Archives de catégorie : Securite informatique

Les cybercriminels abandonnent les liens dans les emails malveillants au profit des pièces jointes

Les distributeurs de logiciels malveillants par courrier électronique ont presque cessé d’utiliser des liens. Selon les statistiques, au troisième trimestre 2024, 99,1 % des mails malveillants contenaient une pièce jointe, le plus souvent sous la forme d’un fichier archivé. Les analystes expliquent ce changement par le désir de réduire les frais.

L’utilisation d’URL nécessite la création ou la location d’un stockage Web pour le code malveillant, tandis que les pièces jointes sont moins susceptibles d’éveiller des soupçons et sont plus directes à manipuler. Bilan, les pirates réfléchissent avec leur argent : combien va coûter une attaque, combien doit leur rapporter cette attaque.

Bien que l’usage des liens dans les envois de masse ait considérablement diminué, cette méthode reste prisée lors des attaques ciblées. Dans ces cas, les attaquants dressent le profil d’une victime potentielle et peuvent vérifier qui clique sur un lien et dans quelles conditions. Sur la base des résultats de leur social engineering, les attaquants peuvent fournir une charge utile malveillante ou un fichier factice.

Les fichiers d’archives, principalement aux formats ZIP et RAR, sont les types de pièces jointes malveillantes les plus courants. La part des fichiers PDF et DOCX a augmenté de 2,4 points de pourcentage par rapport au deuxième trimestre, atteignant 8,8 %, tandis que l’utilisation des fichiers XLS a notablement diminué. Ces documents contiennent souvent des logiciels espions tels que Formbook. AgentTesla, un autre logiciel malveillant très répandu dans les canaux de courrier électronique, a vu sa présence multipliée par quatre au cours de la même période, surpassé par Formbook et le cheval de Troie multifonctionnel DarkGate.

Lorsqu’on analyse la répartition par classe de logiciels malveillants, les logiciels espions fournis en tant que service (Malware-as-a-Service, MaaS) restent les plus populaires, représentant 63 % des envois malveillants, bien que ce chiffre soit en baisse de 8 points de pourcentage par rapport au trimestre précédent. La part des programmes de téléchargement est passée de 10 % à 23 %, tandis que celle des portes dérobées a chuté à 8 %.

Enfin, la popularité des services de messagerie gratuits parmi les cybercriminels continue de diminuer, ne représentant plus que 2,6 % des mails malveillants, plus de la moitié étant envoyés depuis des adresses Gmail. Les attaquants créent également des domaines spécifiques (COM, FR, NET, ORG) et utilisent le spoofing pour dissimuler leur véritable identité.

Violation de données chez owasp : exposition accidentelle de cv de membres

La Fondation OWASP (Open Worldwide Application Security Project), une référence dans le domaine de la sécurité logicielle, a récemment révélé une fuite de données due à une configuration incorrecte de leur ancien serveur Web Wiki. Ce problème a mené à l’exposition publique des curriculum vitae de certains de ses membres.

Fondée en décembre 2001, l’OWASP est une organisation à but non lucratif qui se concentre sur l’amélioration de la sécurité des logiciels à travers le monde. Avec des dizaines de milliers de membres répartis en plus de 250 sections, l’OWASP organise des événements éducatifs et des formations sur la sécurité logicielle globalement.

Détails de l’incident

La découverte de cette mauvaise configuration de Media Wiki a été faite fin février 2024, après que plusieurs membres ont contacté l’assistance technique de l’organisation. Les investigations ont montré que seuls les membres ayant rejoint OWASP entre 2006 et 2014 et ayant soumis leur CV lors de leur adhésion étaient affectés. Ces documents comprenaient des informations sensibles telles que noms, adresses email, numéros de téléphone, et adresses physiques.

Réponse de l’owasp

Andrew van der Stock, directeur exécutif de l’OWASP, a précisé que l’organisation avait pris des mesures immédiates pour contenir la fuite. Cela inclut la désactivation de la navigation dans les répertoires du serveur, la révision de la configuration de Media Wiki, et la suppression des CV du site Wiki. L’OWASP a également vidé le cache de Cloudflare et contacté les archives Web pour s’assurer que les informations accidentellement exposées soient également retirées.

L’OWASP s’est engagée à informer toutes les victimes identifiées par des lettres explicatives, mentionnant que beaucoup des informations exposées pourraient être désuètes, étant donné que nombre de ces membres ne font plus partie de l’organisation. Van der Stock a souligné que, pour les données toujours actuelles, il est conseillé aux membres concernés de rester vigilants face aux communications non sollicitées.

La menace croissante des bots malveillants : rapport Imperva Bad Bot 2024

Le paysage numérique mondial est de plus en plus façonné par une force invisible mais omniprésente : les bots. Thales, en partenariat avec Imperva, dévoile les résultats alarmants de son dernier rapport, le Bad Bot 2024. Cette analyse offre un aperçu du trafic automatisé des bots sur internet.

Une Analyse Approfondie du Trafic des Bots en 2023

En 2023, près de la moitié (49,6 %) de tout le trafic internet était généré par des bots, selon les conclusions du rapport. Cette augmentation de 2 % par rapport à l’année précédente marque le niveau le plus élevé signalé par Imperva depuis le début de sa surveillance du trafic en 2013. Cette croissance alarmante souligne l’urgence pour les entreprises de comprendre et de contrer la menace des bots.

Impact Financier et Opérationnel : Les Coûts des Attaques de Bots

Le coût des attaques de bots pour les entreprises est astronomique, se chiffrant en milliards de dollars chaque année. Des attaques contre les sites Web, les API et les applications compromettent la sécurité des données et la fiabilité des services en ligne, nécessitant des investissements importants dans l’infrastructure et le support client. En examinant de près les différents vecteurs d’attaque utilisés par les bots, les entreprises peuvent mieux évaluer les risques et mettre en place des mesures de protection efficaces.

Une Menace Multiforme : Les Différents Visages des Bots Malveillants

Les bots prennent différentes formes, de la simple extraction automatisée de données en ligne à la prise de contrôle de compte utilisateur, en passant par le spam et le déni de service. Le rapport identifie plusieurs tendances clés qui façonnent le paysage actuel de la cybermenace, soulignant la diversité des attaques et la nécessité d’une approche holistique en matière de sécurité.

IA Générative et Augmentation des Bots Simples :

L’adoption rapide de l’IA générative a conduit à une augmentation du volume de bots simples, passant de 33,4 % en 2022 à 39,6 % en 2023. Cette technologie permet aux utilisateurs sans connaissance technique d’écrire des scripts automatisés pour leur propre usage, alimentant ainsi la prolifération des bots. En explorant les implications de cette tendance émergente, les entreprises peuvent mieux anticiper les défis à venir en matière de cybersécurité.

Risques Persistants pour les Comptes Utilisateurs :

Les attaques de prise de contrôle de compte (ATO) ont augmenté de 10 % en 2023 par rapport à l’année précédente. Les attaques ciblant les points de terminaison des API représentent une préoccupation majeure, avec 44 % de l’ensemble des attaques ATO visant spécifiquement ces points de vulnérabilité. En renforçant les mesures d’authentification et en surveillant de près l’activité des comptes utilisateurs, les entreprises peuvent réduire les risques d’exploitation par les bots.

Les API comme Vecteur d’Attaque Privilégié :

Les attaques automatisées représentent désormais 30 % des attaques d’API, avec 17 % de ces attaques exploitant les vulnérabilités de logique métier. Les cybercriminels ciblent les API en raison de leur accès direct aux données sensibles, ce qui en fait une cible lucrative pour les attaques automatisées. En renforçant la sécurité des API et en mettant en place des stratégies de surveillance proactive, les entreprises peuvent réduire leur exposition aux risques d’exploitation par les bots.

Impact Sectoriel Varié :

Chaque secteur est touché par les bots, avec des industries telles que le gaming, le commerce de détail et les services financiers étant particulièrement vulnérables. Les bots malveillants évolués, capables d’imiter le comportement humain, représentent une menace particulière pour les sites d’affaires juridiques, gouvernementaux et de divertissement. En comprenant les modèles d’attaque spécifiques à leur secteur, les entreprises peuvent adapter leurs stratégies de sécurité pour mieux se protéger contre les menaces émergentes. [rapport]

Protection en temps réel

Google s’apprête à mettre à jour sa fonctionnalité de navigation sécurisée afin de renforcer une protection en temps réel contre les logiciels malveillants et le phishing à tous les utilisateurs de Chrome.

Depuis son lancement en 2005, la navigation sécurisée de Google a constamment évolué pour mieux protéger ses utilisateurs contre les menaces en ligne comme le phishing, les logiciels malveillants et les programmes indésirables. Grâce à l’utilisation de l’intelligence artificielle, Google a introduit un mode de protection améliorée pour ceux qui recherchent une sécurité proactive, permettant une analyse en profondeur des fichiers téléchargés.

La version standard actuelle de Safe Browsing vérifie les sites, les téléchargements et les extensions contre une liste locale d’URL malveillantes mise à jour toutes les 30 à 60 minutes. Avec cette mise à jour, Google prévoit de passer à une vérification des sites en temps réel, une mesure qui vise à contrer les sites malveillants éphémères, apparus et disparus en moins de dix minutes.

L’impact global de la navigation sécurisée

La navigation sécurisée protège déjà plus de 5 milliards d’appareils à travers le monde, offrant des avertissements sur plus de 3 millions de menaces potentielles chaque jour. Avec la vérification en temps réel des sites, Google espère augmenter l’efficacité de sa protection contre les attaques de phishing de 25 %.

La nouvelle fonctionnalité, qui sera lancée d’abord pour Android, intègre des méthodes de cryptage et de préservation de la confidentialité pour que vos visites sur le web restent anonymes, même vis-à-vis de Google. Cette confidentialité est assurée par une nouvelle API utilisant Fastly Oblivious HTTP (OHTTP), qui masque les URL visitées et mélange les données des utilisateurs pour une sécurité renforcée.

Le fonctionnement technique de la protection de la confidentialité

Les URL, partiellement hachées, sont envoyées à la navigation sécurisée via un serveur OHTTP qui cache les adresses IP et mélange les hachages avec ceux d’autres utilisateurs. Ce processus est renforcé par le cryptage des préfixes de hachage avant leur transmission, garantissant que seuls les serveurs de vérification d’URL de Google peuvent les décrypter.

Le serveur de confidentialité, crucial pour la préservation de l’anonymat des utilisateurs, est géré indépendamment par Fastly. Cette gestion assure que Google n’a accès à aucune donnée d’identification personnelle, comme les adresses IP ou les agents utilisateurs, lors des vérifications de sécurité.

Cette mise à jour de la navigation sécurisée par Google marque un tournant significatif dans la lutte contre les menaces en ligne, offrant une protection en temps réel tout en préservant la confidentialité des utilisateurs. C’est une évolution prometteuse pour la sécurité sur internet, renforçant la position de Chrome comme navigateur de choix pour des millions d’utilisateurs à travers le monde.

Des traducteurs logiciels malveillants mis en place dans une cyberattaque

Une récente analyse révèle que des applications de traduction compromises sont utilisées pour cibler les Tibétains dans une campagne de cyber espionnage initiée en septembre 2023.

Selon l’entreprise spécialisée en cybersécurité ESET, les pirates responsables seraient affiliés au groupe Evasive Panda, un groupe de hackers malveillants liés au gouvernement chinois. Ils viseraient des individus tibétains résidant en Inde, à Taiwan, à Hong Kong, en Australie et aux États-Unis.

La campagne inclut la corruption de logiciels pour Windows et macOS, ainsi que la compromission du site d’un organisateur du Monlam Festival, un événement religieux annuel se déroulant en Inde. Les assaillants ont injecté du code malicieux sur ce site, créant ainsi une attaque par empoisonnement d’eau, ciblant des groupes spécifiques via des plateformes populaires.

L’attaque était vraisemblablement planifiée pour coïncider avec le festival de Monlam en janvier et février 2024, afin de compromettre les visiteurs du site devenu un vecteur d’attaque. La chaîne d’approvisionnement d’un développeur d’applications de traduction en tibétain a également été corrompue.

Evasive Panda a recouru à divers outils malveillants déjà utilisés dans des attaques en Asie de l’Est, dont MgBot, une porte dérobée pour Windows utilisée par le groupe depuis au moins 2012 pour dérober des données et enregistrer les frappes clavier. En avril, ce malware a été utilisé contre une entreprise de télécommunications en Afrique.

MgBot cible principalement les applications chinoises populaires comme QQ, WeChat, QQBrowser et Foxmail. Il a été identifié une porte dérobée inédite nommée « Nightdoor », employée depuis 2020, notamment contre une cible de premier plan au Vietnam.

La campagne a été découverte en janvier, suite à la détection de code malicieux sur un site géré par le Kagyu International Monlam Trust, promouvant le bouddhisme tibétain. La compromission semble viser à exploiter l’intérêt pour le festival de Bodhgaya. En parallèle, une entreprise indienne développant un logiciel de traduction tibétain a été corrompue, infectant les systèmes Windows et macOS avec des téléchargeurs malveillants.

Un site d’information tibétain, Tibetpost, a également été compromis pour diffuser ces logiciels malveillants. L’utilisation de MgBot a permis d’attribuer ces attaques à Evasive Panda, un groupe actif depuis 2012 et réalisant des attaques alignées sur les intérêts géopolitiques de la Chine.

Le mystérieux pirate de la blockchain blanchit des millions avec Magic : The Gathering

La blockchain ne cesse de permettre de remonter à des pirates informatiques. Il a été découvert qu’un hacker avait blanchi une partie de l’argent volé via des cartes Magic : The Gathering !

Tout a commencé en avril 2021, lorsque la plateforme Uranium Finance DeFi a été piratée. Le résultat de cette attaque a été une perte massive de 50 millions de dollars, dont 80 Bitcoins, 1 800 ETH, et divers autres actifs numériques. Cependant, ce qui a suivi a été encore plus surprenant.

L’attaquant, cherchant à brouiller les pistes, a pris des mesures pour blanchir une partie des fonds volés. Le pirate a envoyé 2 438 ETH à Tornado Cash, une plateforme de confidentialité cryptographique, et a également converti d’autres crypto-monnaies en ETH et Bitcoin. Mais c’est là que cela devient vraiment intéressant.

En 2021, ce mystérieux pirate a commencé à retirer environ 11 200 ETH de Tornado Cash, en petits incréments de 100 pièces, puis il a entrepris une série de transactions complexes. Il a échangé ces ETH contre de l’ETH enveloppé (WETH), les a transférés vers une nouvelle adresse et les a échangés contre des pièces stables USDC. Jusque-là, tout semble être une opération de blanchiment de routine, mais voici le tournant inattendu.

Le pirate a utilisé une partie de ces fonds pour acheter des cartes Magic : The Gathering. Pour ce faire, il a fait appel à un courtier américain, agissant comme intermédiaire, sans jamais révéler son identité aux vendeurs. Les sommes en jeu étaient astronomiques, avec des dépenses de plusieurs millions de dollars en decks de démarrage, en sets alpha et en boîtes de cartes scellées. Ce qui est encore plus étonnant, c’est que le pirate a accepté de payer entre 5 et 10 % de plus que la valeur réelle de ces cartes.

Mais les manigances ne s’arrêtent pas là. Une partie des fonds a également été transférée vers des échanges centralisés tels que Kraken, Bitpay et Coinbase. Selon le chercheur ZachXBT, ces mouvements visaient à rendre la traçabilité des fonds encore plus difficile, rendant ainsi la tâche des enquêteurs complexe.

Le piratage d’Uranium Finance en avril 2021 reste l’un des incidents les plus retentissants dans le domaine de la finance décentralisée (DeFi). La plateforme Uranium Finance, basée sur la Binance Smart Chain et dérivée du populaire protocole DeFi Uniswap V2, a été victime d’une faille de sécurité critique lors de sa migration vers la version V2. Cela a permis au pirate d’effacer du système une multitude de cryptomonnaies, dont Bitcoin (BTC), Ethereum (ETH), Binance USD (BUSD), Tether (USDT), Cardano (ADA), Polkadot (DOT), Wrapped BNB (wBNB), ainsi que les jetons natifs Uranium U92.

Une histoire qui met en lumière les défis et les ruses auxquels sont confrontés ceux qui tentent de suivre la trace des criminels de la blockchain. Le mystérieux pirate qui a utilisé Magic : The Gathering pour blanchir des millions de dollars reste dans l’ombre.

les groupes militants soutenus par l’Iran passent du bitcoin au tron pour financer leurs activités.

Les groupes militants, notamment ceux soutenus par l’Iran, sont en train de changer leurs méthodes de financement, passant du Bitcoin au Tron, une plateforme de blockchain plus rapide et moins coûteuse.

Voilà une transformation dans le monde de la cryptomonnaie qui attire l’œil. Selon de nombreux experts interviewés par l’agence de presse Reuters, les groupes para militaires, notamment ceux soutenus par l’Iran, changeraient leurs méthodes de financement. Ils ne passent plus par la cryptomonnaie Bitcoin. Ils préfèrent dorénavant Tron.

Le réseau Tron se distingue par sa rapidité et ses coûts réduits, devenant ainsi une option privilégiée pour ces groupes. Les autorités israéliennes ont remarqué cette tendance et ont intensifié la saisie de portefeuilles Tron liés à des activités suspectes.

Saisies et gel de portefeuilles Tron

Entre juillet 2021 et octobre 2023, la NBCTF, le National Bureau for Counter Terror Financing of Israel, a gelé 143 portefeuilles Tron soupçonnés d’être associés à des organisations terroristes ou utilisés dans des crimes graves. Ces actions ciblaient des groupes tels que le Hezbollah libanais, le Djihad islamique palestinien et le Hamas, ainsi que des entités liées à l’échangeur Dubai Co, basé à Gaza.

A noter d’ailleurs qu’Israël a récemment réalisé une saisie record de crypto-monnaies, impliquant environ 600 comptes liés à Dubai Co. Les détails précis des réseaux ou des crypto-monnaies impliquées n’ont pas été divulgués. Les autorités israéliennes ont confisqué des millions de shekels sur des comptes cryptographiques suspectés d’avoir des liens avec le Hamas et d’autres groupes militants au Moyen-Orient au cours des deux dernières années.

Déclarations des utilisateurs de Tron

Suite à ces saisies, plus d’une douzaine de personnes dont les fonds ont été bloqués ont affirmé à Reuters utiliser Tron pour des transactions personnelles, sans lien avec le financement du terrorisme. Une seule personne, s’identifiant comme Neo, a admis avoir transféré de l’argent à une personne associée au Hamas. Cependant, ces affirmations n’ont pas été vérifiées indépendamment par Reuters.

Selon le Wall Street Journal, les militants palestiniens ont reçu au moins 134 millions de dollars en cryptomonnaies. TRM Labs rapporte que les structures de soutien à l’ISIS en Asie ont utilisé des cryptomonnaies, principalement le stablecoin USDT sur le réseau Tron, pour lever plus de 2 millions de dollars.

Position de Tron

Hayward Wong, porte-parole de Tron, a souligné que la société ne contrôle pas les utilisateurs de sa technologie et n’est pas associée à des groupes terroristes. Justin Sun, cofondateur de Tron, a affirmé que le protocole luttait contre le financement du terrorisme en intégrant divers outils analytiques. La fondation TRON a été créée en juillet 2017 à Singapour par l’entrepreneur chinois Justin Sun. Une levée de fonds en cryptomonnaies (Initial Coin Offering) a généré 70 millions de dollars pour le lancement de la blockchain.

Black Friday, Cyber monday : les commerçants Français confrontés à une augmentation des cyber attaques

Dans le paysage en constante évolution du commerce en ligne, les commerces français font face à une menace croissante en matière de cybersécurité. Selon de récentes données, 60% des attaques ciblant ces entreprises sont des attaques de logique commerciale, dépassant largement la moyenne mondiale de 37%. Cette tendance inquiétante met en lumière les défis croissants auxquels le secteur du e-commerce est confronté en France.

De plus, une proportion significative du trafic non désiré sur les sites français de vente au détail est désormais associée à des robots avancés, dépassant la moyenne mondiale de 53%. Ces « bad bots » posent un problème sérieux en matière de sécurité en ligne, car ils sont souvent utilisés pour des activités malveillantes.

L’évolution des attaques est également préoccupante. Au cours des 12 derniers mois, on a observé une augmentation spectaculaire de 4 fois des attaques DDoS de niveau 7 chez les commerçants français. De plus, les attaques DDoS de la couche applicative ont augmenté de près de 10 fois pendant la période des achats de Noël par rapport à l’année précédente. Ces attaques automatisées, en particulier celles visant la logique commerciale des applications, représentent une menace majeure pour les commerces.

Les cybercriminels cherchent à exploiter les vulnérabilités des applications, des API et des données du secteur du e-commerce, avec des conséquences potentiellement désastreuses pour les entreprises visées.

Karl Triebes, SVP et GM de la sécurité des applications chez Imperva, met en garde : « Les risques sécuritaires auxquels le secteur du e-commerce est confronté sont de plus en plus élaborés, automatisés et difficiles à détecter. Cette automatisation sophistiquée peut sérieusement affecter les résultats financiers des retailers, compromettant ainsi les ventes de fin d’année.« 

Les perspectives pour la période des fêtes de fin d’année 2023 sont également inquiétantes. Une récente augmentation des attaques de bots malveillants, en particulier sur les sites de e-commerce basés aux États-Unis et en France, laisse présager une perturbation potentielle des ventes pendant le Black Friday et le Cyber Monday. Les attaques DDoS au niveau des applications sont en hausse par rapport à la même période l’année dernière, accentuant les risques pour la période des fêtes.

De faux messages de clients mécontents visent des hôtels

Les experts de VADE viennent de découvrir des tentatives de fraudes, via des courriels piégés, s’attaquant spécifiquement aux hôtels. 

Les premiers messages envoyés ne contiennent pas forcément de pièces jointes ou de liens nuisibles, mais leur rédaction est telle qu’ils sont reconnus comme potentiellement frauduleux par les systèmes de filtrage. Ces courriers électroniques ne sont pas toujours détectés par les filtres anti-spam habituels car ils ne contiennent pas d’éléments malveillants évidents. Le but est d’amener le destinataire, souvent la réception ou la direction de l’hôtel, à répondre à l’arnaqueur. Un second message, potentiellement avec une pièce jointe ou un lien dangereux, serait alors envoyé.

Le Blog ZATAZ, référence depuis plus de 20 ans dans les actualités liées à la lutte contre le cybercrime avait alerté de ce type de fraude, au mois d’août 2023. Même méthode, même excuse : la plainte d’un client.

Les analyses de l’entreprise française Vade suggèrent qu’il s’agit d’un malware versatile, capable de dérober des informations, d’obtenir des droits d’accès supérieurs, de se maintenir dans le système et de récolter des données d’identification, avec un potentiel de dégénérer en ransomware. Des indices laissent penser que cet acteur de menaces pourrait être d’origine chinoise, sans que cela puisse être affirmé avec certitude. « Nos analystes ont trouvé des preuves de l’existence de variantes apparentées qui indiquent qu’il s’agit très probablement d’un acteur chinois, mais les données ne permettent pas de le conclure à 100 %. » indique Romain Basset, directeur des services clients Vade.

Les auteurs se font passer pour des clients mécontents pour engager une conversation avec le personnel, comme l’alerte de ZATAZ au mois d’août 2023. Ces tentatives d’escroquerie sont généralement brèves et exemptes de charge malicieuse, du moins jusqu’à présent, avec l’hypothèse que cela intervient dans les échanges ultérieurs.

Une découverte notable est celle d’un courriel intégrant un lien vers un fichier malicieux sous un faux prétexte visuel. Bien que ces attaques aient jusqu’à présent visé principalement des entités anglophones, elles pourraient s’étendre à d’autres langues. Nos systèmes de détection n’identifient pas toujours ces tentatives, à l’instar d’autres filtres.

Voici quelques exemples de ces emails :

  • « Bonjour, lors de mon séjour à votre hôtel, j’ai subi un désagrément impliquant l’un de vos employés. J’ai dû contacter mon avocat. Pourriez-vous m’assister ?« 
  • « Bonjour, je souhaite signaler un souci rencontré avec ma réservation. J’ai besoin de renseignements et d’aide. Merci de répondre rapidement.« 

Les tentatives semblent viser les adresses email génériques telles que « info@ » trouvées sur les sites des hôtels, souvent consultées par le personnel de gestion. Les pirates créé un prétexte d’urgence dans la réponse [des clients pas content] pour une réponse rapide et une action de la part de la victime, augmentant ainsi les chances de succès de l’arnaque. Le fondateur de ZATAZ, Damien Bancal, a participé au mois d’octobre 2023 à une compétition de Social Engineering, au Québec [il a fini avec la médaille d’argent]. Il a démontré lors de la compétitions de 48 heures, comment les services hôteliers étaient des mines d’informations.

Preuves de l’objectif de l’attaque : Bien que le logiciel semble principalement conçu pour le vol d’informations, il est équipé pour évoluer vers des attaques plus sérieuses, telles que le ransomware, avec des indications d’utilisation de bibliothèques de cryptographie, suggérant une volonté de chiffrer les données et perturber les opérations hôtelières.

Des entités israéliennes cibles des pirates du groupe Agonizing Serpens

Des experts révèlent une campagne de cyberattaques visant les domaines éducatifs et technologiques en Israël.

Ces offensives sont attribuées à un groupe APT, étroitement lié à l’Iran, surveillé par l’Unité 42 sous le nom d’Agonizing Serpens (également connu sous le nom d’Agrius), actif depuis 2020. Ce groupe est spécialisé dans les attaques cybernétiques destructrices, utilisant des malwares Wiper (appelés « essuie-glaces » car ils suppriment intégralement les données des systèmes infectés) et des ransomwares trompeurs visant principalement des institutions israéliennes.

Lancées en janvier 2023 et persistantes jusqu’en octobre 2023, ces attaques sont marquées par des tentatives de dérobement de données confidentielles, incluant des informations personnelles identifiables (PII) et de la propriété intellectuelle.

Les offensives d’Agonizing Serpens ont pour but le vol d’informations sensibles et la destruction massive de données par l’effacement des contenus des systèmes impactés. Les responsables ont subtilisé des données critiques, dont des informations personnelles et de propriété intellectuelle des organisations visées, et les ont divulguées sur les réseaux sociaux ou via des canaux Telegram, probablement dans le but d’intimider ou de nuire à la réputation des victimes.

Les analyses des nouveaux malwares Wiper indiquent que le groupe a peaufiné ses méthodes, privilégiant des techniques discrètes et évasives pour échapper aux systèmes de sécurité, notamment les technologies EDR.

Les chercheurs ont repéré 3 nouveaux Wiper et 1 outil de pillage de bases de données employés récemment par Agonizing Serpens :

  • Wiper multicouche
  • Wiper PartialWasher
  • Wiper BFG Agonizer
  • Sqxtractor – un outil spécifique pour l’extraction de données de serveurs de bases de données

Des détails supplémentaires et une analyse technique détaillée sont disponibles dans le rapport complet.

Qu’est-ce que le groupe APT Agonizing Serpens ?

Agonizing Serpens, aussi appelé Agrius, est un groupe APT associé à l’Iran, actif depuis 2020. Des rapports précédents avaient évoqué l’usage de ransomwares et de demandes de rançon, mais ces éléments se sont avérés être des diversions, comme noté dans le rapport de l’Unité 42 de 2023 sur le ransomware et la cyberextorsion. Lors des récentes attaques, aucune rançon n’a été exigée ; à la place, les conséquences ont été la perte de données et des interruptions d’activité significatives.

Les chercheurs estiment que ces attaques sont l’œuvre d’Agonizing Serpens, lié à l’Iran, basé sur les similitudes de code dans les différents Wipers : le Wiper MultiLayer analysé montre des correspondances de code et des schémas de noms similaires déjà documentés pour les Wipers d’Agonizing Serpens connus sous les noms Apostle, Fantasy et la backdoor IPsec Helper.

Les similitudes de code dans les web shells : les assaillants ont utilisé des web shells variant légèrement de l’un à l’autre, les différences résidant principalement dans les noms de variables et de fonctions. La nature destructrice des attaques : la phase finale des assauts implique une stratégie de « terre brûlée », avec l’utilisation de Wipers sur mesure pour détruire les terminaux et dissimuler les traces.

Enfin, le ciblage exclusif d’organisations israéliennes : la télémétrie de l’Unité 42 n’a relevé aucune victime non israélienne, suggérant une focalisation du groupe APT sur Israël.

Les appareils Huawei et Vivo considèrent l’application Google comme dangereuse

La guerre commerciale entre la Chine et les USA passe aussi dans les fausses alertes de piratage informatique !

Les appareils Huawei et Vivo considèrent dorénavant l’application Google comme un malware. Voilà la réponse des marques chinoises au blocage américain de ses technologies et l’interdiction d’utiliser les outils Google. Les utilisateurs ont découvert que d’étranges avertissements de menace de sécurité apparaissent sur les smartphones et tablettes Huawei, Honor et Vivo, les invitant à supprimer l’application Google. Les appareils signalent que l’application est reconnue comme un malware TrojanSMS-PA. Un faux positif, mais qui a fait son effet !

Ce problème est signalé en masse sur les forums d’assistance de Google, Reddit et les forums Huawei. L’alerte explique que l' »application a été observée envoyant des messages SMS à l’insu de l’utilisateur, attirant les utilisateurs avec du contenu payant pour adultes, téléchargeant/installant des applications à l’insu de l’utilisateur ou volant des informations sensibles, ce qui peut entraîner des dommages matériels et une fuite de données sensibles. Nous vous recommandons de le supprimer immédiatement ». A noter que l’éditeur de solutions de cybersécurité Avast a annoncé un bug de son service annonçant Google Quick Search Box comme un malware sur les smartphones Huawei, Vivo et Honor.

Du côté de Samsung, des utilisateurs d’appareils Samsung ont commencé à recevoir des avertissements de Google Play Protect dès plus inquiétants. Le service d’analyse des logiciels malveillants intégré aux appareils Android se méfie, depuis octobre, de certaines applications populaires, notamment Samsung Wallet et Samsung Messages. Comme le rapporte 9to5Google, les utilisateurs se sont plaints en masse sur le forum d’assistance de Google du fait que Play Protect signalait les applications du système Samsung comme « dangereuses ».

Pendant ce temps, en Russie, le ministère des communications et contrôle de l’Internet local [Roskomnadzor] a fait interdire dans les moteurs de recherche russes qu’apparaissent dans les résultats : Hetzner Online GmbH ; Network Solutions, LLC ; WPEngine, Inc. ; HostGator.com, LLC ; Ionos Inc. ; DreamHost, LLC ; Amazon Web Services, Inc. ; GoDaddy.com LLC ; Bluehost Inc. ; Kamatera Inc. ; DigitalOcean, LLC.

La loi russe [n° 236-FZ] oblige les hébergeurs étrangers dont les utilisateurs sont situés, y compris sur le territoire de la Fédération de Russie, à remplir les obligations locales. Les hébergeurs doivent créer un compte personnel sur le site Web de Roskomnadzor ; publier un formulaire de commentaires pour les citoyens et organisations russes ; créer un bureau de représentation autorisé en Russie.

Ransomware : partage d’informations et suivi des paiements

Une coalition mondiale de dirigeants gouvernementaux en matière de cybersécurité annoncent des efforts visant à renforcer le partage d’informations sur les menaces numériques et à s’attaquer aux paiements en cryptomonnaies des chantages numériques.

Lors de sa réunion à Washington, la Maison Blanche a décidé de mettre les bouchées doubles à l’encontre des rançongiciels et maîtres-chanteurs adeptes de ransomware. L’administration Biden a accueilli des responsables de 47 pays pour son Initiative internationale de lutte contre les ransomwares –  (International Counter Ransomware Initiative – CRI), au cours de laquelle les participants ont dévoilé un certain nombre d’actions.

La Maison Blanche a exhorté, ce 31 octobre, les gouvernements participants à prendre un engagement politique commun annonçant qu’ils ne paieraient pas de rançon aux cybercriminels. « Nous n’en sommes pas encore là, avec 50 pays, ce sera de la haute voltige« , a déclaré Anne Neuberger, conseillère adjointe à la sécurité nationale pour la cybersécurité et les technologies émergentes. Bref, une posture politique déjà prise en octobre 2021.

International Counter Ransomware Initiative

De son côté, le Conseil de sécurité nationale des États-Unis (NSC) exhorte les gouvernements de tous les pays participant à l’Initiative internationale de lutte contre les ransomwares (CRI) à publier une déclaration commune annonçant qu’ils ne paieront pas de rançon aux cybercriminels. La France, via l’ANSSI, l’Agence Nationale de Sécurité des Systèmes d’Information, a été l’une des premiéres structures à rappeler ce fait : ne payez pas !

Il faut dire aussi qu’il n’existe pas de norme mondiale sur la question suivante : Le paiement d’une rançon doit-il être effectué lors d’une cyberattaque ? Une plateforme de partage d’informations doit être mise en place « où les pays pourront s’engager à partager rapidement des informations après un incident majeur ». Une plate-forme gérée par les Émirats arabes unis.

L’argent des pirates, le nerfs de la guerre !

Les américains non jamais partagé auparavant des portefeuilles pirates, ni d’informations concernant les portefeuilles de la blockchain qui déplacent des fonds illicites liés aux ransomwares. D’ici peu, ces données seraient partagées avec les départements du Trésor du monde entier.

Le CRI a été lancé en 2021 avec 31 membres Australie, Brésil, Bulgarie, Canada, République tchèque, République dominicaine, Estonie, Union européenne, France, Allemagne, Inde, Irlande, Israël, Italie, Japon, Kenya, Lituanie, Mexique, Pays-Bas, Nouvelle-Zélande, Nigéria, Pologne, République de Corée, Roumanie, Singapour, Afrique du Sud, Suède, Suisse, Ukraine, Émirats arabes unis, Royaume-Uni et États-Unis) et en a ajouté d’autres à mesure que les ransomware gagnaient du terrain, comme le gouvernement du Costa Rica.

Le pays avait été paralysé après avoir refusé de payer une rançon de 20 millions de dollars aux pirates du groupe CONTI, le 16 avril 2022. L’expérience du Costa Rica montre que la politique peut également jouer un rôle dans la décision d’un gouvernement. Lors d’une comparution au Centre d’études stratégiques et internationales (CSIS) à la fin du mois de septembre, le président costaricien Rodrigo Chaves a déclaré que même si le paiement d’une rançon aurait nécessité une législation, il ne l’aurait pas fait même s’il en avait eu la possibilité.

A noter que cette demande de ne pas payer ne concerne que les Pays. Les paiements de rançons améliorent non seulement les capacités des groupes de cybercriminalité, mais qu’ils peuvent également financer d’autres actions malveillantes ou des Etats-nation aux intérêts criminels et/ou terroristes. Bien qu’aucun gouvernement national n’ait publiquement reconnu avoir payé une rançon, rien n’empêche de penser que certains ont payé le silence des pirates, comme ont pu le faire des milliers d’entreprises privées de part le monde.

Kopeechka : le site web qui permet d’ouvrir des milliers de comptes réseaux sociaux

Un outil web russe inonde les réseaux sociaux de robots permettant, dans certains cas, d’orchestrer des vagues de fakes news.

Des cybercriminels peu qualifiés utilisent un nouvel outil pour créer des centaines de faux comptes de réseaux sociaux en quelques secondes seulement, ont découvert des chercheurs de chez Trend Micro. Appelé Kopeechka (« penny » en russe), le service permet de contourner deux obstacles principaux pour quelqu’un qui tente de créer un faux compte : la vérification par courrier électronique et par téléphone.

J’avoue être très étonné, le site Kopeechka existe depuis plusieurs années [2019] et il est légal. Il affiche être une solution prête à l’emploi pour l’achat groupé de comptes de messagerie sans nécessiter de maintenance supplémentaire de ces comptes. Mais, comme d’habitude, des pirates et autres malveillants ont trouvé le moyen de détourner le service.

Bref, les cyber criminels peuvent utiliser Kopeechka pour mener des campagnes de désinformation, de spam et de promotion de logiciels malveillants. Il semble que ce service a été utilisé pour enregistrer en masse des comptes sur la plateforme de médias sociaux Mastodon afin de mener des campagnes de spam à grande échelle promouvant des plateformes d’investissement frauduleuses en crypto-monnaie.

Une lutte contre les faux comptes

Les géants des médias sociaux comme Instagram, Facebook et X (anciennement Twitter) s’efforcent depuis longtemps de minimiser l’enregistrement massif de faux comptes, également appelés robots, car ils sont souvent utilisés par les pirates informatiques dans leurs activités illégales. Les mesures anti-bot de base, comme la validation de l’adresse e-mail et du numéro de téléphone, l’utilisation d’adresses IP non suspectes et le CAPTCHA (un puzzle sur un site Web conçu pour confirmer qu’il est utilisé par une personne réelle plutôt que par un programme informatique), sont dissuasives.

Les cybercriminels peuvent contourner les CAPTCHA et les contrôles de réputation des adresses IP à l’aide de scripts automatisés, mais obtenir des adresses électroniques et des numéros de téléphone uniques peut s’avérer plus difficile. C’est alors qu’ils se tournent vers des services comme Kopeechka. En plus des principales plateformes de médias sociaux comme Facebook et X, les cybercriminels ont utilisé l’API de Kopeechka pour enregistrer des comptes sur Discord ou encore Telegram.

Un détournement malveillant voulu ?

Des chercheurs de Trend Micro ont également découvert un script Python via Kopeechka qui pourrait être utilisé pour créer des comptes sur Virus Total, un service en ligne qui analyse les fichiers informatiques à la recherche de virus, ce qui implique que certains utilisateurs pourraient enregistrer ces comptes pour tester la détection de leurs logiciels malveillants. Kopeechka permet aux utilisateurs d’accéder aux courriels reçus des plateformes de médias sociaux. Il ne cède pas lui-même le compte de boîte aux lettres, car il est contrôlé par Kopeechka et non par un utilisateur tiers.

Kopeechka dispose de plusieurs comptes de messagerie en stock, notamment avec Hotmail, Outlook ou encore Gmail. L’outil étant russe, Mail.ru fait parti du râtelier du service. Il permet d’utiliser une seule adresse pour plusieurs inscriptions sur différentes plateformes de médias sociaux. Les chercheurs soupçonnent que ces adresses sont soit compromises, soit créées par les acteurs de Kopeechka eux-mêmes.

Pour vérifier les numéros de téléphone des utilisateurs lors de l’enregistrement du compte, Kopeechka offre l’accès à 16 services SMS en ligne différents, provenant pour la plupart de Russie. Le blog ZATAZ a montré, il y a deux ans, dans son espace OSINT, différents sites web permettant de recevoir des SMS, sans être obligé de fournir un numéro de téléphone officiel ou enregistré.

Il faut compter moins de 0.0020$ par message. Deux adresse en .fr sont disponibles : outlook.fr et gmx.fr.

Review Checker, l’application qui detecte les faux commentaires

Une version bêta d’une extension baptisée Review Checker a été publiée pour le navigateur Mozilla Firefox. Elle détecte les fausses critiques de produits.

La fonction « Review Checker » examine tous les avis sur la page, raye ceux que les algorithmes déterminent comme étant faux en fonction de la formulation typique et de la similitude avec d’autres commentaires, puis calcule la note ajustée du produit.

L’extension est actuellement testée auprès d’une petite partie d’utilisateurs américains sur trois plateformes d’achat : Amazon, BestBuy et Walmart. La version 119 de Firefox introduit Review Checker. La sortie officielle devrait avoir lieu en novembre 2023 , mais il n’est pas clair si à l’avenir la fonction prendra en charge des marchés nationaux ou ne se contentera d’entreprises partenaires.

Propulsée par Fakespot de Mozilla, cette fonctionnalité évalue la qualité des avis sur les produits en vous aidant à savoir si les avis proviennent probablement de vrais clients ou s’ils proviennent d’évaluateurs biaisés ou rémunérés. Review Checker utilise la technologie d’IA pour analyser les avis sur Amazon, Best Buy et Walmart.

Il attribue aux avis de chaque produit une note alphabétique, allant de A à F, indiquant leur fiabilité.

Prise de contrôle silencieuse : découvrir votre adresse IP via Skype

Une vulnérabilité a été découverte dans l’application mobile Skype qui permet aux pirates d’obtenir l’adresse IP de l’utilisateur lors de l’ouverture d’un message avec un lien spécifique.

Trouver votre adresse IP, via un simple message sur Skype, possible. Ce défaut a été identifié par un chercheur indépendant en sécurité nommé Yossi. Le chercheur a découvert qu’n pirate informatique peut déterminer l’emplacement général d’un utilisateur en lui demandant d’ouvrir un message contenant un lien. Yossi a signalé le problème à Microsoft début du mois d’août. Pour démontrer la vulnérabilité, Yossi a réalisé une démonstration avec l’adresse IP d’un journaliste de 404 Media.

Un pirate pourrait faire de même et récupérer l’IP originale, même si cette adresse est cachée derrière un réseau privé virtuel (VPN). Lorsque Yossi a contacté Microsoft le 12 août, on lui a répondu que « la divulgation d’une adresse IP en soi n’est pas considérée comme une faille de sécurité ». À la suite d’un appel de 404 Media, Microsoft a déclaré qu’il résoudrait le problème dans une « future mise à jour du produit« , sans préciser de date. Rappelons que des pirates chinois ont récemment eu accès au courrier électronique du gouvernement américain via Microsoft Azure, ce qui a suscité des critiques à l’encontre de l’entreprise pour son approche des failles de sécurité.

Plus tôt cet été, le PDG de la société de cybersécurité Tenable, Amit Göran, a accusé Microsoft de « négligence grave » en citant le retard de l’entreprise à corriger une vulnérabilité critique.

Attaques Acoustiques : comment des frappes de clavier deviennent une menace pour vos données

Dans le monde numérique d’aujourd’hui, où les pirates informatiques sont constamment à la recherche de nouvelles méthodes pour accéder à des données sensibles, une menace revient sur le devant de la scéne : les attaques acoustiques.

Des chercheurs d’universités britanniques ont développé un modèle d’apprentissage qui peut voler des données à partir de frappes de clavier enregistrées via un microphone, avec une précision étonnante de 95 %.

L’impact de cette nouvelle attaque a la capacité de compromettre les données les plus sensibles des utilisateurs, allant des mots de passe aux discussions confidentielles. Du moins sur le papier. Contrairement à d’autres attaques nécessitant des conditions spécifiques, les attaques acoustiques sont rendues plus accessibles en raison de la prolifération d’appareils équipés de microphones capables d’enregistrer des sons de haute qualité. Cette situation, conjuguée aux avancées rapides en matière d’apprentissage automatique, rend ces attaques sonores plus dangereuses et accessibles que jamais.

L’évolution des menaces et la nécessité d’une sécurité renforcée

Cette attaque met en évidence la nécessité d’adopter des mesures de sécurité renforcées. Les méthodes traditionnelles de protection, telles que les mots de passe, ne suffisent plus à garantir la sécurité des données. L’authentification multifactorielle, les clés physiques et les systèmes d’entrée sans mot de passe deviennent essentiels pour contrer ces menaces émergentes. Alors que les pirates continuent de rechercher des failles, les entreprises et les individus doivent prendre des mesures proactives pour sécuriser leurs données.

Bien que ce type d’attaque ne soit pas entièrement nouveau, son taux de réussite élevé, atteignant 95 %, est préoccupant. L’idée de capturer les frappes de clavier à partir du son est similaire à la prise d’empreintes digitales via la frappe, incluant la vitesse de frappe, les erreurs et les intervalles entre les touches. Tout cela peut être accompli simplement en écoutant une communication vocale, comme une conversation téléphonique. Cette menace a conduit à l’exploration de concepts tels que l’outil « keytap » développé par Georgi Gerganov en 2018, qui se concentrait sur le son spécifique des claviers mécaniques.

Comment Google renforce la sécurité de ses collaborateurs en expérimentant l’exclusion d’Internet

Récemment, Google a annoncé une initiative audacieuse visant à réduire le nombre d’attaques sur ses collaborateurs en expérimentant une approche de sécurité innovante. L’entreprise souhaite exclure temporairement certains de ses employés d’Internet.

L’idée centrale derrière cette démarche est basée sur le concept bien connu de l »air gap’ (séparation physique). Ce concept a déjà fait ses preuves dans les milieux de la sécurité informatique en rendant les serveurs de sauvegarde moins vulnérables aux attaques. Lorsqu’un serveur est déconnecté d’Internet, il devient beaucoup plus difficile pour les agresseurs d’y accéder à distance, obligeant ainsi les pirates à se trouver physiquement près de l’ordinateur pour essayer de le compromettre. Mais comment cela se traduit-il lorsqu’il s’agit de collaborateurs travaillant au sein de la plus grande entreprise Internet au monde ?

Selon des documents internes relayés par le site d’information américain CNBC, Google est actuellement en train de mener une expérience ambitieuse impliquant environ 2 % de ses collaborateurs. Ces volontaires ont été choisis pour être exclus d’Internet pendant la durée de l’expérience. Cela signifie qu’ils ne peuvent pas accéder au World Wide Web et n’ont pas les privilèges root sur leurs ordinateurs. Le but ultime de cette démarche est de renforcer considérablement la sécurité des collaborateurs participants.

Des collaborateurs pas complètement déconnectés

Néanmoins, cette exclusion d’Internet ne signifie pas que les collaborateurs sont complètement déconnectés de tout support numérique. Google a pris soin de permettre l’utilisation de ses propres outils basés dans le nuage, ce qui permet aux employés de continuer à travailler de manière productive malgré l’absence d’accès à Internet. De plus, des exceptions ont été mises en place pour les collaborateurs qui ont un besoin impératif d’accéder à Internet dans le cadre de leurs tâches professionnelles.

Il est important de noter que Google a rapidement souligné sur Twitter que cette expérimentation ne deviendra pas une politique générale. Autrement dit, l’entreprise n’a pas l’intention de désactiver Internet pour l’ensemble de ses employés à l’avenir. Cependant, cette démarche est un exemple de l’approche proactive adoptée par Google pour renforcer la sécurité de ses infrastructures et de ses collaborateurs face à un paysage de cyber-menaces en constante évolution.

Une fuite de données inattendue pour VirusTotal

Une fuite de données inattendue a secoué le monde de la cybersécurité en juin dernier. Un fichier de clients VirusTotal s’est retrouvé accidentellement sur Internet, exposant une liste de 5 600 noms, parmi lesquels figuraient des employés des services secrets américains de la NSA et des services de renseignement allemands.

VirusTotal est essentiellement une immense base de données de logiciels malveillants. Les utilisateurs peuvent soumettre des fichiers suspects ou des liens vers des sites Web douteux, qui sont ensuite comparés aux bases de données de 70 fabricants d’antivirus pour détecter toute activité suspecte. Cela a permis la création d’une archive mondiale d’outils d’attaque numérique, une précieuse bibliothèque de codes malveillants. Cependant, cette plateforme n’est pas exempte de critiques, car elle peut potentiellement exposer involontairement des données confidentielles, comme l’a averti l’Office fédéral de la sécurité de l’information (BSI) l’année dernière.

Révélations troublantes sur la liste divulguée

La liste, 5 600 clients de VirusTotal, comprend des organismes gouvernementaux de premier plan tels que le Cyber Command américain, le FBI, le département américain de la Justice, la NSA ou encore le service de renseignement allemand MAD. De nombreuses entreprises allemandes sont également concernées, notamment la Deutsche Bahn, la Bundesbank, Allianz, BMW, Mercedes-Benz et Deutsche Telekom. Cette fuite suscite des inquiétudes quant à l’utilisation abusive des données pour l’ingénierie sociale et les attaques de phishing ciblées. Alertés, pas de doute que les « clients » concernés ont changé d’adresse électronique et redoublé de prudence.

Les implications de la fuite de données

Bien que les mots de passe ne soient pas affectés par cette fuite, la liste divulguée permet d’identifier les personnes en charge de la sécurité informatique et de la lutte contre les logiciels malveillants au sein des organisations concernées. Cela pourrait ouvrir la voie à des tentatives d’attaques ciblées contre ces individus. Ce qui rend cette fuite encore plus folle, c’est que VirusTotal appartient à Google. Cette situation soulève des questions sur la sécurité et le contrôle des données chez Google.

Google a rapidement supprimé la liste de la plateforme dès qu’ils ont été informés de la fuite. Ils se sont également engagés à améliorer leurs processus internes et leurs contrôles techniques pour éviter de tels incidents à l’avenir. Le BSI, tout en utilisant VirusTotal comme source d’informations, conseille aux autorités fédérales de ne pas télécharger de fichiers sur cette plateforme. Un courriel de 2022, temporairement retrouvé sur la plateforme de sécurité, montre l’importance de VirusTotal en termes de sécurité informatique et quelles informations critiques peuvent s’y retrouver. Dans ce mail, l’Association allemande pour l’ingénierie des machines et des installations (VDMA) a envoyé un lien vers un portail Web du ministère de l’Intérieur de Rhénanie-Palatinat en tant que service pour ses membres – avec le mot de passe associé.

D’autres entreprises touchées par la fuite, telles que Deutsche Telekom, ont également pris des mesures pour informer leurs employés et prévenir les éventuelles attaques.

Proxy jacking : détournement SSH

Proxy jacking : Des hackers malveillants détournent les serveurs SSH en les attachant à un réseau proxy.

Les attaques en ligne sont devenues une préoccupation majeure pour les entreprises et les utilisateurs individuels. Une nouvelle menace a été identifiée par les experts d’Akamai Technologies, mettant en évidence une campagne de proxy jacking qui cible les serveurs SSH vulnérables. Les attaquants exploitent les serveurs pour lancer un service Docker qui utilise la bande passante de la victime pour alimenter un réseau proxy commercial.

Cette technique, moins visible que le cryptojacking, offre aux attaquants un moyen discret de générer des avantages financiers en utilisant la bande passante des victimes. Dans cet article, nous allons examiner de plus près cette menace croissante et discuter des mesures que vous pouvez prendre pour protéger vos serveurs SSH contre les attaques de proxy jacking.

Les attaques de proxy jacking

Les attaques de proxy jacking sont une méthode sophistiquée utilisée par les attaquants pour détourner les serveurs SSH vulnérables. Une fois qu’ils ont obtenu un accès à distance au système, les attaquants déploient un service Docker qui partage le canal Internet de la victime avec un réseau proxy commercial. Contrairement au cryptojacking, cette attaque est beaucoup moins visible, ce qui réduit considérablement le risque de détection précoce. Les attaquants utilisent cette méthode pour obtenir des avantages financiers en exploitant la bande passante supplémentaire de la victime, pour laquelle ils reçoivent une récompense du propriétaire du service proxy.

Les chercheurs notent que, contrairement au cryptojacking, de telles attaques sont beaucoup plus discretes : elles chargent beaucoup moins de ressources, ce qui réduit le risque de détection. L’objectif : obtenir des avantages financiers, seuls les proxyjackers n’utilisent pas la puissance de l’ordinateur, mais la bande passante supplémentaire de la victime, pour laquelle ils reçoivent une récompense du propriétaire du service proxy – comme Peer2Profit ou Honeygain.

Le rôle des services proxy

Les services de proxy de trafic sont des outils légaux couramment utilisés par les annonceurs et d’autres utilisateurs. Les participants à ces réseaux proxy installent volontairement un logiciel spécialisé sur leurs machines, permettant ainsi le partage de leur bande passante inutilisée avec d’autres appareils. Malheureusement, ces outils et services ne sont pas à l’abri des abus. Les attaquants exploitent depuis longtemps les proxys pour masquer la source du trafic malveillant et recherchent activement des services qui offrent un anonymat similaire.

Détection d’une campagne de proxy jacking

Dans cette campagne de proxy jacking, les pirates informatiques ont réussi à installer un script Bash obscurci après avoir détourné un serveur vulnérable. Ce script recherche et met fin à tous les processus concurrents, puis lance un service Docker pour partager la bande passante de la victime. Une analyse plus approfondie a révélé que le logiciel malveillant obtenait toutes les dépendances nécessaires du serveur Web compromis, y compris un outil de ligne de commande Curl déguisé en fichier CSS (csdark.css). (Akamai)

Une nouvelle méthode de piratage révèle les clés secrètes des appareils via la LED d’alimentation

Une équipe de chercheurs de l’Université Ben Gourion et de l’Université Cornell ont trouvé un moyen de récupérer les clés secrètes des appareils cibles en analysant la LED d’alimentation.

Une équipe de chercheurs de l’Université Ben Gourion et de l’Université Cornell a récemment fait une découverte inquiétante en matière de sécurité informatique. Ils ont trouvé un moyen de récupérer les clés secrètes des appareils cibles en analysant la LED d’alimentation. Cette méthode, basée sur l’analyse des variations de luminosité, permet à un attaquant potentiel de dérober des clés cryptographiques en utilisant une caméra de smartphone ou une caméra de surveillance. Dans cet article, nous explorerons les détails de cette découverte et ses implications pour la sécurité des données.

Le lien entre la consommation électrique et la luminosité de la LED

Les chercheurs expliquent dans leur rapport que les calculs effectués par le processeur d’un appareil ont un impact direct sur sa consommation électrique, ce qui se reflète dans la luminosité de la LED d’alimentation. Ils ont découvert que ces changements de luminosité peuvent être exploités pour extraire les clés cryptographiques d’un appareil. En analysant les variations rapides de luminosité de la LED, un attaquant peut utiliser l’effet de « parallaxe temporelle » de la caméra pour capturer les émissions physiques.

Les résultats des tests

Les chercheurs ont réalisé plusieurs tests pour valider leur méthode de piratage via la LED d’alimentation. Ils ont réussi à récupérer avec succès une clé ECDSA de 256 bits à partir d’une carte à puce en analysant l’enregistrement vidéo du scintillement de la LED. Dans un autre test, ils ont extrait une clé SIKE de 378 bits à partir d’un téléphone Samsung Galaxy S8. Dans ce cas, ils ont pointé la caméra d’un iPhone 13 vers la LED d’alimentation des haut-parleurs Logitech Z120 connectés au hub USB. Ces tests démontrent l’efficacité de la méthode et la vulnérabilité des appareils face à cette nouvelle forme de piratage.

Les conditions nécessaires pour une attaque réussie

Pour qu’une attaque réussisse, plusieurs conditions doivent être remplies. Tout d’abord, la caméra utilisée par l’attaquant doit être capable de capturer les variations de luminosité de la LED à une distance de 16 mètres du dispositif cible. De plus, la LED d’alimentation doit être en ligne de mire directe de la caméra. Ces exigences peuvent sembler restrictives, mais avec l’avancée des technologies de caméra, il est probable que les attaquants puissent contourner ces limitations à l’avenir.

Thales et Google Cloud s’associent pour renforcer la sécurité des données grâce à l’IA générative

Thales, un fournisseur mondial de technologies et de solutions de sécurité, a annoncé un nouveau partenariat avec Google Cloud dans le but de développer de nouvelles capacités de sécurité des données alimentées par l’IA générative. Cette collaboration vise à renforcer la faculté des entreprises à découvrir, classer et protéger leurs données les plus sensibles. En exploitant l’IA générative, Thales cherche à améliorer sa plateforme de sécurité des données CipherTrust, offrant ainsi de nouvelles fonctionnalités et expériences aux utilisateurs.

Dans un monde où de plus en plus d’entreprises hébergent leurs données sensibles dans le cloud, la sécurité et la protection de ces données sont devenues des préoccupations majeures. Selon le rapport sur les menaces liées aux données de Thales en 2023, seulement 24 % des entreprises connaissent l’emplacement exact de l’intégralité de leurs données. Pour remédier à cela, Thales s’associe à Google Cloud pour exploiter l’IA générative et renforcer la capacité de sa plateforme de sécurité des données CipherTrust.

L’objectif principal de ce partenariat est d’améliorer la découverte, la classification et la protection des données sensibles dans le cloud. Grâce à l’utilisation de l’IA générative, la plateforme CipherTrust bénéficiera d’une nouvelle fonctionnalité appelée « Data Discovery and Classification Machine Learning ». Cette fonctionnalité, alimentée par Vertex AI de Google Cloud, permettra une découverte et une classification plus précises des données.

En utilisant l’apprentissage automatique, les données seront classées en différentes catégories et sous-catégories, en s’appuyant sur la « reconnaissance d’entités nommées » pour identifier différents types d’informations sensibles. Les techniques d’apprentissage automatique permettront également de renforcer la découverte et la classification des données en utilisant des caractéristiques sémantiques communes. Cette approche permettra de découvrir et de classifier les informations sensibles à partir d’un ensemble de référentiels documentaires d’entreprise, tout en garantissant leur protection.

Ce partenariat entre Thales et Google Cloud vise à aider les entreprises à accélérer leur efficacité opérationnelle, à réduire les délais de mise en conformité et à corriger les lacunes en matière de sécurité. En renforçant la capacité de la plateforme CipherTrust à protéger les données sensibles, les utilisateurs bénéficieront d’une meilleure tranquillité d’esprit et pourront se concentrer sur leur activité principale, en sachant que leurs informations les plus sensibles sont sécurisées.

Nouvelle technique d’attaque utilisant OpenAI ChatGPT pour distribuer des packages malveillants

Les chercheurs ont récemment découvert une nouvelle technique d’attaque qui exploite les capacités du modèle de langage OpenAI ChatGPT. Cette technique permet aux attaquants de distribuer des packages malveillants dans les environnements de développement. Dans un avis conjoint publié aujourd’hui, les chercheurs ont alerté sur cette nouvelle menace et ont souligné l’importance de prendre des mesures pour atténuer les risques.

Selon les auteurs du rapport technique, ChatGPT a été observé en train de générer des URL, des liens et même des bibliothèques et des fonctions de code qui n’existent pas réellement. Ce phénomène, connu sous le nom d’hallucinations des grands modèles de langage, a été documenté auparavant et pourrait résulter de données d’apprentissage obsolètes. Ces hallucinations ou recommandations erronées peuvent être exploitées par les attaquants pour tromper les utilisateurs.

L’hallucination du package AI

La nouvelle technique de distribution de packages malveillants, baptisée « l’hallucination du package AI« , repose sur l’interaction entre les attaquants et ChatGPT. Les attaquants posent une question à ChatGPT en demandant un package pour résoudre un problème d’encodage, et en réponse, ils obtiennent plusieurs recommandations de package, y compris certains qui ne sont pas publiés dans des référentiels légitimes. Les attaquants remplacent ensuite ces packages inexistants par leurs propres packages malveillants, incitant ainsi les utilisateurs futurs à faire confiance aux recommandations de ChatGPT.

Atténuation des risques et meilleures pratiques

La détection des packages malveillants issus de l’IA peut être difficile car les attaquants utilisent des techniques d’obscurcissement et créent des packages de chevaux de Troie fonctionnels. Cependant, il existe des mesures que les développeurs peuvent prendre pour atténuer les risques. Tout d’abord, il est essentiel d’examiner attentivement les bibliothèques proposées par ChatGPT, en tenant compte de facteurs tels que la date de création, le nombre de téléchargements, les commentaires et les notes jointes. Une certaine prudence et un certain scepticisme à l’égard des packages suspects sont également importants pour assurer la sécurité des logiciels.

Les opportunités de l’IA générative et les risques associés

L’intelligence artificielle (IA), en particulier l’IA générative, représente une avancée majeure dans le domaine de la science et de la technologie. Elle offre des opportunités passionnantes dans de nombreux domaines, tels que la création de contenu, le design, la musique, la recherche médicale et bien d’autres. Cependant, cette avancée technologique soulève également des inquiétudes quant à son utilisation potentielle à des fins malveillantes.

L’IA générative est capable de créer du contenu de manière autonome, imitant et produisant des résultats indiscernables de ceux créés par des humains. Cela ouvre de nouvelles perspectives créatives et permet des avancées significatives dans de nombreux domaines. Cependant, cette même capacité peut être exploitée par des individus mal intentionnés pour des activités telles que la manipulation de l’opinion publique, la production de contrefaçons, la falsification de documents, voire la création de faux médias.

Il est donc impératif de sécuriser l’IA contre le vol, la falsification, la manipulation et autres attaques. Les chercheurs et les entreprises du secteur ont pris conscience de ces enjeux et travaillent activement pour développer des solutions de sécurité pour l’IA générative.

Le Secure AI Framework (SAIF) de Google pour la protection de l’IA

Le 8 juin 2023, Google a présenté le Secure AI Framework (SAIF), un cadre conceptuel conçu pour protéger les technologies d’IA contre les attaques malveillantes. SAIF s’appuie sur l’expérience de Google dans le développement de modèles de cybersécurité éprouvés, tels que le cadre collaboratif de niveaux de chaîne d’approvisionnement pour les artefacts logiciels (SLSA) et BeyondCorp, une architecture de confiance zéro.

SAIF repose sur six principes fondamentaux pour sécuriser l’IA générative

Étendre des bases de sécurité solides à l’écosystème de l’IA : Cela inclut l’utilisation de protections d’infrastructure par défaut, telles que les techniques de prévention des injections SQL, pour renforcer la sécurité des systèmes d’IA générative.

Développer la détection et la réponse : Il est essentiel de surveiller attentivement les entrées et les sorties des systèmes d’IA générative afin de détecter les anomalies potentielles. En utilisant les renseignements sur les menaces, il est possible de prévoir et de contrer les attaques.

Automatiser la protection : Face aux menaces existantes et émergentes, l’automatisation joue un rôle crucial pour garantir la sécurité de l’IA générative. En automatisant les processus de protection, il est possible de réagir rapidement aux attaques.

Harmoniser les contrôles au niveau de la plateforme : Pour assurer une sécurité cohérente dans toute l’organisation, il est nécessaire de mettre en place des contrôles de sécurité standardisés au niveau de la plateforme.

Adapter les contrôles : Il est important d’ajuster les mesures d’atténuation pour sécuriser l’IA générative. Cela comprend l’utilisation de techniques telles que l’apprentissage par renforcement basé sur les incidents et les commentaires des utilisateurs, la mise à jour des ensembles de données de formation, le réglage des modèles pour une réponse stratégique aux attaques et l’utilisation de commandes de drapeaux rouges.

Contextualiser les risques des systèmes d’IA : Il est essentiel de comprendre les risques associés aux systèmes d’IA générative dans le contexte des processus métier environnants. Cela nécessite des évaluations complètes des risques pour déterminer comment les organisations utiliseront l’IA de manière sécurisée. Google s’est engagé à publier plusieurs outils open source pour aider à mettre en œuvre les éléments du SAIF et renforcer la sécurité de l’IA générative. De plus, la société étendra ses programmes de recherche de bogues pour encourager la communauté à contribuer à la sécurité et à la fiabilité de l’IA.

Données clients dans des routeurs vendus d’occasion

Une étude affiche une inquiétante mauvaise habitude dans la revente de matériel informatique. 22% des routeurs de seconde main affichent encore des données sur les clients !

Une étude présentée ce 24 avril 2023 affiche des chiffres qui laissent perplexe sur la compréhension de certains utilisateurs professionnels de matériels informatiques. Le laboratoire ESET Research découvre que les routeurs d’occasion détiennent de nombreux secrets d’entreprises. Plus de 56 % des routeurs réseaux achetés à des fournisseurs de matériel d’occasion contenaient un trésor de données sensibles, notamment des identifiants, des configurations VPN, des clés cryptographiques, etc. Entre de mauvaises mains, ces données suffisent pour débuter une cyberattaque pouvant conduire à une atteinte à la sécurité des données, mettant en danger l’entreprise, ses partenaires et ses clients.

Cette étude montre que les entreprises ne suivent pas des protocoles de sécurité suffisant lors de la mise au rebut de leur matériel. Après avoir examiné les données de configuration de 16 appareils distincts, 9 routeurs contenaient encore des données d’entreprise sensibles.

Des données clients toujours présentes

22 % contenaient des données sur les clients ; 33 % exposaient des données permettant à des tiers de se connecter au réseau ; 44 % disposaient d’identifiants pour se connecter à d’autres réseaux en tant que tiers de confiance ; 89 % contenaient des détails de connexion pour des applications spécifiques ; 89 % contenaient des clés d’authentification de routeur à routeur ; 100 % contenaient un ou plusieurs identifiants de VPN ou IPsec, ou des hash de mots de passe root ; 100 % disposaient de données suffisantes pour identifier l’ancien propriétaire/exploitant avec certitude.

Les données découvertes sur les équipements entrent dans ces catégories : informations de tiers de confiance ; Données sur les clients ; Données d’applications spécifiques ; Informations complètes sur le routage central ou encore données d’usurpation d’opérateurs de confiance.

Nous pourrions attendre à ce que les entreprises de taille moyenne et les grandes entreprises disposent d’un ensemble de protocoles de sécurité stricts pour mettre les appareils hors service « mais nous avons constaté le contraire » confirme ESET. Les organisations doivent être beaucoup plus conscientes de ce qui reste sur les appareils qu’elles mettent hors service « Les appareils d’occasion que nous avons obtenus contenaient un schéma numérique détaillé de l’entreprise concernée, notamment des informations réseau essentielles, des données d’applications, des identifiants de l’entreprise et des informations sur les partenaires, les fournisseurs et les clients.« 

9 millions de clients piratés chez AT&T

Le géant des télécommunications AT&T a informé environ 9 millions de clients que certaines de leurs données avaient été exposées en raison du piratage d’un fournisseur de marketing tiers en janvier 2023.

Le blog ZATAZ, référence mondiale dans les actualités liées au cybercrime, révélait, en janvier 2023 et février 2023, le cas de plusieurs fuites de données impactant des géants des télécom US. Dans le lot, Verizon et A&T.

Des représentants de la société américaine AT&T ont déclaré que l’ensemble de données divulgué datait de plusieurs années et était associé au droit de mettre à niveau les appareils. La société a souligné que la fuite n’affectait pas les propres systèmes d’AT&T.

C’est un fournisseur tiers, qui n’a pas été nommé, qui serait responsable de cette fuite d’informations impactant « d’environ 9 millions de comptes […] Un fournisseur que nous utilisons à des fins de marketing a subi un incident de sécurité. Les informations réseau appartenant aux clients ont été divulguées, telles que le nombre de lignes associées à un compte ou les détails du forfait de données sans fil. Les informations n’incluaient pas les informations de carte de crédit, les numéros de sécurité sociale, les mots de passe de compte ou d’autres informations sensibles« , a déclaré AT&T.

SwiftSlicer, un nouveau virus pour détruire Windows ?

Des chercheurs identifient un nouveau logiciel malveillant de récupération de données du nom de SwiftSlicer capable de détruire Windows.

Voilà un code malveillant dès plus déplaisant. Son nom, SwiftSlicer. On peut traduire cette chose par « trancheur rapide ». Sa mission malveillante et d’écraser les fichiers importants utilisés par le système d’exploitation Windows.

SwiftSlicer utilise la stratégie de groupe Active Directory qui permet aux administrateurs de domaine d’exécuter des scripts et des commandes sur tous les appareils d’un réseau Windows.

Ce virus a été déployé pour supprimer (ou écraser) les fichiers critiques dans le répertoire système de Windows, en particulier les pilotes et la base de données Active Directory.

SwiftSlicer écrase les données en utilisant des blocs de 4096 octets remplis d’octets générés aléatoirement. Une fois le code de destruction des données terminé, le logiciel malveillant redémarre et remet les systèmes à zéro.

Une faille dans Python

Une vulnérabilité vieille de 15 ans dans le langage Python refait surface et risque d’affecter plus de 350 000 projets open source.

Une vieille faille dans un langage très couru, voilà qui n’arrange pas les affaires des codeurs et concepteurs de projets sous Python.
Un récent rapport de Trellix détaillant la présence d’une vulnérabilité de traversée de répertoire non corrigée vieille de 15 ans (CVE-2007-4559) dans le module tarfile de Python, une bibliothèque utilisée pour lire et écrire des fichiers archivés sur bande (tar), expose potentiellement plus de 350 000 dépôts open source qui l’utilisent dans leurs projets.

Cette situation rappelle les défis que pose l’intégration de code source ouvert dans les projets logiciels, en particulier ceux utilisés dans les environnements d’entreprise. « Alors que les retombées de la découverte de Log4Shell dans la bibliothèque Log4j remontent à près d’un an, les chercheurs continuent d’identifier des faiblesses dans la chaîne d’approvisionnement, ce qui souligne le besoin continu de ressources supplémentaires pour aider à identifier et à traiter les vulnérabilités dans certaines des bibliothèques et des logiciels les plus courants utilisés aujourd’hui par les organisations. » indique Satnam Narang, Senior Staff Research Engineer chez Tenable.

Des initiatives telles que les niveaux de la chaîne d’approvisionnement pour les artefacts logiciels (SLSA) et l’inventaire logiciels (SBOM), ainsi que des projets tels qu’Alpha-Omega sous l’égide de l’Open Source Security Foundation, sont conçus pour combler le fossé de la sécurité au sein de la communauté open source, car de nombreux développeurs sont souvent des contributeurs non rémunérés qui donnent de leur temps.

Il n’existe pas de solution unique pour résoudre le problème de la sécurité de la chaîne d’approvisionnement des logiciels, mais les propositions ci-dessus offrent la possibilité de contribuer à faire une différence significative.

Des rapports comme celui-ci ne seront certainement pas les derniers, c’est pourquoi la poursuite des initiatives est cruciale.

Smartphone en Russie, bientôt la fin du monde ?

L’association des développeurs de produits high-tech russe s’inquiète d’une probable fin d’utilisation d’Android et iOS Apple en Russie.

La présidente de l’Association des développeurs de produits logiciels nationaux, Natalya Kasperskaya, vient de lancer une alerte qui fait résonnance pour les anciens consommateurs de produits Huawei, interdits par l’Oncle Sam.

Natalya s’inquiète des risques de déconnexion de tous les smartphones en Fédération de Russie sous Android et iOS (Apple).

De son côté, l’éditeur Russe de solutions de cybersécurité Kaspersky est convaincu que la probabilité d’un tel scénario doit être évaluée comme une cybermenace. Comme alternative aux smartphones, Kaspersky a suggéré d’utiliser un ordinateur portable, un téléphone d’ancienne génération (avec bouton à la NOKIA) ou, dans les cas extrêmes, le courrier ordinaire.

Macros bloquées par défaut

Microsoft bloque désormais les macros VBA par défaut dans les applications Office.

Les macros sont un vecteur d’infection populaire depuis des décennies. Elles ont été utilisées par les menaces décrites dans le rapport sur les menaces du deuxième trimestre 2022, notamment les chevaux de Troie d’accès à distance comme Nerbian RAT, un nouveau RAT écrit en Go apparu au deuxième trimestre 2022, et par le groupe APT Confucius pour déposer d’autres logiciels malveillants sur les ordinateurs des victimes.

Nous avons déjà remarqué que les acteurs de la menace commencent à préparer des vecteurs d’infection alternatifs, maintenant que les macros sont bloquées par défaut. Par exemple, IcedID et Emotet ont déjà commencé à utiliser des fichiers LNK, des images ISO ou IMG, et d’autres astuces supportées par la plateforme Windows comme alternative aux maldocs pour diffuser leurs campagnes.

Microsoft était revenue sur ce blocage à la suite d’une série de gens pas contents. Début août, retour du blocage, définitivement.

Managed Detection & Response pour entreprise

L’entreprise F-Secure, nouvellement baptisée WithSecure, renforce les solutions cybersécurité à destination des entreprises hexagonales. Rencontre avec Benoit Meulin, consultant. Depuis maintenant 2 années chez WithSecure, après de nombreuses années passées dans la cyber, il a en charge du portfolio de la BU Solution créé, cette année, par le spécialiste des solutions de protection numérique.

Les besoins pour protéger les entreprises se sont accentués ?

Ces besoins sont en constante évolution et la pression ne cesse d’augmenter sur les entreprises. L’accélération est très importante. Nous avons fait le choix de mettre en place une organisation spécifique afin de suivre cette accélération et toujours mieux protéger nos clients.

WithSecure propose de nouveaux services. Pouvez-vous nous les présenter ?

Nous disposions d’une offre de Managed Detection & Response (MDR) bien implantée en France qui s’appelle COUNTERCEPT. Nous avons décidé de soutenir cette offre de protection par une offre de gestion de la surface d’attaque (EASM : Enterprise Attack Surface Management) qui permet aux clients de mieux appréhender et maîtriser leur surface d’attaque externe et donc de la réduire. Nous proposons également dans le prolongement de ces offres des accompagnements à la préparation des incidents cyber ainsi que des services d’Incident Response.

Quelles seraient les priorités à mettre en place, pour une entreprise souhaitant prendre à bras-le-corps sa cybersécurité ?

Il me semble que la première marche à passer est celle du choix d’un partenaire pour accompagner ce gain en maturité. Commencer par la mise en place d’un MDR permet d’acheter du temps et de la sérénité pour démarrer des chantiers plus structurant autour des aspects de gouvernance et gestion de risque, qui sont les piliers d’une démarche efficace et qui permet à terme de faire les bons choix stratégiques. Je le dis souvent mais mon client idéal est celui qui trois années après avoir souscrit à notre offre MDR nous dit qu’il n’a plus besoin de nous car il est à un niveau de maturité suffisant pour assurer sa propre défense.

Que faut-il craindre, demain, des pirates ?

Nous avons en face de nous une R&D motivée par des sujets aussi bien géopolitiques que financiers. Ces innovations couvrent bien des domaines, de la technique à la stratégie. Nous avons vu évoluer les approches des cybercriminels pour augmenter leurs chances de gain financier lors des attaques, par de la méthode et de la technologie : voler de la donnée (commerciale, R&D etc…) avant de la rendre inaccessible et demander une rançon par exemple. Les supports disponibles pour attaquer une organisation sont de plus en plus nombreux (applications, mobiles, cloud etc…) et une fois de plus, la créativité des attaquants ne doit en aucun cas être sous-estimée. Nous monitorons les évolutions des attaques constamment pour être au plus près de la menace.

Bref, être pro actifs devient indispensable, que ce soit à l’extérieur, mais aussi et surtout à l’intérieur de l’entreprise ?

Je ne serais pas de ces gens qui disent que la faiblesse est entre la chaise et le clavier. L’intérieur de l’entreprise est un des rideaux de défense qui doit être pris en compte, aussi bien au niveau des postes des utilisateurs que des utilisateurs eux-mêmes. Cela passe par des couches de protections technologiques comme par des mesures de sensibilisation et de formation des collaborateurs. Que l’attaquant soit interne ou externe, il finira par essayer de se faire passer pour quelqu’un de légitime sur le réseau et il faudra s’assurer qu’on l’attrape à ce moment là.

Augmentation de 550% du vishing, arnaque téléphonique

Les attaques par hameçonnage vocal (vishing ou voice phishing) auraient augmenté de près de 550 % au cours des douze derniers mois, selon le dernier rapport trimestriel sur les tendances en matière de menaces. Une hausse peu étonnante à la vue des méthodes pirates mises en place pour passer outre la double authentification.

Au cours du premier trimestre 2022, les sociétés Agara/Phishlabs ont détecté des centaines de milliers d’attaques phishing en provenance des réseaux sociaux, messageries électroniques ciblant un large éventail d’entreprises et de marques. Ce rapport analyse les principales tendances du paysage des menaces actuel.

Les attaques par vishing dépassent la compromission des e-mails

Depuis le troisième trimestre 2021, les attaques par vishing ont dépassé la compromission des e-mails professionnels, se positionnant comme deuxième source de menaces pesant sur les systèmes de messagerie électronique. À la fin de l’année, ces dernières représentaient plus d’une menace sur quatre, et cette tendance s’est poursuivie au premier trimestre 2022.

« Les campagnes de vishing hybride continuent de générer des chiffres stupéfiants, puisqu’elles constituent 26,1 % du volume total des attaques enregistrées jusqu’à présent en 2022 », indique John LaCour, de chez HelpSystems. « On assiste à une multiplication des acteurs de la menace qui délaissent les campagnes de phishing vocal standards pour lancer des attaques par e-mail malveillant en plusieurs étapes. Au cours de ces attaques, les hackers se servent d’un numéro de rappel inséré dans le corps de l’e-mail comme appât, puis s’appuient sur l’ingénierie sociale et l’usurpation d’identité pour inciter la victime à appeler et à interagir avec un faux représentant. »

Un chiffre qui pourrait étonner, mais qui pourtant montre l’évolution des pirates. Le blog ZATAZ, référence en matière des actualités liées à la lutte contre le cybercrime, révélait en 2021, une méthode pirate baptisée la méthode du « ALLO » qui consiste à appeler les victimes, par téléphone, pour leur soutirer les informations que les pirates informatiques ne possèdent pas déjà !

Autres enseignements de ce rapport

Les attaques par usurpation d’identité sur les réseaux sociaux sont en hausse. Depuis le deuxième trimestre 2021, le volume des usurpations d’identité ciblant les marques a bondi de 339 % et celui des usurpations d’identité de dirigeants de 273 %. D’après les résultats, les marques constituent des cibles faciles pour les cyber criminels, surtout lorsqu’elles sont associées à des opérations de contrefaçon de produits vendus au détail. Cependant, pour certaines attaques ciblées, des comptes sociaux de dirigeants sont utilisés pour renforcer le réalisme.

Les escroqueries par e-mail dont l’objectif est le vol d’identifiants restent le type de menaces par messagerie électronique le plus courant signalé par les collaborateurs, à hauteur de près de 59 % de tous les typologies de menaces rencontrées. Les vols d’identités ont augmenté de 6,9 % en volume par rapport au quatrième trimestre 2021.

Le paysage des malware est en constante évolution

Qbot a été une fois de plus le malware le plus usité par les acteurs de la menace pour servir leurs attaques par ransomware, mais Emotet a refait surface au premier trimestre prenant la première place du podium.

Alors que près de la moitié des sites d’hameçonnage s’appuient sur un outil ou un service gratuit, le premier trimestre 2022 a été le premier de cinq trimestres consécutifs où les services payants ou compromis (52 %) ont dépassé les solutions gratuites pour les mises en scène des sites de phishing.

« Comme la diversité des canaux numériques utilisés par les entreprises pour conduire leurs activités et communiquer avec les consommateurs se développe, les hackers disposent de multiples vecteurs pour conduire leurs exactions », ajoute John LaCour. « La plupart des attaques ne démarrent pas de zéro ; elles reposent sur la refonte de tactiques traditionnelles et l’intégration de multiples plateformes. Pour continuer à se protéger, les entreprises ne doivent plus uniquement se concentrer sur une protection périmétrique mais augmenter leur visibilité sur différents canaux externes, afin de recueillir des renseignements et de surveiller les menaces de manière proactive. En outre, les équipes de sécurité doivent investir dans des partenariats qui garantiront la prévention rapide et complète des attaques avant qu’elles n’entraînent des préjudices financiers et des atteintes à la réputation. »