Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Cybersécurité, Securite informatique

Review Checker, l’application qui detecte les faux commentaires

Une version bêta d’une extension baptisée Review Checker a été publiée pour le navigateur Mozilla Firefox. Elle détecte les fausses critiques de produits.

La fonction « Review Checker » examine tous les avis sur la page, raye ceux que les algorithmes déterminent comme étant faux en fonction de la formulation typique et de la similitude avec d’autres commentaires, puis calcule la note ajustée du produit.

L’extension est actuellement testée auprès d’une petite partie d’utilisateurs américains sur trois plateformes d’achat : Amazon, BestBuy et Walmart. La version 119 de Firefox introduit Review Checker. La sortie officielle devrait avoir lieu en novembre 2023 , mais il n’est pas clair si à l’avenir la fonction prendra en charge des marchés nationaux ou ne se contentera d’entreprises partenaires.

Propulsée par Fakespot de Mozilla, cette fonctionnalité évalue la qualité des avis sur les produits en vous aidant à savoir si les avis proviennent probablement de vrais clients ou s’ils proviennent d’évaluateurs biaisés ou rémunérés. Review Checker utilise la technologie d’IA pour analyser les avis sur Amazon, Best Buy et Walmart.

Il attribue aux avis de chaque produit une note alphabétique, allant de A à F, indiquant leur fiabilité.

Bitcoin, Cybersécurité

Un professeur en cybersécurité se fait pirater

Un enseignant, spécialiste de la cybersécurité, se fait pirater 40 000€ via des appels téléphoniques !

Nous sommes dans la ville de Kemerovo, une ville industrielle de la fédération de Russie. Plusieurs écoles et université et des formations cybersécurité comme un peu partout dans le monde. Un professeur de cybersécurité a démontré que le « tout technique » était une grave erreur.

L’homme a versé, à la suite de plusieurs appels téléphoniques malveillants, pas moins de 40 000€ à des pirates.

Le schéma est pourtant très classique. L’enseignant a été appelé par des « agents des forces de l’ordre« . Les policiers lui ont expliqué que des pirates vendaient les données personnelles des enseignants dans le darkweb. Quelques heures aprés l’appel des fausses autorités, un « employé de banque » s’en est mêlé.

Il va expliquer qu’il fallait réduire au plus vite les possibilités des pirates de voler de l’argent. Ici aussi, un profil basic d’attaque, de social engineering : il fallait transférer tous les fonds de l’enseignant sur un « compte sécurisé« . Et devinez quoi ?

Le malheureux professeur a cru à cette légende, a vendu sa voiture, a contracté 4 crédits et a effectué une vingtaine de transferts d’une valeur de 40 000€.

Allô, Allô, monsieur l’ordinateur !

Pendant ce temps, aux États-Unis, des escrocs attirent les cryptomonnaies pour le compte du FBI. Récemment, le Federal Bureau of Investigation a mis en garde les habitants d’El Paso contre des escrocs qui se font passer pour des responsables du FBI. Ils ont tenté de convaincre les victimes de transférer des crypto-monnaies. Il convient de noter que le processus de traitement mis en place par les voleurs est divisé en plusieurs étapes afin de convaincre la victime de l’authenticité des informations prétendument fournies par le FBI.

Premièrement, les escrocs « réchauffent » une victime potentielle en lui envoyant une notification officielle au nom du bureau local du FBI. Dans le même temps, le faux document est d’assez bonne qualité : il est créé sur la base d’un formulaire officiel, porte le logo du FBI et la signature d’un agent spécial à El Paso. Une méthode utilisée par de nombreux pirates que le blog ZATAZ a infiltré, dans l’opération Border Collie, que vous pouvez découvrir dans cet article.

La fausse lettre du FBI précise qu’une enquête est en cours concernant des fuites de données personnelles ou des cyberattaques de pirates étrangers. L’objectif principal est de convaincre la victime que l’enquête est réelle. Après un certain temps, les escrocs contactent la victime potentielle par téléphone, se faisant passer pour des employés du FBI, et recommandent de transférer temporairement leurs actifs en crypto-monnaie vers un « compte spécial sécurisé du gouvernement américain ».

Chiffrement, cryptage, Cybersécurité, Hacking

Le lecteur flash le plus sécurisé au monde piraté

Des hackers ont réussi à pirater le lecteur flash le plus sécurisé au monde, l’IronKey S200.

IronKey S200, un lecteur flash qui se veut le plus sécurisé au monde. Il utilise un système de protection des données avancé et s’auto détruit irrévocablement si vous entrez 10 fois le mauvais mot de passe.

L’éditeur de Wired a proposé le piratage de l’appareil à la startup Unciphered, spécialisée dans la récupération de portefeuilles cryptographiques et de périphériques matériels. L’équipe a passé 8 mois à développer une méthode de piratage et a finalement réussi.

Après une expérience réussie, la startup s’est tournée vers Stefan Thomas, devenu célèbre pour avoir oublié le mot de passe de son IronKey, où 7002 BTC sont stockés depuis 12 ans. Stefan a refusé l’offre de piratage, affirmant que deux équipes de hackers travaillaient sur le problème depuis longtemps.

Aujourd’hui, la valeur des bitcoins dans le portefeuille de Stefan est d’environ 235 millions de dollars. Il ne lui reste plus que 2 tentatives de mot de passe sur les 10 alloués par l’IronKey.

Le Trésor américain envisage de déclarer les cryptomixers centres de blanchiment d’argent et appelle à des mesures restrictives , affirmant que leurs principaux clients sont des terroristes.

Banque, Bitcoin, Cybersécurité

Le Royaume-Uni instaure une législation permettant la saisie rapide des biens en cryptomonnaie

La loi récemment adoptée sur la transparence des entreprises et la criminalité économique autorise les forces de police à immobiliser et à saisir presque immédiatement les actifs en cryptomonnaie.

La nouvelle loi britannique contre le blanchiment d’argent et la criminalité économique vient de changer la donne pour un grand nombre de malveillants. La nouvelle législation sur la criminalité économique et la transparence des entreprises permet aux forces de l’ordre de geler et de confisquer rapidement les actifs en cryptomonnaie. La loi sera mise en application très prochainement.

Cette législation comprend également des mesures autorisant la saisie d’autres types d’actifs et de propriétés tangibles, facilitant ainsi la localisation des cryptomonnaies liées à un individu suspecté de criminalité. Comme pour la France, avec des spécialistes des cryptomonnaies au sein de la Gendarmerie Nationale ou la Police Nationale, les forces de l’ordre britanniques ont maintenant intégré des experts en criminalité liée aux cryptomonnaies à leur équipe permanente.

Pendant ce temps, l’un des plus grands robots « Telegram » pour le trading de crypto-monnaie, baptisé « Maestro » a été piraté, 280 ETH [etherum] ont été volés malgré le fait que l’équipe a répondu assez rapidement à l’attaque.

Dans les 30 minutes suivant la découverte du piratage, les malveillants ont réussi à voler plus de 500 000 $. L’équipe « Maestro » a annoncé son intention de restituer les fonds à tous les utilisateurs concernés dans un avenir très proche .

Cybersécurité, IOT

L’IA, l’arme ultime pour l’armée américaine

L’ancien chef du Comité interarmées des chefs d’état-major unis des États-Unis, le général Mark Milley, affirme que l’intelligence artificielle (IA) deviendra un élément clé pour que l’armée américaine.

L’Intelligence Artificielle, la nouvelle arme indispensable de l’armée américaine. Le général à la retraite Mark Milley estime que l’intelligence artificielle sera un élément essentiel pour permettre à l’armée américaine de garder une longueur d’avance sur ses adversaires potentiels. « Notre armée va devoir changer si nous voulons continuer à être supérieurs à toutes les autres armées sur Terre » a déclaré l’ancien président des chefs d’état-major interarmées lors d’un entretien avec l’émission « 60 Minutes ».

Selon Milley, les guerres futures seront radicalement différentes avec le développement apparemment rapide de la technologie de l’IA. « Au cœur de toutes ces capacités se trouve la capacité de l’IA à accélérer la compréhension de circonstances difficiles et à réagir rapidement avec des capacités de frappe de précision, exprime Christopher Alexander, ancien opérateur des opérations de guerre de l’information de l’armée. Cela sera transféré des processus du personnel jusqu’au champ de bataille.« 

Bref, Joshua et Skynet risquent de pointer le bout de leurs nez bien plus rapidement que l’a prédit le cinéma !

Cybersécurité, DDoS

HTTP/2 Rapid Reset

Une nouvelle vulnérabilité, nommée HTTP/2 Rapid Reset, a été découverte, mettant en scène des attaques DDoS jamais vues auparavant. Une nouvelle menace à l’origine de la plus volumineuse attaque de l’histoire d’Internet !

Cloudflare, Inc. spécialiste dans le domaine de la connectivité cloud, révèle au public avoir contribué à la divulgation d’une nouvelle vulnérabilité zero-day, baptisée « HTTP/2 Rapid Reset ». Cette vulnérabilité mondiale confère aux acteurs malveillants la possibilité de générer des attaques d’un volume encore jamais observé sur Internet.

Afin d’aider à atténuer les effets de cette nouvelle menace DDoS sur l’ensemble de l’écosystème Internet, le spécialiste a spécialement développé une technologie pour bloquer automatiquement n’importe quelle attaque basée sur Rapid Reset pour ses clients.

La société américaine a tout d’abord atténué ces risques avec succès et mis un terme aux abus potentiels pour tous ses clients, tout en donnant le coup d’envoi d’une procédure de divulgation responsable avec deux autres importants fournisseurs d’infrastructure. Elle a ensuite étendu les mesures d’atténuation de cette vulnérabilité à un large pourcentage d’Internet, avant de révéler l’existence de cette dernière au grand public.

« Si cette attaque DDoS et cette vulnérabilité restent au-dessus du lot à l’heure actuelle, les acteurs malveillants ne manqueront pas d’inventer d’autres tactiques et techniques zero-day évolutives, afin de perpétrer de nouvelles attaques. La constance dans la préparation et la capacité d’intervention face à ces menaces réside au cœur de notre mission visant à bâtir un meilleur Internet. » indique Matthew Prince, CEO de Cloudflare.

Anatomie de la vulnérabilité HTTP/2 Rapid Reset

Fin août 2023, il a découvert une vulnérabilité zero-day, développée par un acteur malveillant inconnu. La vulnérabilité exploite le protocole HTTP/2 standard, un composant fondamental du fonctionnement d’Internet et de la plupart des sites web. Le protocole HTTP/2 est responsable de la manière dont les navigateurs interagissent avec un site web, en leur permettant de « requérir » l’affichage rapide de certains éléments (comme le texte et les images) et tous à la fois, peu importe la complexité du site. Cette nouvelle attaque fonctionne en effectuant des centaines de milliers de « requêtes » et en les annulant immédiatement. En automatisant ce processus de « requête, annulation, requête, annulation » à grande échelle, les acteurs malveillants parviennent à submerger les sites web et peuvent entraîner la mise hors ligne de n’importe quel équipement utilisant le HTTP/2.

La vulnérabilité « Rapid Reset » confère aux acteurs malveillants un tout nouveau moyen, particulièrement puissant, d’attaquer leurs victimes sur Internet à un niveau d’envergure supérieur à tout ce qu’Internet a connu jusqu’ici. Le protocole HTTP/2 constitue la base d’environ 60 % de l’ensemble des applications web. Il détermine la vitesse et la qualité avec laquelle les utilisateurs voient et interagissent avec les sites web.

D’après les données, plusieurs attaques tirant parti de Rapid Reset ont été estimées à une ampleur près de trois fois supérieure à celle de l’attaque DDoS la plus volumineuse de l’histoire d’Internet. Au point culminant de cette campagne d’attaques DDoS, il a été enregistré et traité plus de 201 millions de requêtes par seconde (Mr/s), tout en se chargeant de l’atténuation des milliers d’attaques supplémentaires qui ont suivi.

Déjouer l’attaque en compagnie d’autres pairs du secteur

Les acteurs malveillants utilisant des méthodes d’attaques susceptibles de pulvériser tous les records ont énormément de mal à tester et à comprendre leur efficacité, du fait de leur absence d’infrastructure capable d’absorber les attaques. C’est pourquoi ils les testent souvent contre des fournisseurs, afin de mieux comprendre les performances futures de leurs attaques.

« Bien que les attaques de grande ampleur (comme celles qui tirent parti de vulnérabilités telles que Rapid Reset) puissent se révéler complexes et difficiles à atténuer, elles nous fournissent une visibilité sans précédent sur les nouvelles techniques employées par les acteurs malveillants, et ce à un stade précoce de leur processus de développement. S’il n’existe pas de « procédure parfaite » en matière de révélation de vulnérabilité« .

La NSA et la CISA pointent les principales erreurs de configuration en matière de cyber sécurité 

L’Agence de Sécurité Nationale (NSA) et l’Agence de Cybersécurité et de Sécurité des Infrastructures (CISA) ont révélé les dix erreurs de configuration les plus courantes en matière de cybersécurité, découvertes par leurs équipes dans les réseaux des grandes organisations.

L’avis détaille également les tactiques, techniques et procédures (TTP) utilisées par les acteurs de la menace pour exploiter avec succès ces mauvaises configurations avec différents objectifs, notamment l’accès, le déplacement latéral et le ciblage d’informations ou de systèmes sensibles.

Les dix configurations de réseau les plus courantes découvertes lors des évaluations des équipes et par les équipes de chasse et de réponse aux incidents de la NSA et de la CISA sont les suivantes :

  • Configuration par défaut de logiciels et d’applications;
  • Séparation inadéquate des privilèges de l’utilisateur et de l’administrateur;
  • Surveillance insuffisante du réseau interne;
  • Absence de segmentation du réseau,
  • Mauvaise gestion des correctifs;
  • Contournement des contrôles d’accès au système;
  • Méthodes d’authentification multifactorielle (MFA) faibles ou mal configurées;
  • Listes de contrôle d’accès (ACL) insuffisantes sur les partages et les services du réseau;
  • Mauvaise hygiène des informations d’identification ;
  • Exécution de code sans restriction.
backdoor, Cybersécurité, IOT, Téléphonie

Temu, Epik, Etc. ces applications qui aspirent vos données personnelles

Vous avez toujours rêvé de vous voir figurer dans un annuaire à l’américaine des années 90, avec votre portrait aux côtés de Backstreet Boys et Spice Girls ? Vous adorez acheter des produits chinois ? Les applications Epik et TEMU cachent des collecteurs de données que vous ne pourrez plus maitriser !

Epik, une application d’intelligence, une « IA » qui vous offre la possibilité de donner à votre photo une touche rétro des années 90. Derrière cette « pseudo » expérience nostalgique, des questions juridiques et éthiques se posent. À l’instar d’applications telles que Faceapp, qui permet de visualiser son visage vieilli, ou des filtres Snapchat de transformation masculine/féminine, l’application EPIK – AI Photo Editor, une filiale de la société sud-coréenne Snow Corporation, propose de créer une soixantaine d’images inspirées des années 1990 à partir de 8 à 12 de vos photos personnelles, incluant des tenues et coiffures rétro.

Les résultats de cette application semblent séduire un grand nombre d’utilisateurs, ce qui lui a valu une place parmi les applications les plus populaires sur l’App Store d’Apple, dans la catégorie Photos et vidéos. Sur le Play Store de Google, elle a déjà été téléchargée plus de 50 millions de fois. Un certain nombre de Youtubeur et « vedettes » ont diffusé des posts et autres vidéos vantant l’outil. A se demander, d’ailleurs, si nous n’avons pas là de la promotion cachée, ou du simple « p*te à clic » mettant en danger les données des viewers ainsi attirés.

Soyons clairs, les préoccupations liées à la sécurité et à la confidentialité des données via Epik doivent se poser. Pour générer ces images, l’application utilise la technologie de reconnaissance faciale, collectant ainsi des données biométriques et d’autres informations sensibles. La politique de confidentialité de l’application fournit très peu d’informations et de garanties concernant la protection des données personnelles. Autant dire que le RGPD, alors qu’ils doivent le suivre dans la mesure ou l’application est utilisée par des Européens, n’est pas vraiment cité dans le mode d’emploi. L’application a été développée en Corée du Sud, les lois encadrant les données biométriques y sont moins contraignantes. Il suffit d’ailleurs de lire ce mode d’emploi pour découvrir que l’application collecte pratiquement toutes les données disponibles, y compris des informations sur les autres photos stockées sur votre téléphone.

Bref, à votre de fournir votre visage au diable, le diable n’aura plus besoin de vous pour vous damner !

Application TEMU : logiciel espion possible

En avril 2023, l’application de commerce électronique d’origine chinoise [siège social aux USA], TEMU [concurrent de Wish, AliExpress et d’Amazon], a fait son entrée au Canada, puis en France et a rapidement gagné en popularité. Une société qui a déversé des millions de dollars en publicités sur le sol Américain [lors du Super bowl, entre autre].

Cependant, selon une enquête menée par la société américaine Grizzly Research, qui analyse les plus grandes sociétés cotées du monde, il pourrait y avoir des raisons de s’inquiéter quant à son utilisation. En seulement quelques semaines, TEMU est devenue l’une des applications les plus téléchargées en France, avec une tendance similaire observée aux États-Unis suite à une publicité diffusée lors du Super Bowl. Contrairement à ses concurrents, chinois ou américains, TEMU a réussi à attirer un public inattendu, en particulier parmi les personnes de plus de 40 ans, dont la part du chiffre d’affaires est 65 % supérieure à la moyenne des autres vendeurs Cependant, Grizzly Research a soulevé des préoccupations sérieuses concernant l’application. Selon leurs analyses, TEMU semble comporter des fonctions cachées qui permettent une exfiltration massive de données personnelles des utilisateurs, sans leur consentement explicite.

L’application a un accès pratiquement illimité à toutes les données stockées sur les smartphones des utilisateurs. Comme j’ai pu l’expliquer sur l’antenne de BFM TV ou dans le journal Le Point, les données peuvent, ensuite, être exploitées à de multiples fins [espionnage, marketing agressif, Etc.]. La réputation de TEMU et son succès commercial ne doivent pas occulter les inquiétudes quant à la sécurité et à la confidentialité des données. Il est crucial que les utilisateurs restent vigilants et conscients des risques potentiels associés à l’utilisation de cette application, en particulier en ce qui concerne la protection de leurs informations personnelles.

Bref, deux cas d’applications qui doivent inquiéter. Les avantages commerciaux, le côté « FUN » et la facilité d’utilisation ne doivent pas primer sur la sécurité en ligne.

backdoor, Cybersécurité

Loi chinoise sur la cybersécurité : le ver est dans le Pitaya ?

Depuis 2021, la Chine a mis en place une nouvelle loi obligeant toutes les entreprises technologiques opérant sur son territoire à signaler les vulnérabilités de leurs systèmes aux autorités gouvernementales. Cette initiative, censée renforcer la sécurité nationale, soulève des inquiétudes quant à la manière dont les données sont gérées et utilisées.

Dans un récent rapport publié par l’Atlantic Council, il est révélé que cette loi, en apparence bien intentionnée, présente des implications importantes pour la sécurité en ligne et les relations internationales. La Chine avait précédemment utilisé la CNVD (National Vulnerability Database), une base de données nationale destinée à signaler les vulnérabilités des logiciels, pour protéger le pays contre les cyberattaques. Cependant, la nouvelle loi va plus loin en imposant un délai strict de 48 heures pour signaler toute vulnérabilité découverte.

Conformément à cette loi, les entreprises technologiques doivent signaler les failles à travers une plate-forme en ligne du ministère chinois de l’industrie et de la technologie de l’information. De là, les vulnérabilités sont ajoutées à la Cybersecurity Threat Intelligence Sharing Platform, une base de données qui, selon le rapport de l’Atlantic Council, pourrait être utilisée à des fins potentiellement malveillantes.

L’Atlantic Council met en lumière le fait que les données de cette plate-forme sont également partagées avec d’autres instances gouvernementales en Chine, certaines étant associées à des campagnes d’espionnage et de cyberattaques passées. Cette situation suscite des préoccupations quant à l’utilisation des vulnérabilités signalées, suggérant que certaines d’entre elles pourraient être exploitées pour des activités de piratage.

En plus de signaler les vulnérabilités, la loi exige également que les entreprises enregistrent des informations détaillées sur les produits contenant des vulnérabilités, telles que le nom, le modèle et la version. Les chercheurs de l’Atlantic Council ont constaté que le portail en ligne utilisé pour signaler les vulnérabilités comporte des champs de remplissage obligatoires, obligeant ainsi les entreprises à fournir des détails sur les erreurs du code source, voire à ajouter des vidéos démontrant la nature du bug et son emplacement.

Selon Dakota Cary, chercheuse au Global China Hub de l’Atlantic Council, cette nouvelle loi a suscité des préoccupations dès son annonce. Elle souligne qu’il existe un chevauchement notable entre les individus responsables de ces rapports et ceux qui mènent des opérations de piratage offensives.

Cependant, l’Atlantic Council admet que toutes les entreprises technologiques ne suivront pas nécessairement la loi chinoise de la même manière. Certaines entreprises pourraient ne pas être pleinement conscientes de ce que leurs responsables locaux transmettent aux autorités gouvernementales. L’impact de ce rapport sur les relations internationales entre la Chine et l’Occident reste à déterminer, mais il pourrait potentiellement influencer les décisions politiques futures concernant la technologie chinoise et les cyberattaques.

Cette nouvelle loi chinoise sur la cybersécurité soulève des questions cruciales sur la protection des données, la sécurité en ligne et les relations internationales, et elle continuera à susciter un débat animé dans les années à venir. Dans la foulée, la justice américaine vient de se pencher sur une nouvelle puce produite par la société Huawei. Un processeur de 7 nanomètres.

Une puce intégrée dans le nouveau fleuron de la marque chinoise, le Huawei Mate 60 Pro et Pro +. « Coquine » la société Huawei a lancé son nouveau téléphone au moment de la visite de la secrétaire américaine au commerce, Gina Raimondo, en Chine. (AC)

Banque, Communiqué de presse, Cybersécurité

Fraud Detection Platform : le chasseur de fraude russe

L’écosystème numérique de MTS, l’un des plus important opérateur télécom russe, a annoncé sa transition vers sa propre plateforme de détection de fraude, baptisée « Fraud Detection Platform ».

Le russe MTS, Mobile TeleSystems, l’un des principaux opérateurs de télécommunications du pays a annoncé exploiter son propre outil de veille et de contrôle des fraudes pouvant passer par ses serveurs. Une plateforme de détection des fraudes baptisée Fraud Detection Platform.

Cette solution analyse le comportement des utilisateurs et détecte les anomalies. DataSecurityBreach.fr a repéré cette information via un communiqué de presse diffusé par la société.

« La mise en place de cette plateforme permettra à l’écosystème d’économiser environ 460 millions de roubles par an (4,3 millions d’euros). » Ce système anti-fraude analyse et organise les flux de données provenant de différents équipements et formats, les systématise et identifie des tendances. Fraud Detection Platform traite plus de 5 milliards de transactions par jour, prenant en moyenne moins de 50 millisecondes pour chaque transaction.

En cas de détection d’un comportement suspect de l’utilisateur, le système effectue une analyse et, si nécessaire, de bloquer rapidement les actions frauduleuses.

Les algorithmes de Fraud Detection Platform incluent une détection par apprentissage automatique (ML) basée sur plus de 250 paramètres calculés pour tous les abonnés actifs de MTS.

Cette analyse multifactorielle permet de détecter même les schémas de fraude les plus atypiques. « Auparavant, le système anti-fraude ne prenait en compte que 32 indicateurs pour chaque action sur le réseau, maintenant le nombre de paramètres est illimité », souligne le communiqué.

Fraud Detection Platform conserve les informations sur les opérations pendant une période suffisante pour effectuer une analyse rétrospective, ce suivi aide l’entreprise à développer de nouvelles hypothèses de détection de scénarios de fraude.

Cybersécurité

Des pirates indiens apprennent l’anglais via des vidéos YouTube

Des pirates indiens apprennent l’anglais américain grâce à des vidéos sur YouTube. Des pirates indiens, agissent la plupart du temps, de leur petite maison, dans la campagne.

En Inde, les activités d’un cartel de fraude spécialisé dans l’utilisation de mots de passe à usage unique ont été révélées. Cette enquête a été consacrée par la chaîne de télévision locale NDTV dans un reportage de 25 minutes intitulé « Inside The OTP Mafia: Nuh To New York » (Nuh étant une ville de l’État indien de l’Haryana, où le groupe transnational était basé).

Les criminels qui dirigent ce cartel ne sont pas des experts en technologie assis derrière de grands écrans d’ordinateurs à la pointe de la mode dans de grandes villes. Ces hommes et ces femmes ont abandonné l’école et travaillent sans quitter leurs cabanes situées dans les champs de Jamtara, Nuh, Mathura, Bharatpur et de nombreux autres villages.

L’activité du cartel a effacé les distances et les frontières au maximum : les habitants de Noida (dans l’État d’Uttar Pradesh, une agglomération de New Delhi) appellent tranquillement les habitants de New York, situés à des milliers de kilomètres d’eux. Les statistiques montrent qu’au cours de la dernière année, au moins 45 000 Américains ont été victimes de ces appels frauduleux.

Les escrocs utilisent des téléphones mobiles basiques, des centaines de cartes SIM et des comptes bancaires de « droppeurs » ruraux qui ne se doutent même pas de leur rôle dans ce schéma d’escroquerie mondiale. Je vous expliquais, il y a quelques jours, comment certains groupes pirates achètent des comptes bancaires existant de chômeurs pour faire transiter de l’argent sale.

« Certains habitants de villages de ce pays apprennent à parler comme des Américains en regardant des milliers de vidéos sur YouTube » a déclaré un haut responsable du FBI.

Les schémas de fraude OTP utilisent des milliers de cartes SIM. En avril 2023, la police de New Delhi a confisqué 22 000 cartes SIM à un seul groupe de pirates. Plusieurs hommes impliqués dans l’escroquerie, qui ont été arrêtés puis libérés sous caution, ont raconté qu’ils dépensaient l’argent volé pour s’amuser et mener une vie plus extravagante.

Cyber police en formation

Pendant ce temps, DataSecuritybreach.fr a repéré une information concernant la cyber police en Inde. Cinquante-sept nouvelles unités de cyberpolice seront créées pour lutter contre les fraudeurs. Dans l’État indien d’Uttar Pradesh (le plus grand État du pays avec une population de 200 millions d’habitants), cinquante-sept nouvelles divisions de la cyberpolice seront mises en place au cours des deux prochains mois. Le renforcement des forces de l’ordre dans cette région vise à réduire l’activité des cybercriminels, dont cette zone géographique occupe régulièrement l’une des premières places non seulement en Inde, mais dans le monde entier.

Le chef du gouvernement de l’État a proposé de réformer les unités de cyberpolice de manière que des policiers spécialisés dans ce type de crime soient présents dans chaque zone des 75 districts de la région. De plus, les bases de la sécurité informatiques seront enseignées dans les écoles locales, ce qui devrait sensibiliser les habitants d’Uttar Pradesh aux menaces cyber auxquelles ils peuvent être confrontés dans leur vie quotidienne.

Au Népal, à quelques encablures de l’Inde, pour lutter contre la cybercriminalité, un cyber bureau est en cours de création. L’Agence coréenne de coopération internationale (KOICA), en coordination avec la police népalaise, a posé la première pierre du Cyber bureau du pays. Selon le Kathmandu Post, le coût total de sa construction s’élève à huit millions de dollars. Ce montant comprend également le coût de l’équipement pour les enquêtes sur la cybercriminalité et le laboratoire d’expertise judiciaire numérique.

De plus, des formations sont prévues pour les membres de la police népalaise afin de les aider à lutter contre les crimes dans le domaine numérique. L’ensemble du projet devrait être terminé d’ici 2026. Le bâtiment du cyber bureau lui-même sera achevé plus rapidement, d’ici février 2025. Il convient de noter que l’aide du gouvernement coréen au Népal par le biais de la KOICA a régulièrement augmenté ces dernières années, car ce pays est considéré comme l’un des partenaires étrangers prioritaires de Séoul.

Cybersécurité, Fuite de données

Piratage et fuite de données pour Sourcegraph

Un incident de sécurité majeur a secoué récemment Sourcegraph, la plateforme de développement utilisée par d’importantes entreprises telles qu’Uber, Reddit, Dropbox, et bien d’autres. Un hacker inconnu a réussi à obtenir un accès administratif à Sourcegraph AI, provoquant un véritable remue-ménage.

Diego Comas, le responsable de la sécurité de Sourcegraph, a révélé que le pirate informatique avait exploité un incident malheureux survenu le 14 juillet de cette année, même si l’attaque elle-même a été exécutée plus tard, le 28 août. La faille découle de la diffusion accidentelle d’un jeton d’accès administrateur dans une pull request. En utilisant ce jeton, le hacker a pu élever son propre compte au rang d’administrateur, ouvrant ainsi les portes du système Sourcegraph.

L’attaquant, ou un collaborateur potentiel, a ensuite développé une application proxy ingénieuse, permettant aux utilisateurs d’accéder directement à l’API Sourcegraph et d’utiliser le puissant modèle de langage Large Language Model (LLM). L’idée était de pousser les utilisateurs à créer des comptes gratuits sur Sourcegraph.com, de générer des jetons d’accès, puis de solliciter l’attaquant pour augmenter leurs privilèges.

L’incident a été repéré rapidement, dès le jour de l’attaque, grâce à une augmentation soudaine de l’utilisation de l’API. L’attrait d’un accès gratuit à l’API Sourcegraph a attiré de nombreuses personnes, conduisant à une croissance exponentielle des utilisateurs de l’application proxy.

Diego Comas explique : « L’application et les instructions d’utilisation se sont rapidement répandues sur Internet, collectant environ 2 millions de vues. Au fur et à mesure que de plus en plus d’utilisateurs découvraient l’application proxy, ils créaient des comptes gratuits sur Sourcegraph.com, ajoutaient leurs jetons d’accès et accédaient illégalement à l’API Sourcegraph. »

Il a également été révélé que, pendant l’attaque, le pirate informatique a eu accès à certaines informations client de Sourcegraph, telles que leurs clés de licence, noms et adresses e-mail (pour les utilisateurs de la version gratuite, uniquement les adresses e-mail).

Cependant, il est crucial de noter que cette attaque n’a pas exposé de données sensibles des clients, comme des informations personnelles, des mots de passe ou des noms d’utilisateur. Sourcegraph a affirmé que ces données étaient « isolées » dans des environnements sécurisés.

Dès la découverte de l’attaque, l’équipe de Sourcegraph a pris des mesures immédiates pour contenir la menace. Ils ont désactivé le compte de l’attaquant, temporairement restreint l’utilisation de l’API pour les utilisateurs de la version gratuite, et modifié les clés de licence potentiellement compromises lors de l’incident.

APT, Chiffrement, Cybersécurité

Le ransomware Cuba déploie un nouveau logiciel malveillant

Découvertes concernant le groupe de ransomware connu sous le nom de Cuba : le groupe a récemment déployé des logiciels malveillants qui ont échappé à la détection avancée, et ciblé des organisations partout dans le monde, compromettant ainsi des entreprises œuvrant dans divers secteurs d’activité.

En décembre 2022, des spécialistes  de la cybersécurité détectaient un incident suspect sur le serveur d’un de ses clients, avec la découverte de trois fichiers douteux. Ces fichiers ont déclenché une séquence de tâches qui ont conduit au chargement de la bibliothèque komar65, aussi appelée BUGHATCH.

BUGHATCH est une porte dérobée sophistiquée qui se déploie dans la mémoire du processus. Le programme exécute un bloc de shellcode intégré dans l’espace mémoire qui lui est alloué à l’aide de l’API Windows, qui comprend diverses fonctions. Il se connecte ensuite à un serveur de commande et de contrôle (C2) en attente d’autres instructions. Il peut recevoir des commandes pour télécharger des logiciels tels que Cobalt Strike Beacon et Metasploit. L’utilisation de Veeamp dans l’attaque suggère fortement l’implication de Cuba dans le déploiement de cette attaque.

Un moustique dans le serveur

Le fichier PDB fait notamment référence au dossier « komar », un mot russe signifiant « moustique », ce qui indique la présence potentielle de membres russophones au sein du groupe. En menant une analyse plus poussée, des experts ont découvert d’autres modules distribués par Cuba, qui améliorent les fonctionnalités du logiciel malveillant. L’un de ces modules est chargé de collecter des informations sur le système, qui sont ensuite envoyées à un serveur via des requêtes HTTP POST.

Poursuivant son enquête, les chercheurs ont identifié de nouveaux échantillons de logiciels malveillants attribués au groupe Cuba sur VirusTotal. Certains de ces échantillons étaient passés entre les mailles de la détection avancée fournie par d’autres fournisseurs de sécurité. Ces échantillons représentent de nouvelles itérations du logiciel malveillant BURNTCIGAR, exploitant des données cryptées pour échapper à la détection antivirus.

« Les gangs de ransomware comme Cuba évoluent rapidement, tout en affinant leurs tactiques, il est donc essentiel de rester à l’avant-garde pour contrer efficacement les attaques potentielles. Face à l’évolution constante du paysage des cybermenaces, la connaissance est l’ultime défense contre les groupes cybercriminels émergents« , a déclaré Kaspersky.

Cuba est une souche de ransomware à fichier unique, difficile à détecter, car elle fonctionne sans bibliothèques additionnelles. Ce groupe russophone est connu pour sa victimologie étendue, et cible des secteurs tels que la vente au détail, la finance, la logistique, les agences gouvernementales et la fabrication en Amérique du Nord, en Europe, en Océanie et en Asie. Les agents malveillants œuvrant au sein de Cuba utilisent un mélange d’outils publics et propriétaires, mettent régulièrement à jour leur boîte à outils et utilisent des tactiques telles que BYOVD (Bring Your Own Vulnerable Driver).

L’une des caractéristiques de leur opération consiste à modifier les dates et les heures des fichiers compilés afin d’induire les enquêteurs en erreur. Par exemple, certains échantillons trouvés en 2020 avaient une date de compilation du 4 juin 2020, alors que les horodatages de versions plus récentes étaient affichés comme étant datées du 19 juin 1992. Leur approche unique consiste non seulement à crypter les données, mais aussi à adapter les attaques pour extraire des informations sensibles, telles que des documents financiers, des relevés bancaires, des comptes d’entreprise et du code source. Les entreprises de développement de logiciels sont particulièrement exposées. Bien que Cuba soit sous les feux des projecteurs depuis un certain temps maintenant, ce groupe reste dynamique et affine constamment ses techniques.

Banque, Cybersécurité

L’augmentation de la fraude bancaire électronique au Nigeria : Plus de 11 millions d’euros volés en 2023

Le Nigeria est aux prises avec une épidémie persistante de fraude bancaire électronique qui sévit dans le pays depuis plusieurs années. Selon un récent rapport, les banques nigérianes ont été victimes de vols totalisant environ 11 millions d’euros au cours des huit premiers mois de 2023.

Ce fléau de la fraude électronique a été alimenté par des activités frauduleuses liées aux applications mobiles et aux sites web de sociétés de paris sportifs. Il est intéressant de noter que plus de la moitié de ces pertes massives ont été causées par ce type de fraudes, indiquent les représentants du Système nigérian de compensation interbancaire (NIBBS). Une autre méthode employée par les escrocs consiste à utiliser des terminaux de point de vente (POS) pour mener à bien leurs actes criminels.

Les autorités nigérianes ont pris des mesures strictes en faveur des paiements électroniques sans espèces, ce qui aurait pu influencer directement la recrudescence de ces fraudes. Les experts qualifient ces deux méthodes de « trous noirs » en raison de la difficulté à récupérer les fonds détournés des banques.

Bien que le montant total de l’argent perdu par le système bancaire continue d’augmenter depuis cinq ans, le nombre d’opérations frauduleuses diminue trimestre après trimestre. Cela suggère que les cybercriminels nigérians ont opté pour des fraudes plus importantes et plus lucratives, augmentant ainsi considérablement leurs revenus. (Legit)

Android, Cybersécurité, Sécurité, Téléphonie

Prince au persia hacker

L’auteur des chevaux de Troie Android CypherRAT et CraxsRAT s’est révélé être un pirate syrien nommé EVLF.

Selon un rapport publié récemment par Cyfirma, CypherRAT et CraxsRAT sont des chevaux de Troie conçus pour attaquer les utilisateurs Android, permettant à l’opérateur d’accéder à distance à l’appareil mobile de la victime. Des logiciels malveillants permettant à l’attaquant de contrôler la caméra du smartphone, de suivre la localisation de l’utilisateur et d’écouter à l’aide du microphone.

L’auteur de CypherRAT et CraxsRAT propose ces malwares à d’autres cybercriminels selon le modèle « malware-as-a-service » (MaaS). Environ une centaine de malfaiteurs ont acquis une licence à vie pour utiliser ces chevaux de Troie au cours des trois dernières années.

Le pirate syrien EVLF, suspecté d’être le créateur de ces chevaux de Troie, gère une boutique en ligne où les deux malwares sont disponibles depuis septembre 2022.

CraxsRAT, par exemple, est conçu pour que l’opérateur puisse contrôler l’appareil mobile infecté depuis un ordinateur Windows. De plus, l’auteur continue d’améliorer le cheval de Troie en fonction des demandes des clients. Des options permettent de personnaliser et d’obscurcir [cacher] la charge utile, à choisir l’icône, le nom de l’application et les fonctionnalités. Il est même possible de définir des autorisations individuelles que le malware demandera au système d’exploitation. (Cyfirma)

Cybersécurité, Entreprise

Grande braderie chez les pirates d’accés aux entreprises

Ventes massives d’accès à des entreprises par des pirates informatiques proposant leurs infiltrations entre 100 et 150 000 euros.

Sur un forum Russe particulièrement connu dans la communauté des malveillants numériques, les ventes d’accès à des entreprises Américaines, Britanniques, Australiennes, Etc. se sont accélérés ces derniéres semaines. En cause ? Le besoin de liquidité par les pirates, la hausse des failles et des fuites orchestrées grâce au social engineering, le phishing en tête.

Sur une centaine de « messages » publicitaires mis en ligne dans ce forum, ces commerçants pas comme les autres proposent l’accès à une centaine d’entreprises d’une vingtaine de secteurs différents. Parmi ces secteurs, on retrouve la défense, les télécommunications, la santé, les médias et les services financiers, allant de la banque, en passant par des cabinets de comptables ou d’assurances.

Le blog ZATAZ, une référence en la matière d’actualité liée à la lutte contre cyber criminalité, expliquait, il y a peu, comment un pirate informatique commercialisait, pour 130 000€ l’accès à une entreprise japonaise spécialisée dans le high tech santé.

Un pirate commercialise l’accès à un groupe d’agences immobilières américaines. Une vente aux enchères.

Accéder à une radio pour diffuser des informations malveillantes

À titre d’exemple, acheter l’accès à un média peut permettre à un malveillant politique, mais il peut aussi s’agir de blackmarket comme j’ai pu vous le montre ici, de diffuser n’importe quel message de son choix, à l’antenne.

L’accès proposé dans ce forum pirate russophone parle « d’un accès privilégié à une station de radio américaine« . Si le pirate peut accéder à la programmation, aux fichiers MP3 des publicités, des jingles, des musiques, il pourrait y rajouter n’importe quel message de son choix.

Certaines ventes aux enchères, comme ici un accès « militaire », débutent à 800 $

Le prix varient de 100 à 150 000 euros, moins d’un tiers des offres sont proposées moins de 1 000 euros. L’accès le plus coûteux (soit 120 000 dollars) est lié à un réseau d’une grande maison de vente aux enchères mondialement connue. Selon le vendeur, l’acheteur de ce lot obtiendra un accès privilégié en tant qu’administrateur aux enchères d’articles de collection, notamment des violons Stradivarius et des voitures de collection.

Toujours dans les ventes « étonnantes », un important « shop » européen avec plus de 20 000 cartes de crédit piratées en stock a été mis en vente, avec un prix de départ de 60 000 dollars ou encore 6 000 numéros de cartes de crédit de canadiens, avec une validation de 50 %, sont proposés à la vente pour 10 000 dollars américains.

APT, Cybersécurité

Un groupe d’espionnage aligné avec les intérêts chinois usurpant Signal et Telegram

Des chercheurs identifient deux campagnes actives ciblant les utilisateurs d’Android. L’acteur opérant ces outils d’espionnage pour Telegram et Signal sont attribués au groupe APT GREF, aligné sur les intérêts de la Chine. 

Très probablement actives depuis juillet 2020 et depuis juillet 2022, respectivement pour chaque application malveillante, les campagnes ont distribué le code d’espionnage Android BadBazaar via le Google Play Store, le Samsung Galaxy Store et des sites Web dédiés se faisant passer pour des applications de chat légitimes – les applications malveillantes sont FlyGram et Signal Plus Messenger.

Les fausses applications Signal et Telegram sont obtenues en ajoutant aux applications open source Signal et Telegram pour Android du code malveillant. Signal Plus Messenger est le premier cas documenté d’espionnage des communications Signal; Des milliers d’utilisateurs ont téléchargé les applications d’espionnage.

ESET a signalé des détections sur des appareils Android dans plusieurs pays de l’UE, aux États-Unis, en Ukraine et dans d’autres endroits du monde. Les deux applications ont ensuite été supprimées de Google Play.

« Le code malveillant de la famille BadBazaar était caché dans les applications Signal et Telegram troyenisées. Les victimes installent une d’application fonctionnelle, mais avec des moyens d’espionnage en arrière-plan, explique Lukáš Štefanko, chercheur à ESET, qui a fait la découverte. « L’objectif principal de BadBazaar est d’exfiltrer les informations de l’appareil, la liste de contacts, les journaux d’appels et la liste des applications installées. En plus, l’application espionne les messages Signal en reliant secrètement l’application Signal Plus Messenger de la victime à l’appareil de l’attaquant« .

ESET signale les détections de l’Australie, du Brésil, du Danemark, de la République démocratique du Congo, de l’Allemagne, de Hong Kong, de la Hongrie, de la Lituanie, des Pays-Bas, de la Pologne, du Portugal, de Singapour, de l’Espagne, de l’Ukraine, des États-Unis et du Yémen.

En outre, un lien vers FlyGram dans le Google Play Store a également été partagé dans un groupe Telegram ouïghour. Les applications de la famille de logiciels malveillants BadBazaar ont déjà été utilisées contre les Ouïghours et d’autres minorités ethniques turques en dehors de la Chine.

Les deux applications ont été créées par le même développeur et partagent les mêmes fonctionnalités malveillantes, et les descriptions d’applications sur les deux magasins font référence au même site Web de développeur.

Signal Plus Messenger peut espionner les messages Signal en utilisant à mauvais escient la fonction « périphérique connecté ». Pour ce faire, il associe automatiquement l’appareil compromis au dispositif Signal de l’attaquant. Cette méthode d’espionnage est unique : les chercheurs n’ont jamais vu cette fonctionnalité utilisée à mauvais escient par d’autres logiciels malveillants, et c’est la seule méthode par laquelle l’attaquant peut obtenir le contenu des messages Signal.

En ce qui concerne la fausse application Telegram, FlyGram, la victime doit se connecter via sa fonctionnalité Telegram légitime, comme l’exige l’application officielle Telegram. Avant la fin de la connexion, FlyGram communique avec le serveur C & C et BadBazaar et obtient la possibilité d’exfiltrer des informations sensibles de l’appareil.

FlyGram peut accéder aux sauvegardes Telegram si l’utilisateur a activé cette fonctionnalité spécifique; La fonctionnalité a été activée par au moins 13 953 comptes d’utilisateurs. Le serveur proxy de l’attaquant peut être en mesure d’enregistrer certaines métadonnées, mais il ne peut pas déchiffrer les données et les messages réels échangés dans Telegram lui-même.

Contrairement au Signal Plus Messenger, FlyGram n’a pas la capacité de lier un compte Telegram à l’attaquant ou d’intercepter les communications chifrées de ses victimes.

Cybersécurité, Mise à jour, Patch

Les réseaux VMware Aria menacés par des cyber attaques à distance

VMware publie des mises à jour pour corriger deux vulnérabilités de sécurité dans Aria Operations for Networks qui pourraient être potentiellement exploitées par des pirates. L’une d’elle est CRITIQUE !

La plus grave des failles est la CVE-2023-34039, elle est notée 9,8 sur 10 (Sic!), qui concerne un cas de contournement d’authentification résultant d’un manque de génération de clé cryptographique unique. Cette vulnérabilité a été découverte par deux chercheurs de chez ProjectDiscovery, Harsh Jaiswal et Rahul Maini. « Un acteur malveillant disposant d’un accès réseau à Aria Operations for Networks pourrait contourner l’authentification SSH pour accéder à la CLI d’Aria Operations for Networks » informe l’alerte. La seconde « faiblesse« , la CVE-2023-20890 (7,2/10), est une vulnérabilité d’écriture de fichier qui pourrait être exploitée par un pirate disposant d’un accès administratif pour écrire des fichiers et lancer l’exécution de code à distance. A noter que des pirates ont activement exploité d’autres failles, corrigées aujourd’hui, en juin 2023 (CVE-2023-20887). Les patchs sont disponibles ici.

cyberattaque, Cybersécurité

Aprés une cyber attaque, une entreprise débourse plus de 10 millions pour réparer !

Le fournisseur de cloud Rackspace Technology Inc. a dépensé 10,8 millions de dollars pour corriger les conséquences d’une cyberattaque à grande échelle survenue en décembre 2022.

Décembre 2022, les pirates informatiques du groupe spécialisé dans le chantage numérique Play s’attaquent à la société Rackspace Technology Inc., un spécialiste du cloud. L’entreprise a dépensé 10,8 millions de dollars pour corriger les conséquences de cette malveillance numérique.

Selon l’entreprise, la plupart des fonds ont été utilisés pour payer les services d’une société internationale de cybersécurité. En outre, l’argent a aussi été consacré au soutien juridique et aux salaires du personnel en charge d’aider les victimes impactés par ce ransomware.

A noter que des entreprises continuent de porter plainte contre les pirates et Rackstage à San Antonio, Los Angeles et New York. Le rapport fournit par Rackspace à la Securities and Exchange Administration des États-Unis (le gendarme de la bourse US) indique que malgré des poursuites judiciaires, l’entreprise ne subira pas de dommages financiers graves.

Cependant, il est actuellement impossible d’estimer avec précision les pertes potentielles. Les propriétaires s’attendent à ce qu’une part importante des coûts liés à l’incident soit couverte par une assurance cyber-risques.

En mai 2023, un tribunal s’est prononcé en faveur de Rackspace, rejetant un recours collectif intenté par 37 payeurs de divers États américains qui avaient perdu l’accès à leurs données lors de cette cyber attaque. Les pirates de Play ont utilisé une nouvelle méthode pour pénétrer dans le réseau Hosted Exchange. En exploitant la vulnérabilité sous l’identifiant CVE-2022-41080, ils ont eu accès à la correspondance électronique, aux calendriers, aux planificateurs, aux listes de tâches, au carnet d’adresses et à d’autres données dans les fichiers PST (Personal Storage Table) de leurs cibles.

À la suite de l’incident, la valeur boursière de Rackspace a chuté, signe d’une perte de confiance des investisseurs. Les prévisions financières à long terme sont devenues beaucoup moins optimistes.

Cybersécurité, Securite informatique

Prise de contrôle silencieuse : découvrir votre adresse IP via Skype

Une vulnérabilité a été découverte dans l’application mobile Skype qui permet aux pirates d’obtenir l’adresse IP de l’utilisateur lors de l’ouverture d’un message avec un lien spécifique.

Trouver votre adresse IP, via un simple message sur Skype, possible. Ce défaut a été identifié par un chercheur indépendant en sécurité nommé Yossi. Le chercheur a découvert qu’n pirate informatique peut déterminer l’emplacement général d’un utilisateur en lui demandant d’ouvrir un message contenant un lien. Yossi a signalé le problème à Microsoft début du mois d’août. Pour démontrer la vulnérabilité, Yossi a réalisé une démonstration avec l’adresse IP d’un journaliste de 404 Media.

Un pirate pourrait faire de même et récupérer l’IP originale, même si cette adresse est cachée derrière un réseau privé virtuel (VPN). Lorsque Yossi a contacté Microsoft le 12 août, on lui a répondu que « la divulgation d’une adresse IP en soi n’est pas considérée comme une faille de sécurité ». À la suite d’un appel de 404 Media, Microsoft a déclaré qu’il résoudrait le problème dans une « future mise à jour du produit« , sans préciser de date. Rappelons que des pirates chinois ont récemment eu accès au courrier électronique du gouvernement américain via Microsoft Azure, ce qui a suscité des critiques à l’encontre de l’entreprise pour son approche des failles de sécurité.

Plus tôt cet été, le PDG de la société de cybersécurité Tenable, Amit Göran, a accusé Microsoft de « négligence grave » en citant le retard de l’entreprise à corriger une vulnérabilité critique.

cyberattaque, Cybersécurité

Une attaque utilisant le caractère RLO dans le nom de fichier

Les autorités États-Uniennes ont signalé une nouvelle réincarnation d’attaques utilisant le caractère Unicode RLO (Right-to-Left Override), qui permet de basculer l’écriture des noms de fichiers du mode standard de gauche à droite à l’écriture de droite à gauche.

Grâce à ce caractère Unicode illisible, l’extension du fichier peut être masquée de manière à ce que l’utilisateur, lisant de gauche à droite, pense avoir affaire à un certain type de fichier, mais si on le lit de droite à gauche, comme c’est le cas dans certaines langues arabes ou en hébreu, l’extension est fondamentalement différente. Dans l’histoire partagée par le chercheur Krebs, le fichier s’appelait lme.pdf et incitait le destinataire à résoudre des problèmes liés à ses déclarations fiscales. Cependant, en réalité, le nom du fichier contenait ce fameux caractère RLO, ce qui faisait que le fichier devait être lu de droite à gauche – fdp.eml.

Ainsi, la victime de l’attaque de phishing ne recevait pas un document électronique, mais un fichier de messagerie électronique se faisant passer pour un PDF. « L’e-mail est arrivé via Microsoft Office 365 avec tous les filtres anti-spam et anti-phishing activés, mais il n’a pas été intercepté », s’est plaint une victime potentielle de l’attaque auprès de Krebs. « Cependant, si vous envoyez cet e-mail via Mimecast, le programme est suffisamment intelligent pour reconnaître le caractère RLO et renommer le fichier en « ___fdp.eml« . Honnêtement, Microsoft a eu suffisamment de temps pour résoudre ce problème. »

Lorsque le fichier .eml est ouvert, une page Web s’affiche, imitant un avertissement de Microsoft concernant des messages indésirables en attente de récupération dans la boîte de réception de la victime. En cliquant sur le lien « Récupérer les messages », l’utilisateur est redirigé vers un lien marketing de LinkedIn (également propriété de Microsoft), qui est lui-même une redirection vers une ressource de phishing.

Justice

Le fondateur de Group-IB, Ilya Sachkov, a été condamné à 14 ans de prison pour trahison d’État

Le tribunal de Moscou a condamné le fondateur de l’entreprise Group-IB, Ilya Sachkov, à 14 ans de prison. Il purgera sa peine dans une colonie pénitentiaire à régime strict.

Il est précisé que le temps qu’il a passé en détention provisoire a été pris en compte dans sa peine, chaque jour de détention étant équivalent à un jour en colonie. Sachkov est en détention depuis le 21 septembre 2021, après avoir été arrêté à Moscou le même jour et transféré à Lefortovo. En plus de sa peine de prison, Sachkov a été condamné à un an de privation de liberté et à une amende de 500 000 roubles. Le procureur avait réclamé une peine de 18 ans.

La situation a été commentée par l’entreprise F.A.C.C.T. (c’est le nom de la marque Group-IB en Russie). Ils ont déclaré que la défense de Sachkov avait l’intention de faire appel du verdict et prévoyait de s’adresser au président russe. « C’est un moment difficile pour nous tous et un jour sombre pour le marché de la cybersécurité. Ilya Sachkov, mon ami, mon collègue, fondateur de l’une des entreprises les plus prospères dans le domaine de la cybersécurité, a été envoyé en colonie à la suite d’un procès expéditif. » a déclaré Valery Baulin, directeur général de F.A.C.C.T.

Sachkov a été accusé de Trahison d’État. Toutes les audiences ont eu lieu à huis clos, les documents de l’affaire criminelle ont été classés secrets. Selon certaines sources, les témoignages contre lui ont été fournis par l’ancien chef de la 2e division du Centre de sécurité de l’information du FSB, Sergei Mikhailov, qui purge, lui aussi, une peine de prison pour la même accusation. Mikhailov a affirmé que Sachkov aurait transmis au FBI des informations sur des cybercriminels russes et d’autres données constituant un secret d’État.

Cybersécurité, Justice

Un avocat veut savoir quel est le pays Européen a aidé le FBI à mettre le monde sur écoute

Au cours de l’opération spéciale Trojan Shield, le Federal Bureau of Investigation (FBI) des États-Unis contrôlait secrètement les téléphones cryptés Anom. Les avocats de plusieurs criminels arrêtés demandent que soit nommé le pays qui a aidé les agents à intercepter les messages.

Voilà une affaire étonnante. Une plainte a été déposée contre le FBI par des avocats de criminels arrêtés lors de l’opération Trojan Shield. La plainte déposée contre le FBI est la première et la plus importante en son genre concernant les départements technologiques du Bureau fédéral.

Elle pourrait remettre en question les réalisations « numériques » des enquêteurs. Pour rappel, Trojan Shield a permis d’arrêter plus d’un millier de présumés criminels, saisi des tonnes de drogues et des centaines d’armes grâce à une smartphone chiffré, l’Anom. Derrière cette entreprise, les limiers du FBI. « La réalité est que notre gouvernement savait que l’introduction et la diffusion de téléphones espions étaient anticonstitutionnelles. C’est pourquoi il a secrètement inclus un pays européen parmi les participants de l’opération, essayant de contourner les lois sur la confidentialité en vigueur aux États-Unis. Maintenant, le gouvernement refuse de nommer ce pays« , a déclaré Patrick Griffin, l’un des avocats à l’origine de la plainte.

Le journal américain Vice indique que la législation américaine garantit à tous les accusés un procès équitable. En conséquence, Griffin est convaincu que le nom du pays sera révélé, permettant ainsi à la défense de mieux planifier sa stratégie lors des audiences judiciaires. « Sans l’information demandée, les parties au procès ne peuvent pas commencer à enquêter sur la légalité de la mise sur écoute des accusés, ni vérifier la fiabilité et l’authenticité des preuves présentées, y compris celles qui forment la base de cette affaire. De plus, la défense ne peut pas demander des documents supplémentaires d’un pays qu’elle ne connaît pas, chercher à obtenir des témoignages de certains acteurs étrangers ou embaucher des enquêteurs étrangers », est-il mentionné dans la déclaration, qui note également que le gouvernement a refusé de fournir les informations demandées hors procédure judiciaire.

De 2018 à 2021, le FBI a secrètement contrôlé le réseau de téléphones cryptés Anom. Avec le temps, ce téléphone est devenu une partie intégrante du monde criminel. Des criminels le distribuant sans savoir qu’il s’agissait d’un cheval de Troie. La légende d’un soi-disant chiffrement de bout en bout a permis aux enquêteurs de suivre en temps réel les communications des figures clés des leaders du crime mondial.

En juin dernier, on apprenait que le FBI offrait 5 millions d’euros pour arrêter un administrateur d’Anom, un Suédois de 40 ans.

Cybersécurité, Mise à jour, Patch

Versioning : une méthode pirate qui a fait ses preuves

Les logiciels malveillants Android utilisent la technique de « versioning » pour contourner les scanners du Play Store.

Les cybercriminels utilisent la technique de « versioning » pour contourner les mécanismes de détection des applications malveillantes dans la boutique officielle Google Play Store. C’est ainsi que les malfaiteurs introduisent des chevaux de Troie bancaires et d’autres malwares sur les appareils Android. Même les experts de Google Cybersecurity Action Team (GCAT) ont reconnu ce problème dans leur rapport d’août (PDF). La technique de « versioning » n’est pas nouvelle, mais elle n’en demeure pas moins dangereuse.

Ces logiciels malveillants sont difficiles à détecter parce qu’une application tout à fait sûre est soumise à la vérification du Google Play Store. Puis, lors d’une mise à jour ultérieure, l’auteur ajoute simplement son code malveillant. Pour ce faire, ils utilisent une méthode appelée « dynamic code loading » (DCL), qui transforme essentiellement un logiciel inoffensif en porte dérobée, un outil d’espionnage installé, directement, dans notre poche.

À titre d’exemple de ce comportement, citons l’application iRecorder – Screen Recorder. Un autre exemple est le cheval de Troie bancaire SharkBot. Les auteurs peuvent publier plusieurs applications simultanément sous différents comptes de développeurs. Seule l’une de ces applications sera malveillante, les autres étant des réserves que les criminels activeront en cas d’échec du premier logiciel. « Cette tactique permet aux cybercriminels de mener des campagnes assez longues et de réduire au maximum le temps nécessaire pour publier un nouveau chargeur. » confirment les chercheurs.

Cybersécurité, Justice, loi

Blocage de Telegram en Irak, Xiaomi bloque la messagerie en Chine

Les autorités occidentales souhaitent se rapprocher de Telegram pour traquer les cyber criminels, en Iraq et en Chine, la méthode est plus expéditive.

Telegram, la messagerie Russe dont l’auteur a délocalisé son business à Dubaï, fait couler beaucoup d’encre. Il faut dire aussi que les malveillants 2.0 et la guerre Russo-Ukrainienne ont fait migrer des millions de personnes sur cette message qui se veut sécurisée. Le blog spécialisé ZATAZ expliquait dans cet article comment les autorités occidentales tentent de se rapprocher de Telegram pour nouer des partenariats afin de bloquer et traquer les cyber criminels.

En Iraq, le ministère des Communications a annoncé le blocage de Telegram par le gouvernement pour des raisons « liées à la sécurité nationale« . Le Service Veille ZATAZ nous a fourni des captures écrans de vente de BDD irakiennes qui ont pu motiver le blocage de Telegram dans le pays.

Le message indique que le gouvernement a tenté à plusieurs reprises de contacter l’équipe de Telegram dans le but d’établir une coopération, mais n’a jamais reçu de réponse. Un fait que de nombreux pays reprochent à Telegram. « Nous respectons les droits des citoyens à la liberté d’expression et de communication sans porter atteinte à la sécurité de l’État, et nous sommes convaincus que les citoyens comprennent cette mesure [le blocage de Telegram] », ajoute le ministère des Communications d’Irak.

Telegram gagne rapidement en popularité, évinçant les produits de Facebook (WhatsApp, Messenger, Instagram Direct). A noter que Telegram abrite des représentations officielles d’organismes gouvernementaux irakiens qui continuent de publier des actualités sur la plateforme… malgré le blocage. Un blocage qui est facilement contourné par des VPN et des proxies.

A noter que des internautes Turcs et Géogiens se sont étonnés d’être, eux aussi, bloqués. Il est tout à fait possible que les réseaux des fournisseurs d’accès à Internet des pays voisins soient étroitement liés et que le blocage dans un pays ait des répercussions sur les autres.

L’une des principales raisons présumées du blocage de Telegram est la fuite de nombreuses données personnelles des citoyens irakiens à partir des bases de données gouvernementales. Le Service Veille ZATAZ a repéré de nombreuses fuites de données concernant le pays, comme celle visant l’université de technologie spatiale et l’université technique du Nord de l’Irak, ou encore la diffusion, il y a peu, des données des électeurs iraquiens ou d’une base de données baptisée : Sécurité Nationale Iraq. « Elles ont été volées à partir des dispositifs du ministère et n’ont pas été obtenues par des méthodes via le web, souligne le voleur. Les données contiennent toutes les informations sur les citoyens irakiens. »

Pendant ce temps, en Chine, le fabriquant de téléphone Xiaomi désactive Telegram pour les Chinois. Les résidents de Chine ne peuvent plus installer l’application de messagerie Telegram sur leurs smartphones. Selon Bleeping Computer, le système d’exploitation MIUI du géant technologique classe l’application comme dangereuse et la bloque. L’interface maison MIUI en est à sa quatorzième version (Android 13).

« Cette application est frauduleuse et son utilisation peut comporter le risque de devenir une victime d’escroquerie. Par mesure de sécurité, il est recommandé de prendre des mesures de protection pour éliminer la menace des applications dangereuses« , indique le message affiché pour les résidents de Chine lorsqu’ils essaient de lancer le programme. L’article établit un lien direct entre cet événement et l’ajout d’une fonctionnalité à MIUI 13 en 2022, qui permet de marquer les applications malveillantes et de les bloquer.

Suite à cela, l’entreprise a été soupçonnée de surveillance potentielle des utilisateurs et de préparation à des actes de censure. Ces soupçons se sont renforcés après que MIUI ait commencé à bloquer les applications qui permettaient aux utilisateurs de modifier les paramètres réseau en dehors des valeurs par défaut. Dans de tels cas, le système d’exploitation, comme c’est le cas actuellement avec Telegram, bloquait les applications qui ne lui plaisaient pas et essayait même de les supprimer de l’appareil.

backdoor, Cybersécurité

Emotet revient, Lokibot persiste, DarkGate exploite

Un rapport dévoile les méthodes d’infection des familles de logiciels malveillants DarkGate, Emotet et LokiBot. En plus des méthodes de chiffrement unique en leur genre de DarkGate et le retour en force d’Emotet, les exploits de LokiBot se poursuivent, illustrant l’évolution constante du paysage des menaces cyber.

En juin 2023, des chercheurs ont découvert un nouveau loader baptisé DarkGate, doté d’un éventail de fonctionnalités dépassant les capacités habituelles des loaders. Parmi elles, on retrouve un VNC caché, un proxy inverse et des capacités de blocage de Windows Defender, de piratage de l’historique du navigateur infecté, de gestion des fichiers et de vol de jetons Discord.

Le fonctionnement de DarkGate implique une chaîne d’infection en quatre étapes, conçues de manière sophistiquée pour aboutir au chargement de DarkGate. Ce chargeur se distingue par sa façon unique de chiffrer les chaînes de caractères avec des clés personnalisées et une version originale de l’encodage Base64, utilisant un jeu de caractères spécial.

Dans son rapport, la société Kaspersky s’est penchée sur l’activité d’Emotet, un botnet notoire qui a récemment refait surface après avoir été démantelé en 2021. Dans cette nouvelle campagne, les victimes sont amenées à ouvrir, involontairement, un fichier OneNote malveillant qui déclenche l’exécution d’un VBScript caché et déguisé. Le script tente ensuite de télécharger la charge utile malveillante à partir de différents sites web jusqu’à ce qu’il réussisse à s’infiltrer dans le système. Une fois à l’intérieur, Emotet place une bibliothèque de liens dynamiques (DLL) dans le répertoire temporaire, puis l’exécute.

Cette DLL contient des instructions cachées (shellcode), ainsi que des fonctions d’importation chiffrées. En déchiffrant habilement un fichier spécifique à partir de sa section de ressources, Emotet prend le dessus sur le système et parvient à exécuter sa charge utile malveillante.

Une campagne d’hameçonnage ciblant des compagnies de cargos a tenté d’infiltrer les entreprises avec le malware LokiBot. LokiBot est un infostealer identifié pour la première fois en 2016 et conçu pour dérober des identifiants à partir de diverses applications, notamment via des navigateurs et des clients FTP. Les mails de hameçonnage utilisés dans la campagne contenaient un document Excel en pièce jointe invitant les utilisateurs à autoriser les macros.

Les attaquants ont exploité une vulnérabilité connue (CVE-2017-0199) de Microsoft Office, conduisant au téléchargement d’un document RTF. Ce document RTF exploite ensuite une autre vulnérabilité (CVE-2017-11882) pour distribuer et exécuter le logiciel malveillant LokiBot.

Cybersécurité, Securite informatique

Attaques Acoustiques : comment des frappes de clavier deviennent une menace pour vos données

Dans le monde numérique d’aujourd’hui, où les pirates informatiques sont constamment à la recherche de nouvelles méthodes pour accéder à des données sensibles, une menace revient sur le devant de la scéne : les attaques acoustiques.

Des chercheurs d’universités britanniques ont développé un modèle d’apprentissage qui peut voler des données à partir de frappes de clavier enregistrées via un microphone, avec une précision étonnante de 95 %.

L’impact de cette nouvelle attaque a la capacité de compromettre les données les plus sensibles des utilisateurs, allant des mots de passe aux discussions confidentielles. Du moins sur le papier. Contrairement à d’autres attaques nécessitant des conditions spécifiques, les attaques acoustiques sont rendues plus accessibles en raison de la prolifération d’appareils équipés de microphones capables d’enregistrer des sons de haute qualité. Cette situation, conjuguée aux avancées rapides en matière d’apprentissage automatique, rend ces attaques sonores plus dangereuses et accessibles que jamais.

L’évolution des menaces et la nécessité d’une sécurité renforcée

Cette attaque met en évidence la nécessité d’adopter des mesures de sécurité renforcées. Les méthodes traditionnelles de protection, telles que les mots de passe, ne suffisent plus à garantir la sécurité des données. L’authentification multifactorielle, les clés physiques et les systèmes d’entrée sans mot de passe deviennent essentiels pour contrer ces menaces émergentes. Alors que les pirates continuent de rechercher des failles, les entreprises et les individus doivent prendre des mesures proactives pour sécuriser leurs données.

Bien que ce type d’attaque ne soit pas entièrement nouveau, son taux de réussite élevé, atteignant 95 %, est préoccupant. L’idée de capturer les frappes de clavier à partir du son est similaire à la prise d’empreintes digitales via la frappe, incluant la vitesse de frappe, les erreurs et les intervalles entre les touches. Tout cela peut être accompli simplement en écoutant une communication vocale, comme une conversation téléphonique. Cette menace a conduit à l’exploration de concepts tels que l’outil « keytap » développé par Georgi Gerganov en 2018, qui se concentrait sur le son spécifique des claviers mécaniques.

cyberattaque, Cybersécurité, loi

Cyberattaque contre la Commission électorale britannique : Une menace prévisible pour les démocraties modernes

La fragilité croissante des systèmes d’information dans les démocraties modernes a été mise en évidence une fois de plus alors que la Commission électorale britannique a récemment divulgué avoir été victime d’une cyberattaque complexe.

Cette intrusion compromettant les données de millions d’électeurs souligne l’importance de renforcer la cybersécurité pour préserver l’intégrité des processus démocratiques.

Le mardi 8 août, la Commission électorale britannique a révélé être victime d’une cyberattaque sophistiquée qui aurait compromis la sécurité des données de millions d’électeurs. Selon l’organisme de surveillance des élections au Royaume-Uni, des acteurs hostiles non spécifiés ont réussi à accéder aux copies des listes électorales, contenant des informations sensibles telles que les noms, adresses et statuts d’inscription des électeurs entre 2014 et 2022. Cette intrusion a également touché les e-mails et les systèmes de contrôle de la commission, demeurant indétectée jusqu’en octobre de l’année précédente.

Impact potentiel sur la démocratie

La gravité de cette violation de cybersécurité ne peut être sous-estimée. Bien que la Commission électorale affirme qu’aucune élection ni inscription n’a été directement impactée, les conséquences à plus long terme pourraient être préoccupantes. Les cybercriminels ayant désormais accès à une masse d’informations sur les électeurs, ils pourraient propager de la désinformation subtile auprès des 40 millions de citoyens concernés. Cette désinformation pourrait servir à renforcer certaines visions du monde et à semer la discorde. En altérant les données des électeurs ou même les votes eux-mêmes, ils pourraient potentiellement remettre en question l’authenticité et l’exactitude des processus démocratiques.

Cybersécurité, ID, Téléphonie

Comment bloquer n’importe quel compte WhatsApp !

WhatsApp, le géant des messageries, est devenu le terrain d’une nouvelle vulnérabilité qui a touché pas moins de 2 milliards d’utilisateurs.

Une attaque de type Déni de Service (DoS) a été découverte dans le fonctionnement de WhatsApp, permettant à des personnes mal intentionnées de désactiver un compte de la messagerie appartenant à META (Facebook) en envoyant simplement une lettre au support technique. Cette faille, qui a déjà été exploitée, a généré des blocages de comptes intempestifs.

La vulnérabilité de désactivation de compte sur WhatsApp

Contrairement à ce que l’on pourrait penser, la désactivation d’un compte WhatsApp n’était pas limitée au seul propriétaire du compte. Toute personne ayant le numéro de téléphone enregistré dans le compte pouvait également envoyer une demande de désactivation au support technique. Cette demande pouvait être répétée à partir de différentes adresses e-mail, entraînant ainsi un déni de service d’une durée d’un mois. Initialement, la désactivation de compte était prévue pour les situations où un téléphone était perdu ou volé. L’utilisateur pouvait alors envoyer un e-mail au support technique avec la phrase clé « perte/vol, veuillez désactiver le compte » et le numéro de téléphone associé, ce qui bloquait l’accès pour une période de 30 jours. Cependant, pendant cette période, les contacts pouvaient toujours voir le profil du propriétaire et lui envoyer des messages, qui seraient accessibles une fois le compte réactivé sur un autre appareil.

Une faille exploitable pour les attaques DoS

La simplicité de cette procédure de désactivation a suscité des inquiétudes quant à sa vulnérabilité. Jake Moore, expert médico-légal et consultant en cybersécurité chez ESET, a mis en évidence cette faille en montrant comment un individu malveillant, connaissant simplement le numéro de téléphone de la victime, pouvait envoyer de multiples demandes de désactivation. En automatisant ce processus, une attaque DoS de 30 jours pouvait être mise en place, entraînant une interruption prolongée du compte de la victime.

Réaction de WhatsApp face à l’attaque

Suite à la révélation de cette vulnérabilité, WhatsApp a réagi rapidement pour contrer les attaques DoS. Dans un premier temps, l’option de désactivation via le support technique a été désactivée. Ensuite, toutes les demandes de désactivation ont commencé à renvoyer une confirmation de réception. Actuellement, WhatsApp exige en plus un document de confirmation du droit au numéro de téléphone spécifié avant de procéder à la désactivation. Ces mesures ont été mises en place pour réduire le risque de manipulations malveillantes.

Mesures de sécurité recommandées

Bien que WhatsApp ait pris des mesures pour résoudre cette vulnérabilité, certains utilisateurs pourraient toujours être confrontés au besoin de désactiver leur compte en cas de perte ou de vol de leur téléphone. Pour se prémunir contre de telles attaques, je vous recommande d’activer l’authentification à deux facteurs (2FA) sur WhatsApp. Cette option, qui est désactivée par défaut, ne permettra la désactivation du compte que si la demande provient de l’adresse e-mail associée au compte.

Cybersécurité, Microsoft, Mise à jour, Patch

Une vulnérabilité bien connue de Microsoft Office a été exploitée six fois plus au cours deuxième trimestre de 2023

Des chercheurs ont constaté qu’une ancienne vulnérabilité de Microsoft Office gagne en popularité auprès des attaquants, qui l’exploitent pour cibler à la fois les particuliers et les entreprises.

Depuis le début de l’année 2023, la vulnérabilité CVE-2017-11882 a été exploitée près de 500 % plus souvent, affectant des milliers de personnes. Une autre vulnérabilité connue, CVE-2018-0802, semble être devenue « l’arme » la plus en vogue chez les cybercriminels, ayant été utilisée pour cibler plus de 130 000 utilisateurs. Étant donné que les anciennes versions des programmes Microsoft sont aujourd’hui encore utilisées et qu’elles constituent une cible très attrayante pour les attaquants, il est crucial d’installer une solution de sécurité fiable et d’effectuer les mises à jour régulièrement.

Tout au long du deuxième trimestre 2023, des chercheurs de Kaspersky ont détecté que plus de 11 000 utilisateurs ont été visés par des attaques exploitant une ancienne vulnérabilité du logiciel Microsoft Office, connue sous le nom de CVE-2017-11882. Cette vulnérabilité permet aux attaquants d’exploiter l’éditeur d’équation dans les documents Microsoft Office, pour exécuter un code malveillant sur l’appareil ciblé. Ce procédé leur permet d’installer des logiciels malveillants ou indésirables sur la machine affectée à l’insu de l’utilisateur. Pour exploiter la vulnérabilité, les attaquants peuvent procéder de plusieurs manières: soit en envoyant un fichier malveillant à une victime potentielle, soit en créant un site web avec le même type de fichier pour inciter les gens à l’ouvrir en utilisant des techniques d’ingénierie sociale.

Bien que la vulnérabilité ait été identifiée et corrigée depuis longtemps, les exploits ont augmenté de 483 % au cours du deuxième trimestre par rapport au premier trimestre de cette année. Cette tendance alarmante indique que même les anciennes vulnérabilités restent des points d’entrée efficaces pour attaquer à la fois les appareils des particuliers et les infrastructures informatiques des organisations.

Nombre d’utilisateurs attaqués via la vulnérabilité CVE-2017-11882 en 2023

« Les attaquants ont effectivement recommencé à utiliser cet exploit. Il est très probable qu’ils tentent de mettre en œuvre de nouvelles techniques d’obscurcissement afin d’échapper à la détection. Par exemple, ils pourraient essayer d’insérer de nouveaux types de données malveillantes dans les documents Microsoft Office. Toutefois, des solutions de sécurité éprouvées, conçues pour détecter les tentatives d’attaque de manière systématique, permettent de prévenir de telles attaques et de protéger les utilisateurs. Il est également essentiel d’installer les mises à jour et les correctifs des logiciels à temps« , commentent les experts.

Cette tendance a persisté au cours de cette période, les cybercriminels ayant continué à s’appuyer sur d’anciennes vulnérabilités des logiciels Microsoft comme vecteurs d’attaque. La vulnérabilité qu’ils ont le plus exploitée est CVE-2018-0802, avec laquelle ils ont ciblé plus de 130 000 personnes. L’exploitation de cette vulnérabilité suit généralement le même schéma que la CVE-2017-11882 susmentionnée, impliquant une corruption de la mémoire pouvant permettre à l’attaquant de contrôler le système à l’aide d’un fichier spécialement conçu à cet effet.

Les vulnérabilités CVE-2010-2568, CVE-2017-0199 et CVE-2011-0105 figurent également sur la liste des exploits les plus fréquemment détectés au cours du deuxième trimestre. La première implique l’exécution de code via un fichier LNK spécifiquement développé pour ces opérations, tandis que les deux dernières sont liées à la suite Microsoft Office.

Cybersécurité, Securite informatique

Comment Google renforce la sécurité de ses collaborateurs en expérimentant l’exclusion d’Internet

Récemment, Google a annoncé une initiative audacieuse visant à réduire le nombre d’attaques sur ses collaborateurs en expérimentant une approche de sécurité innovante. L’entreprise souhaite exclure temporairement certains de ses employés d’Internet.

L’idée centrale derrière cette démarche est basée sur le concept bien connu de l »air gap’ (séparation physique). Ce concept a déjà fait ses preuves dans les milieux de la sécurité informatique en rendant les serveurs de sauvegarde moins vulnérables aux attaques. Lorsqu’un serveur est déconnecté d’Internet, il devient beaucoup plus difficile pour les agresseurs d’y accéder à distance, obligeant ainsi les pirates à se trouver physiquement près de l’ordinateur pour essayer de le compromettre. Mais comment cela se traduit-il lorsqu’il s’agit de collaborateurs travaillant au sein de la plus grande entreprise Internet au monde ?

Selon des documents internes relayés par le site d’information américain CNBC, Google est actuellement en train de mener une expérience ambitieuse impliquant environ 2 % de ses collaborateurs. Ces volontaires ont été choisis pour être exclus d’Internet pendant la durée de l’expérience. Cela signifie qu’ils ne peuvent pas accéder au World Wide Web et n’ont pas les privilèges root sur leurs ordinateurs. Le but ultime de cette démarche est de renforcer considérablement la sécurité des collaborateurs participants.

Des collaborateurs pas complètement déconnectés

Néanmoins, cette exclusion d’Internet ne signifie pas que les collaborateurs sont complètement déconnectés de tout support numérique. Google a pris soin de permettre l’utilisation de ses propres outils basés dans le nuage, ce qui permet aux employés de continuer à travailler de manière productive malgré l’absence d’accès à Internet. De plus, des exceptions ont été mises en place pour les collaborateurs qui ont un besoin impératif d’accéder à Internet dans le cadre de leurs tâches professionnelles.

Il est important de noter que Google a rapidement souligné sur Twitter que cette expérimentation ne deviendra pas une politique générale. Autrement dit, l’entreprise n’a pas l’intention de désactiver Internet pour l’ensemble de ses employés à l’avenir. Cependant, cette démarche est un exemple de l’approche proactive adoptée par Google pour renforcer la sécurité de ses infrastructures et de ses collaborateurs face à un paysage de cyber-menaces en constante évolution.