenant les thèmes récurrents de la propagande russe. En outre, en octobre 2023, la société ESET a découvert une attaque par hameçonnage ciblant une entreprise de défense ukrainienne, suivie en novembre par une attaque similaire visant une agence de l’UE, utilisant de fausses pages de connexion Microsoft dans le but de dérober des identifiants de connexion à Microsoft Office 365. La similarité des infrastructures réseau utilisées pour ces différentes campagnes permet de les associer avec une grande certitude.

Avec le conflit en cours en Ukraine, des groupes pro-russes comme Sandworm se sont illustrés par des attaques visant à saboter l’infrastructure informatique ukrainienne au moyen de logiciels destructeurs. Ces derniers temps, une intensification des activités de cyber espionnage a été notée, notamment de la part du groupe Gamaredon, tristement célèbre. L’opération Texonto illustre un tournant dans l’utilisation des technologies numériques pour influencer le cours de la guerre. A noter que certains groupes, comme Killnet, se sont rabattus sur leur business de base, les fraudes bancaires. D’autres groupes sont apparus, comme NighMare, sans vraiment afficher une efficacité militaire et étatique.

L’association inhabituelle d’espionnage, de manipulation de l’information et de faux messages médicaux rappelle les agissements de Callisto, un groupe de cyberespionnage aligné sur la Russie, dont deux membres ont été inculpés le 7 décembre 2023 par le département américain de la Justice. Bien que Callisto soit connu pour cibler des fonctionnaires gouvernementaux et des organisations militaires via des sites d’hameçonnage, aucune connexion technique directe n’a été établie entre Texonto et Callisto. Néanmoins, en raison des méthodes, cibles, et messages diffusés, Texonto est attribué avec une haute confiance à un groupe soutenu par la Russie.

Les enquêteurs ont observé la réutilisation d’un serveur de messagerie par les assaillants, initialement pour les opérations de désinformation, puis pour envoyer des spams typiques des pharmacies canadiennes, une pratique courante au sein de la communauté cybercriminelle russe. D’autres investigations ont révélé des domaines liés à l’opération Texonto et à des affaires internes russes, comme le cas d’Alexeï Navalny, opposant russe emprisonné décédé le 16 février 2024, suggérant des tentatives de cibler des dissidents russes et les partisans de Navalny.

La première salve d’emails visait à instiller le doute chez les Ukrainiens avec des messages préoccupants sur le chauffage ou des manques de médicaments, sans inclure de liens malveillants, se concentrant purement sur la désinformation. Un domaine imitant le ministère ukrainien de la Politique agricole proposait des remèdes à base de plantes en remplacement des médicaments et suggérait des recettes improbables comme du « risotto au pigeon ».

Un mois plus tard, une seconde vague d’emails a été lancée, ciblant non seulement les Ukrainiens mais aussi des citoyens d’autres pays européens, avec des messages plus sinistres incitant à des mutilations pour échapper à la conscription. Cette campagne reflète les tactiques de guerre psychologique utilisées dans les conflits.

Chiffrement, Cybersécurité, VPN

VPN : un bug permettait de connaitre les sites web visités

L’équipe derrière le VPN ExpressVPN a émis un avertissement concernant la nécessité de retirer la fonctionnalité de split tunneling de leur logiciel. Cette décision a été prise après la découverte d’un défaut lié à cette option, lequel exposait les noms de domaines consultés par les utilisateurs.

Février 2024, un défaut a été identifié par les experts de CNET et concernait uniquement les versions de l’application ExpressVPN pour Windows (de la version 12.23.1 à la 12.72.0) distribuées entre le 19 mai 2022 et le 7 février 2024. Le problème se manifestait exclusivement chez les utilisateurs activant le split tunneling, une fonction permettant de diriger une partie du trafic internet soit via le VPN, soit en dehors, facilitant ainsi un accès local sécurisé. À cause de cette faille, les requêtes DNS des utilisateurs bypassaient l’infrastructure sécurisée d’ExpressVPN pour être redirigées vers les serveurs DNS du fournisseur d’accès internet (FAI) de l’utilisateur.

Normalement, les requêtes DNS transitent par les serveurs d’ExpressVPN empêchant les Fournisseurs d’Accès à Internet et autres entités de suivre les activités en ligne des utilisateurs. Toutefois, ce bug a conduit certaines de ces requêtes vers les serveurs DNS par défaut du système de l’utilisateur (généralement ceux du FAI), permettant ainsi de détecter les sites web consultés par l’utilisateur. Les clients sous Windows et ayant activé le split tunneling rendaient leur historique de navigation accessible. Gênant !

« Ce défaut redirigeait certaines requêtes DNS vers un serveur externe, généralement celui du FAI. Cela donnait au FAI la possibilité de connaître les domaines consultés par l’utilisateur, comme google.com, sans toutefois pouvoir accéder aux pages spécifiques, aux requêtes de recherche ou à d’autres activités en ligne. L’intégralité du trafic internet de l’utilisateur restait cryptée, rendant son contenu invisible au FAI ou à toute autre partie externe« , ont expliqué les développeurs d’ExpressVPN.

Ce problème n’aurait touché qu’environ 1 % des utilisateurs Windows et qu’il avait été observé uniquement en mode split tunneling.

Les utilisateurs ont été invités à mettre à jour leur logiciel vers la version la plus récente.

Cybersécurité, Phishing

Tendances des campagnes de phishing : les pirates aiment le mardi !

Dans le paysage évolutif de la cybersécurité, des chercheurs ont miss en évidence des tendances dans le comportement des cybercriminels, en particulier en ce qui concerne les campagnes de phishing par courrier électronique.

Des spécialistes ont identifié les tendances dominantes dans le domaine des campagnes de phishing par email pour l’année 2023. Ils ont observé que le mardi est devenu le jour favori des cybercriminels pour lancer des attaques de phishing, avec un constat que près de 98 % des malwares identifiés dans ces emails étaient dissimulés dans des pièces jointes, majoritairement sous forme d’archives .rar et .zip.

L’analyse révèle que le début de semaine, et particulièrement le mardi avec 19,7 % du volume total d’emails malveillants, est le moment choisi par les attaquants pour intensifier l’envoi d’emails de phishing. Le volume d’envois diminue progressivement après le mercredi, atteignant son niveau le plus bas le dimanche avec seulement 7,1 % des emails malveillants envoyés.

Les pièces jointes restent le vecteur principal de transmission de malwares, présentes dans 98 % des cas. En revanche, l’utilisation d’emails contenant des liens malveillants est en légère réduction, représentant un peu plus de 1,5 % des cas l’année dernière. Ceci est expliqué par le fait que télécharger un malware depuis un site externe ajoute une étape visible supplémentaire qui peut être détectée par les dispositifs de sécurité classiques.

La taille des pièces jointes malveillantes varie, mais celles pesant entre 512 Ko et 1 Mo sont les plus courantes, représentant plus de 36 % des envois de phishing. Les formats d’archive .rar, .zip et .z sont les plus utilisés pour regrouper les malwares, contenant principalement des fichiers exécutables au format PE.

On note également une baisse de l’utilisation des documents bureautiques comme vecteurs de malwares, avec une diminution notable de la part des fichiers au format .xls et .doc, ce qui suggère une diminution de l’efficacité de cette méthode due à l’amélioration des mesures de sécurité de Microsoft Office.

Parmi les malwares les plus fréquemment trouvés dans les emails malveillants de 2023, on retrouve le logiciel espion Agent Tesla, ainsi que les malwares de type FormBookFormgrabber et Loki PWS.

Une évolution qui apparait aussi dans la qualité des courriels piégés, qui exploitaient auparavant des sujets d’actualité et étaient le fait de cybercriminels professionnels ou de groupes sophistiqués. Des courriers électroniques de plus en plus conçus pour voler des données pouvant être vendues ou utilisées dans le cadre d’attaques ciblées contre des organisations.

Chiffrement, cyberattaque, ransomware

Un petit vaccin pour le ransomware Rhysida

Des chercheurs en Corée du Sud ont identifié une faille dans le ransomware Rhysida, permettant la création d’un outil de décryptage gratuit pour les fichiers Windows affectés. Toutefois, certains experts critiquent la divulgation de ce défaut.

Lancé mi-2023, le groupe de pirates Rhysida a ciblé des secteurs variés, dont l’éducation et la santé. La Bibliothèque nationale britannique figure parmi ses victimes notables, ayant subi une attaque à l’automne. L’Université Kookmin et la KISA ont révélé une vulnérabilité dans le générateur de nombres pseudo-aléatoires de Rhysida, exploitée pour générer des clés de déchiffrement uniques par attaque, permettant ainsi de concevoir un outil pour restaurer les données chiffrées sans frais.

Ils ont détaillé dans leur étude que Rhysida utilisait LibTomCrypt pour le chiffrement et traitait les données en parallèle pour une efficacité accrue. Le programme appliquait un chiffrement discontinu, une stratégie courante chez les ransomwares pour accélérer le processus tout en évitant la détection, en alternant entre chiffrement et non-chiffrement de segments de données. Le décryptage fut possible grâce à l’analyse du modèle de chiffrement et l’application sélective de la clé correcte.

Les chercheurs ont expliqué que Rhysida se servait d’un CSPRNG basé sur l’algorithme ChaCha20 pour créer des clés de chiffrement, utilisant une valeur initiale dérivée de l’heure système, rendant la graine prévisible. En exploitant cette faille, ils ont mis au point une méthode pour reconstruire l’état du CSPRNG en testant différentes valeurs initiales, permettant de prédire les nombres aléatoires et de restaurer les fichiers chiffrés sans la clé originale.

Leur outil de décryptage est disponible sur le site de la KISA, avec un rapport technique et des instructions d’utilisation.

Peu après cette révélation, Fabian Vosar a indiqué que d’autres avaient découvert cette vulnérabilité mais avaient choisi de ne pas la rendre publique. Avast (octobre 2023), le CERT français (juin 2023), et Vosar lui-même, en mai 2023, avaient identifié la faille, permettant le décryptage de nombreux systèmes. Vosar a précisé que cette faille ne s’applique qu’à la version Windows de Rhysida, et non aux versions ESXi ou PowerShell, avertissant que les créateurs de Rhysida pourraient rapidement corriger cette vulnérabilité, rendant la récupération de fichiers sans rançon de nouveau impossible.

Cybersécurité, Mise à jour, Patch

AlerteCyber : Faille Microsoft Outlook

Aprés les Etats-Unis le 13 février 2024, Cybermalveillance.gouv.fr déclenche une AlerteCyber concernant une faille de sécurité critique dans Microsoft Outlook. Il est primordial de la corriger le plus rapidement possible en mettant à jour les systèmes concernés pour réduire les risques d’une cyberattaque.

Mis en place en juillet 2021, AlerteCyber est un dispositif lancé dès lors qu’une menace ou une faille critique est identifiée et qualifiée en tant que telle, conjointement par l’ANSSI et Cybermalveillance.gouv.fr. Son objectif est d’informer les entreprises, collectivités et associations de toute taille face à la menace afin de les inciter à prendre les mesures qui s’imposent pour se protéger.

Dans le cadre du dispositif, Cybermalveillance.gouv.fr a publié une alerte de cybersécurité concernant une faille de sécurité critique dans Microsoft Outlook.
De quoi s’agit-il ? Quels sont les risques encourus ? Quels systèmes sont concernés et surtout, quelles mesures doivent être prises ?

Description de la vulnérabilité

Une faille de sécurité critique immatriculée CVE-2024-21413 a été corrigée dans le produit Microsoft Outlook pour Windows. L’alerte avait été lancée le 13 février 2024. Des cybercriminels pourraient très prochainement exploiter cette vulnérabilité pour conduire des attaques massives contre les systèmes vulnérables. Il est vivement conseillé d’appliquer au plus vite sur les systèmes concernés la mise à jour publiée par Microsoft qui corrige cette vulnérabilité et protège de son exploitation.

Quels sont les risques encourus ?

Espionnage, vol, voire destruction de données suite à la prise de contrôle à distance des ordinateurs concernés. Microsoft, le 13 février indiquait la faille comme critique.

Cybersécurité, Entreprise

L’association InterCERT France alerte les entreprises et les organisations sur l’enjeu sécuritaire lié à leur dépendance aux solutions Microsoft

Microsoft est aujourd’hui omniprésent au sein des organisations publiques et privées, créant une forme d’addiction à ses solutions. L’association française des CERT, InterCERT France, interpelle les entreprises et organisations sur la dangereuse dépendance dans laquelle elles se placent du point de vue technologique, financier et des failles de sécurité inhérentes aux produits de Microsoft. Cette préoccupation ne se limite pas seulement à la question de la sécurité informatique et des coûts, mais elle soulève également des interrogations quant à la souveraineté numérique. 

En effet, la dépendance excessive à un fournisseur étranger peut compromettre la capacité d’un pays à exercer son contrôle et sa gouvernance sur ses propres infrastructures et données. En encourageant une diversification des fournisseurs et en favorisant le développement de solutions alternatives nationales ou européennes, les entreprises et les organisations pourraient renforcer leur souveraineté numérique et réduire les risques associés à une dépendance exclusive à un seul acteur du marché comme Microsoft.

L’InterCERT France est la première communauté de CERT en France. C’est le seul “collectif” rassemblant des membres experts en matière de sécurité cyber, oeuvrant par le partage de bonnes pratiques, l’entraide et la collaboration.

C’est dans le souci de préserver au maximum la sécurité des organisations publiques et privées que l’InterCERT France estime crucial de les alerter sur les risques auxquels elles s’exposent en laissant petit à petit les GAFAM, Microsoft en tête, installer leur monopole.

Anatomie d’une dépendance

Microsoft a su créer une « addiction » auprès des entreprises et des administrations de toutes tailles, par sa simplicité d’usage et son efficacité pour structurer l’ensemble d’un système d’information (annuaire, messagerie, bureautique, collaboration, bases de données…) sous forme d’offres imbriquées.

« Exemple : avec l’annuaire Active Directory. Microsoft mène actuellement une politique commerciale agressive auprès de ses clients afin qu’ils évoluent d’un modèle informatique « à demeure » vers un modèle entièrement cloud. Utilisant massivement des logiciels comme Microsoft Exchange ou Office, les organisations se trouvent dans la quasi impossibilité de se passer des annuaires de l’éditeur… Et Microsoft joue de cela comme effet de bascule, en fournissant en priorité aux clients de ses offres cloud (Azure, Office 365) les nouvelles fonctions et mises à jour de ces logiciels. » explique Frédéric Le Bastard, Président de l’InterCERT France.

Faute d’alternative, les entreprises et administrations développent un point névralgique, prêtant le flan aux cyber attaquants. Quand cette porte d’entrée est compromise, le risque affecte aussitôt l’ensemble du système d’information, et donc le fonctionnement de toute l’organisation, en interne comme en externe.

« Mi-2023 aux États-Unis, des douzaines de structures privées et publiques ont été piratées par la Chine, du fait de lacunes de sécurité dans des produits de Microsoft. Et dans un premier temps, seuls les clients disposant d’un contrat premium (60 % plus cher) en ont été informés par l’éditeur ! Ce qui fit dire à Ron Wyden, sénateur membre du Comité de renseignement des États-Unis que, fournir des produits non sécurisés puis faire payer aux clients des fonctions premium contre le piratage, revient à vendre un véhicule, puis à faire payer en supplément les ceintures de sécurité et les airbags ! » poursuit Frédéric Le Bastard.

Que faire pour limiter ces dérives ?

L’InterCERT France identifie trois leviers pour agir et invite les entreprises et institutions à :

  •       En interne : élever au maximum le niveau de contrôle de sécurité. En utilisant en aval les bons indicateurs, afin de conserver la maîtrise des sauvegardes, des détections, des authentifications à facteur multiple, du chiffrement, de la gestion des clés de sécurité, etc.
  •       Auprès des fournisseurs : proposer des configurations sécurisées par défaut. C’est essentiel pour garantir la sécurité des systèmes et des logiciels. Ces pratiques de sécurité peuvent être intégrées dans les configurations par défaut des systèmes, des applications et des services pour offrir une protection de base contre les menaces « courantes ».
  •       Auprès des pouvoirs publics : renforcer leur action contre les pratiques anticoncurrentielles et menaçantes. Enquêtes antitrust, décisions et amendes, coopération internationale, etc.
Cybersécurité, Entreprise

Protection des mineurs sur internet quelles sont les failles du Digital Services Act ?

Le DSA, Digital Services Act, réglementation européenne entrée pleinement en application le 17 février dernier, a pour objectif de lutter contre la propagation de contenus illicites, de désinformation sur le web et vise également à favoriser la transparence des plateformes vis-à-vis des consommateurs. Face à la généralisation de l’accès des enfants aux smartphones et aux tablettes, la protection des mineurs est donc l’un des enjeux prioritaires de cette nouvelle réglementation. Grazia Cecere, Professeure à Institut Mines-Télécom Business School, spécialiste de l’économie numérique, décrypte cette nouvelle législation.

Le Digital Services Act : acteurs concernés, objectifs et mesures mises en place

Samedi 17 février 2024, le Digital Services Act (DSA) est entré en effet ; il vise entre autres à rendre Internet plus sûr et plus transparent pour les citoyens européens. Cette réglementation va s’appliquer en particulier au gatekeepers – les très grandes plateformes en ligne et les très grands moteurs de recherche, utilisés par plus de 45 millions d’Européens par mois, désignés par la Commission européenne – tels que TikTok, Facebook, Instagram, Airbnb…

Plus généralement, les fournisseurs de plateformes en ligne accessibles aux mineurs sont tenus de mettre en place des mesures appropriées pour garantir un niveau élevé de confidentialité, de sécurité et de sûreté des mineurs sur leurs services. Ce règlement vise notamment à interdire la publicité ciblée sur les plateformes en ligne pour les enfants en se basant sur des catégories spéciales de données personnelles telles que l’ethnicité, les opinions politiques ou l’orientation sexuelle.

Toutefois, ces mesures ne répondent qu’à une petite partie de la problématique et négligent d’autres dangers auxquels sont exposés les mineurs.

DSA, ce que la nouvelle réglementation européenne néglige 

Les très grandes plateformes et très grands moteurs de recherche ont donc à présent l’obligation de prendre des mesures identifiées d’atténuation des risques (vérification de l’âge, mise en place d’outils de contrôle parental ou d’outils permettant d’aider les mineurs à signaler les abus ou à obtenir un soutien…). La publicité ciblée sur les mineurs devient interdite et des sanctions lourdes sont prévues pour les plateformes en infraction. Le problème principal concerne donc les entreprises ciblées : les petites entreprises (entreprises de moins de 50 salariés et de moins de 10 millions d’euros de chiffre d’affaires annuel) sont moins visées par la régulation. Or, dans le marché des applications mobiles pour enfants il y a beaucoup de développeurs de petite taille. 

L’éducation des enfants et des parents représente donc un enjeu majeur. Pour les entreprises, il existe un marché réel pour la création de contenus adaptés pour les enfants, respectueux de la vie privée et de la réglementation et qui puissent offrir une expérience utilisateur éducative et constructive.

Les mineurs et le numérique : quelques chiffres

– Une enquête du Ministère de la culture1 en France indique que 27% des enfants de moins de 2 ans utilisent une tablette ou un smartphone et ce pourcentage augmente à l’âge de 5 ans pour atteindre une utilisation de la tablette par 54% des enfants.
– 74% des enfants sont en ligne avant 14 ans, selon une étude de la CNIL publiée en 2020.
– 26% des enfants européens interrogés déclarent avoir été victimes d’arnaques par phishing.

Cybersécurité, Phishing

Le paysage du phishing en 2023 : une année record

1,76 milliard de courriels pirates diffusés en 2023. Les pages piégées aux couleurs de Facebook ont explosé.

Dans le monde numérique en constante évolution, le phishing continue de représenter une menace significative pour les entreprises et les individus. Le rapport annuel sur le phishing de l’entreprise française Vade, dévoile des statistiques alarmantes qui soulignent l’ampleur et la sophistication croissantes des attaques de phishing au cours de l’année 2023.

La société a analysé 197 000 pages de phishing associées à des courriels uniques, révélant ainsi les tendances et les tactiques employées par les cybercriminels. L’une des conclusions les plus frappantes est la hausse spectaculaire des escroqueries sur les médias sociaux, notamment sur Facebook, où plus de 44 000 sites de phishing ont été identifiés, constituant près d’un quart de toutes les URL de phishing répertoriées cette année.

Le phishing sur les médias sociaux en forte hausse

Le secteur des médias sociaux est celui qui a connu la plus forte croissance annuelle du nombre d’URL de phishing (+110 %). Facebook n’est pas le seul réseau à contribuer à cette hausse : Instagram (9e cette année), WhatsApp (13e) et LinkedIn (23e) y ont aussi joué un rôle dans cette augmentation. Cette multiplication des menaces de phishing intervient alors que les revenus publicitaires de ces réseaux ne cessent de grimper et que les entreprises comptent de plus en plus sur eux pour vendre leurs produits et services, diffuser leurs campagnes marketing et recruter des talents.

Le rapport indique également que les attaques de phishing ont atteint un niveau record en 2023, avec plus de 1,76 milliard d’URL de phishing envoyées dans le monde. Parmi les 20 marques les plus fréquemment usurpées, six sont françaises, démontrant l’impact global et local de cette menace. Facebook, avec une augmentation de 74 % du nombre de sites de phishing uniques le ciblant, occupe la première place du classement pour la troisième année consécutive, suivi de près par des géants technologiques tels que Microsoft, Google, et Netflix.

Microsoft, Google et Netflix dominent les marques du cloud usurpées lors d’attaques de phishing

Avec les médias sociaux, le monde du cloud est le seul secteur à enregistrer une augmentation du nombre d’URL de phishing uniques en 2023. Cette hausse est principalement due à Microsoft (2e), Google (11e) et Netflix (19e). La popularité de Microsoft et Google auprès des hackers ne se dément pas, à l’image de l’intérêt que suscitent leurs plateformes Microsoft 365 et Google Workspace.

Cette année, Microsoft a annoncé avoir dépassé les 382 millions de licences payantes au 3e trimestre 2023. De son côté, Google compte plus de 9 millions d’organisations abonnées à Google Workspace. Ces deux suites restent une cible privilégiée pour les auteurs de phishing.

Les auteurs de phishing ne se contentent pas d’imiter les grandes marques ; ils exploitent également des services légitimes pour contourner les solutions de sécurité email, rendant la détection et la prévention encore plus difficiles. De plus, l’émergence des marketplaces de Phishing-as-a-Service (PhaaS) témoigne de la professionnalisation et de la commercialisation de ces activités malveillantes.

Le secteur des services financiers reste le plus touché par l’usurpation d’identité, avec 64 009 URL de phishing uniques recensées, représentant 32 % du total mondial. Cette prévalence souligne la nécessité pour les entreprises et les individus de rester vigilants et d’adopter des solutions de sécurité robustes pour se protéger contre ces attaques de plus en plus sophistiquées. (Vade)

Cybersécurité, IA

Des pirates Russes, Iraniens, Chinois et Nord-Coréens repérés sur ChatGPT

Cyber Signals : lutte contre les cybermenaces et protection renforcée à l’ère de l’intelligence artificielle. Microsoft analyse les requêtes faîtes avec ChatGPT et découvre des utilisations pirates !

L’essor de l’IA générative ouvre de nouvelles perspectives pour renforcer la cybersécurité, mais nous expose également à de nombreux risques. Le blog spécialisé dans les questions de lutte contre le cybercrime ZATAZ avait révélé, en janvier 2024, comment des pirates hispaniques avaient intégré l’Intelligence Artificielles dans un de leur outil d’hameçonnage [Phishing]. Bref, les acteurs malveillants exploitent cette nouvelle technologie pour renforcer leurs activités frauduleuses, que ce soit en créant des deepfakes, en améliorant la programmation des logiciels ou en y rajoutant des couches supplémentaires « d’intelligence » pour renforcer leurs attaques. Dans sa 6e édition de Cyber Signals, publiée par Microsoft, on découvre que le firme de Redmond analyse les requêtes utilisées par les internautes dans ChatGPT et a découvert la présence de malveillants étatiques.

Dans ce rapport, il est expliqué comment il a été possible d’identifier et de déjouer des tentatives de cyberattaques de groupes malveillants russes, nord-coréens, iraniens et chinois. Ces derniers ont tenté d’utiliser des LLM (Large Langage Models) comme ChatGPT pour perfectionner leurs cyberattaques.

En collaboration avec OpenAI, Microsoft (actionnaire à 49% d’OpenAI) explique avoir repéré des acteurs malveillants affiliés à des États connus sous les noms de Forest Blizzard, Emerald Sleet, Crimson Sandstorm, Charcoal Typhoon et Salmon Typhoon.

Le LLMH : Large Langage Models Hack

Les cybercriminels et les acteurs soutenus par des États s’appuient sur l’IA, y compris les LLM, pour améliorer leur efficacité et tirer parti de plates-formes susceptibles de servir leurs objectifs et leurs techniques d’attaque.

Bien que les motivations et la sophistication des acteurs malveillants soient différentes, ils opèrent de la même manière lorsqu’ils déploient des attaques. Ils procèdent notamment à une reconnaissance, comme la recherche des industries, des emplacements et des relations des victimes potentielles ; ils ont recours au code, de façon à améliorer des scripts logiciels et à développer des logiciels malveillants ; et ils recherchent de l’aide dans l’apprentissage et l’utilisation des langages humains et des langages de programmation.

Les recherches avec OpenAI n’ont pas permis d’identifier d’attaques significatives utilisant les LLM.

Cybersécurité, Entreprise

Nouveau malware souligne l’intérêt continu pour les appareils edge

Découverte par les Services de Renseignements, cette menace souligne l’importance de sécuriser les périphéries du réseau.

Le monde de la cybersécurité est en alerte suite à la découverte d’un nouveau malware ciblant spécifiquement les appareils FortiGate. Cette révélation, issue d’une enquête conjointe menée par le Service de renseignement militaire (MIVD) et le Service général de renseignement et de sécurité (AIVD), met en lumière une tendance préoccupante : les cyberattaquants portent désormais un intérêt accru aux appareils edge accessibles au public.

Contexte : une menace sophistiquée

Lors de leur enquête, le MIVD et l’AIVD ont identifié un cheval de Troie d’accès à distance (RAT) persistant, conçu pour opérer discrètement et maintenir l’accès aux systèmes compromis. Ce malware exploitait une vulnérabilité critique dans les appareils FortiGate, référencée sous le code CVE-2022-42475 [Le CERT Français avait lancé une alerte, en décembre 2022], pour laquelle le Centre National de Cybersécurité (NCSC) avait émis un avertissement en décembre 2022.

Une tendance à la hausse

Cette attaque n’est pas isolée. Elle s’inscrit dans une tendance plus large où les vulnérabilités des appareils edge, tels que les pare-feux, les serveurs VPN et les serveurs de messagerie, sont exploitées. Ces appareils, situés à la frontière des réseaux et souvent directement connectés à Internet, échappent généralement à la surveillance des solutions de détection et de réponse aux incidents sur les points de terminaison (EDR), rendant les attaques difficiles à détecter.

Perspective d’action : sécuriser les appareils edge

Face à cette menace, le MIVD, l’AIVD et le NCSC recommandent plusieurs mesures pour renforcer la sécurité des appareils edge :

  • Analyse des risques : évaluer régulièrement les risques associés à ces appareils, surtout lors de l’ajout de nouvelles fonctionnalités.
  • Restriction d’accès : limiter l’accès à Internet en désactivant les ports et fonctionnalités inutilisés et en évitant de rendre l’interface de gestion accessible depuis l’extérieur.
  • Surveillance des journaux : analyser régulièrement les journaux pour détecter toute activité suspecte, telle que des tentatives de connexion à des heures inhabituelles ou des modifications non autorisées de la configuration.
  • Mises à jour de sécurité : installer sans délai les dernières mises à jour fournies par les fabricants et appliquer les mesures de protection supplémentaires recommandées.

Un contexte géopolitique tendu

La découverte de ce malware s’inscrit dans un contexte de tensions géopolitiques, illustré par l’incident de l’année dernière où un logiciel espion chinois a été détecté dans un système informatique des forces armées néerlandaises. Bien que l’ambassade de Chine à La Haye rejette toute implication, le MIVD met en garde depuis plusieurs années contre les risques d’espionnage de la part de la Chine.

Qu’est-ce-qu’un appareil Edge ?

Un appareil edge, dans le contexte de l’informatique et des réseaux, fait référence à un dispositif situé à la « périphérie » (ou « edge » en anglais) du réseau, c’est-à-dire à l’extrémité du réseau proche de l’utilisateur final plutôt que dans un centre de données centralisé ou dans le cloud. Ces appareils jouent un rôle crucial dans le traitement et la collecte de données à proximité de la source des données, ce qui permet de réduire la latence, d’améliorer les performances et de réduire la charge sur le réseau central.

Les appareils edge peuvent inclure des routeurs, des commutateurs, des pare-feux, des serveurs de messagerie, des serveurs VPN, des caméras de surveillance, des appareils IoT (Internet des Objets), des capteurs, ainsi que des dispositifs de stockage et de traitement des données. En traitant les données localement ou à proximité de l’utilisateur, les appareils edge permettent des réponses plus rapides et des décisions en temps réel sans nécessiter de transmission de grandes quantités de données vers un emplacement central pour analyse.

Le concept d’edge computing est devenu particulièrement important avec l’essor des technologies IoT et des applications nécessitant une faible latence, comme la réalité augmentée, la réalité virtuelle, le streaming vidéo de haute qualité et les applications de véhicules autonomes. Dans ces scénarios, le traitement des données à la périphérie du réseau permet d’obtenir des performances supérieures, une meilleure efficacité énergétique et une sécurité améliorée en limitant la quantité de données sensibles transmises ou stockées en dehors du site local.

Banque, Cybersécurité

Des banques enregistrent de faux noms de domaine de la concurrence

Intéressante méthode que celle utilisée par plusieurs banques pour éduquer leurs employés aux fraudes électroniques : enregistrer de faux noms de domaine.

DataSecuritybreach.fr a constaté que la banque russe, Raiffeisenbank avait enregistré le nom de domaine domclk.ru en décembre 2023. Un détail intéressant car l’url exploite deux lettres de moins que l’adresse du service d’achat immobilier de la Sberbank « Domclick » (domclick.ru).

En novembre 2023, Sberbank a enregistré le domaine a1fastrah.ru, qui diffère de l’adresse de la société Alfastrakhovanie (alfastrah.ru) par un caractère : à la place de la lettre latine l, le chiffre 1 est utilisé. Une technique de modification d’adresse web que ZATAZ avait révélé, il y a deux ans, avec de fausses adresses Disney, Nike ou encore Air France et Assurance Maladie.

Raiffeisenbank a enregistré cette adresse à usage interne afin d’effectuer des tests de formation sur la sécurité de l’information pour les employés de la banque. Le domaine n’est pas destiné à être utilisé à d’autres fins, y compris commerciales. À quelles fins la Sberbank a-t-elle besoin d’une adresse similaire au domaine Alfastrakhovanie ? Personne ne sait, pour le moment !

L’idée n’est pas nouvelle, mais pour une fois qu’elle saute aux yeux, surtout signée par des banques. Selon des chiffres différents, proposés par moultes entreprises cyber, le risque phishing serait à hauteur de 60 à 80% des cyber attaques à l’encontre des entreprises. Il est vrai que le maillon le plus vulnérable du système de sécurité est l’humain. Et attention, le phishing peut utiliser un mail, un compte et un contenu officiel. ZATAZ a rencontré, dernièrement, des pirates qui s’invitaient dans les comptes électroniques de société pour modifier le contenu original des courriels. Ils remplaçaient soit le RIB, soit proposaient un lien vers une page d’hameçonnage. Le vrai compte mail devenant un cheval de Troie quasiment indétectable. L’adresse étant validée par les instances humaines et informatiques, comme Mailing black, Etc.

Banque, Bitcoin, Cybersécurité

L’Ouzbékistan pénalise les mineurs et les propriétaires de crypto-monnaies

En Ouzbékistan, la responsabilité pénale a été introduite pour le minage et la circulation illégale de crypto-monnaies.

Le président de la république d’Ouzbékistan, Shavkat Mirziyoyev, vient de signer une loi qui réprime l’exploitation de crypto-monnaies non autorisées. Dorénavant, pour être accusé d’un crime, les Ouzbeks devront d’abord commettre une infraction administrative similaire. Ainsi, la première fois qu’une acquisition, une vente ou un échange illégal de crypto-actifs se produira, la personne impliquée sera passible d’une détention administrative [prison] jusqu’à 15 jours ou d’une amende d’environ 750 €, avec confiscation de la devise elle-même. Les transactions impliquant des crypto-actifs anonymes entraîneront également des sanctions pour les fournisseurs de services, avec des amendes allant de 750 à 750 €.

Chasse aux fermes et mineurs de crypto

Des infractions répétées à ces deux points peuvent entraîner une peine de prison pour l’accusé. Cependant, les juges auront toujours le choix : une amende de 2 500 €, des travaux correctionnels d’une durée de deux à trois ans, une restriction de liberté d’un an ou une peine de prison de la même durée en cas de récidive. En cas d’une deuxième récidive, une peine de trois ans de prison pourra être prononcée. Enfin, un crime commis par un groupe de personnes pourrait entraîner une peine de trois à cinq ans de prison.

En ce qui concerne le minage, le Code administratif ouzbek prévoit désormais des amendes pour les accusés en fonction du montant (probablement la quantité de crypto-monnaie obtenue). Dans le pire des scénarios, une personne pourrait être condamnée à 15 jours de détention ou à une amende pouvant aller jusqu’à 2 500 €. Une récidive pourrait également entraîner une peine de prison d’un an (trois ans en cas de deuxième récidive), tandis que le minage clandestin pourrait entraîner une amende pouvant aller jusqu’à 7 500 € ou une peine de prison de deux ans.

Bitcoin, Cybersécurité, Justice

L’ONU désigne le stablecoin USDT comme principal outil de blanchiment d’argent en Asie

L’ONU pointe du doigt un « système bancaire parallèle » pour les criminels avec l’utilisation du stablecoin USDT Tether.

Les stablecoins émis par Tether, une société de cryptomonnaie, sont devenus un outil de choix pour les blanchisseurs d’argent et les fraudeurs opérant en Asie du Sud-Est, selon un rapport de l’Office des Nations Unies contre la drogue et le crime, cité par le Financial Times. Parmi ces stablecoins, le dollar USDT de Tether se détache comme le favori des criminels, devenant ainsi le troisième actif crypto en capitalisation, avec une valeur d’environ 95 milliards de dollars, derrière Bitcoin et Ethereum.

Le rapport met en lumière l’utilisation active du jeton Tether dans diverses formes de fraude, y compris les schémas de « pig butchering », où les criminels gagnent la confiance de leurs victimes sous prétexte d’une relation romantique pour les inciter à effectuer des transferts de fonds importants.

Ces dernières années, les forces de l’ordre et les agences de renseignement financier ont signalé une augmentation rapide de l’utilisation de schémas de blanchiment d’argent complexes et à grande vitesse, en particulier par des groupes spécialisés dans les transferts clandestins en jetons Tether, révèle le rapport.

Crypto-actifs

Les crypto-actifs ont également stimulé une pratique populaire parmi les groupes criminels organisés d’Asie du Sud-Est, qui utilisent des casinos en ligne illégaux pour blanchir des fonds illicites. Le rapport indique que les plateformes de jeux en ligne, en particulier celles opérant illégalement, sont devenues l’une des méthodes les plus populaires de blanchiment d’argent avec des cryptomonnaies, en mettant particulièrement l’accent sur l’utilisation de Tether.

Jeremy Douglas de l’Office des Nations Unies contre la drogue et le crime a souligné que les groupes criminels organisés ont réussi à créer un système bancaire parallèle en exploitant de nouvelles technologies. La prolifération des casinos en ligne non réglementés, combinée à l’utilisation de cryptomonnaies comme Tether, a renforcé l’écosystème criminel en Asie du Sud-Est.

Le rapport de l’ONU mentionne que ces dernières années, les autorités ont réussi à démanteler plusieurs réseaux de blanchiment d’argent impliqués dans le transfert de fonds illégaux en jetons Tether. Par exemple, en août dernier, les autorités de Singapour ont saisi 737 millions de dollars en espèces et en cryptomonnaies dans le cadre d’une opération de démantèlement. En novembre dernier, Tether a également gelé ses jetons d’une valeur de 225 millions de dollars, suite à une enquête conjointe avec les autorités américaines et la bourse de cryptomonnaies OKX. Ces actifs étaient liés à un syndicat impliqué dans la fraude et la traite des êtres humains en Asie du Sud-Est.

Tether, qu’est-ce que c’est ?

Les stablecoins de Tether, souvent simplement appelés « Tether » ou « USDT » (pour le jeton lié au dollar américain), sont une forme de cryptomonnaie conçue pour maintenir une valeur stable en étant adossée à des réserves d’actifs réels, tels que des devises fiduciaires (comme le dollar américain), de l’or ou d’autres actifs. Ces stablecoins sont émis par une société appelée Tether Limited.

La principale caractéristique des stablecoins, comme le Tether, est de fournir une stabilité de valeur par rapport aux cryptomonnaies plus volatiles telles que le Bitcoin ou l’Ethereum. Par exemple, un jeton Tether lié au dollar américain devrait toujours valoir environ 1 dollar américain.

Le fonctionnement des stablecoins Tether repose sur le principe de la garantie. La société Tether Limited prétend détenir une réserve équivalente de devises fiduciaires (par exemple, des dollars américains) dans des comptes bancaires pour chaque unité de stablecoin Tether en circulation. Cette réserve est censée garantir que chaque jeton Tether peut être échangé contre la devise fiduciaire correspondante à tout moment, ce qui maintient sa stabilité de valeur.

Les stablecoins Tether sont utilisés dans le monde entier pour diverses transactions et activités liées à la cryptomonnaie en raison de leur stabilité. Ils sont notamment utilisés comme une forme de monnaie stable dans le monde des cryptomonnaies, permettant aux investisseurs et aux traders de passer rapidement d’une position volatile à une position stable en utilisant des jetons Tether comme une sorte de refuge.

Cependant, il est important de noter que les stablecoins Tether ont fait l’objet de controverses et de préoccupations concernant leur transparence et la véritable ampleur des réserves sous-jacentes. Certains ont remis en question la capacité de Tether Limited à maintenir ces réserves à 100 % et à fournir une preuve adéquate de leurs actifs sous-jacents. Ces inquiétudes ont suscité des enquêtes réglementaires et des débats au sein de la communauté des cryptomonnaies.

Cybersécurité, Entreprise

TEMU renforce la sécurité de sa boutique

Temu renforce ses mesures de cybersécurité avec une nouvelle initiative de Primes Aux Bogues [bug bounty] et la mise en œuvre de l’authentification à deux facteurs (2FA).

Temu, l’application de shopping la plus téléchargée au monde, a introduit des mesures de sécurité améliorées dans le cadre de son plan visant à renforcer la sécurité de son site Web et de ses applications mobiles. L’entreprise a introduit l’authentification à deux facteurs (2FA) et a lancé un programme de primes aux bogues sur la plateforme américaine Hacker One, l’une des plateformes de cybersécurité les plus renommées.

Les plateformes de commerce électronique populaires deviennent souvent la cible d’escrocs et de fraudeurs exploitant la confiance des utilisateurs dans des marques reconnues. Pour lutter contre cela, Temu a introduit un certain nombre de mesures de sécurité améliorées qui promettent de garantir une expérience d’achat plus sûre et plus agréable pour les utilisateurs.

Temu a rejoint d’autres grandes plateformes de commerce électronique et passerelles de paiement pour mettre en œuvre le 2FA, qui est de plus en plus considéré comme un élément nécessaire d’une cybersécurité solide. Il ajoute une couche supplémentaire de sécurité au-delà du simple nom d’utilisateur et du mot de passe. Il est ainsi beaucoup plus difficile pour les utilisateurs non autorisés d’accéder au compte d’un utilisateur, même s’ils ont compromis le mot de passe, réduisant ainsi le risque de pertes financières.

En novembre 2023, Temu s’est également associé à l’Américain HackerOne pour proposer un programme de primes aux bogues, rejoignant ainsi des entreprises telles qu’Amazon, Google, Tesla et Meta.

Grâce à ce programme, les pirates éthiques pourront se connecter à Temu et signaler les vulnérabilités de l’application afin de s’assurer qu’elles sont comblées et que l’application reste à l’abri des pirates et des fraudeurs. Le déploiement du 2FA et le programme de primes aux bogues font suite aux poursuites judiciaires de Temu contre les sites web frauduleux qui se font passer pour Temu afin de tromper les utilisateurs, et à l’appel de Temu aux utilisateurs pour qu’ils signalent les fraudes exploitant la marque Temu. En début d’année, Temu a obtenu des injonctions contre les sites d’hameçonnage de la part des tribunaux américains, une victoire dans son action juridique pour obliger les acteurs malveillants à rendre des comptes.

Temu est entré sur le marché européen au début de l’année 2023 et est depuis devenu l’une des applications les plus téléchargées dans la région.