Archives de catégorie : Social engineering

La nouvelle arnaque nord-coréenne : extorsion de fonds par de faux travailleurs informatiques

Une nouvelle forme de cybercriminalité nord-coréenne inquiète les entreprises américaines et britanniques : l’infiltration d’agents nord-coréens sous couvert de travailleurs informatiques. Grâce à des identités volées ou falsifiées, ces individus accèdent à des informations sensibles et, une fois découverts, extorquent des rançons à leurs employeurs.

L’arnaque des faux travailleurs informatiques n’est pas nouvelle, mais ce qui est inédit, c’est la tactique d’extorsion qui s’est développée au sein de ces opérations. Les agents, souvent employés comme sous-traitants informatiques dans de grandes entreprises, commencent par voler des données sensibles dès leur embauche. Lorsqu’ils sont licenciés pour des performances insuffisantes ou démasqués, ces agents menacent de rendre publiques les informations volées à moins de recevoir une rançon.

Par exemple, un sous-traitant a commencé à exfiltrer des données dès les premiers jours de son contrat en 2024. Après son licenciement, l’entreprise a reçu des demandes de rançon à six chiffres en cryptomonnaie. L’agent a envoyé des preuves du vol de données à travers des e-mails provenant de plusieurs adresses anonymes.

Un programme massif et organisé

Ces extorsions sont la partie émergée d’un vaste programme d’infiltration mené par le gouvernement nord-coréen. Depuis plusieurs années, les États-Unis et d’autres pays occidentaux mettent en garde les entreprises contre le recrutement de faux travailleurs informatiques, souvent opérant depuis la Chine ou la Russie, mais se faisant passer pour des résidents locaux grâce à des infrastructures de fermes d’ordinateurs portables. Le programme, qui ciblait initialement les entreprises de cryptomonnaie, s’est élargi aux entreprises du Fortune 100 et à des secteurs variés comme les technologies de l’information, les systèmes de chaîne d’approvisionnement, ou encore la production de puces électroniques.

Selon James Silver, directeur de la sécurité de Secureworks, ces agents ne se contentent pas d’extorquer de l’argent. Ils sont également intéressés par des informations sensibles, allant de la propriété intellectuelle aux données militaires et financières. Cela permet à la Corée du Nord de financer ses programmes militaires tout en profitant d’un flux de revenus via les rançons demandées aux entreprises.

Cependant, certaines de ces infiltrations semblent cibler des données qui ne sont pas traditionnellement d’intérêt pour Pyongyang, ce qui laisse penser qu’il pourrait y avoir une collaboration avec d’autres acteurs, comme la Chine. Stephen Schmidt, directeur de la sécurité chez Amazon, a mentionné lors d’une conférence que certaines informations exfiltrées semblaient plus utiles à Pékin qu’à Pyongyang, suggérant une éventuelle relation d’échange d’informations entre les deux nations.

Techniques utilisées par les agents nord-coréens

Les faux travailleurs nord-coréens utilisent plusieurs méthodes pour éviter d’être démasqués. Ils masquent souvent leur adresse IP et dirigent leurs ordinateurs portables professionnels vers des centres de calcul situés à l’étranger. Ils exploitent des outils tels que Chrome Remote Desktop ou AnyDesk pour accéder à distance aux systèmes de leurs employeurs.

Un autre indice de leur activité frauduleuse réside dans leur réticence à participer à des appels vidéo, souvent demandés par les entreprises pour vérifier l’identité des employés. Pour contourner ce problème, ces agents ont commencé à utiliser des outils comme SplitCam, qui permet de gérer plusieurs conversations vidéo en même temps à partir d’une seule webcam, brouillant ainsi davantage leur identité.

Les recherches menées ont révélé une tendance au partage d’identités parmi les agents nord-coréens. Dans certains cas, plusieurs individus semblent utiliser la même adresse e-mail ou CV pour postuler à différents postes. Lorsqu’un agent est démasqué ou licencié, il est parfois remplacé par un autre individu du même réseau, ce qui complique la tâche des entreprises pour identifier les véritables responsables.

Les défis de la détection et les risques pour les entreprises

Les entreprises touchées par ces infiltrations se trouvent confrontées à des défis majeurs. L’utilisation de faux profils, combinée à des méthodes de travail à distance, rend la détection des agents malveillants particulièrement difficile. Il a été observé que les agents nord-coréens mettent à jour fréquemment leurs informations bancaires et utilisent des services comme Payoneer pour éviter les systèmes de contrôle traditionnels. Cela permet de masquer les flux financiers et de rendre plus difficile l’identification des transactions suspectes.

De plus, ces agents travaillent souvent en réseau, se recommandant les uns les autres auprès des entreprises et partageant des identités et des outils pour faciliter l’infiltration. Dans certains cas, une seule personne peut adopter plusieurs identités ou utiliser différents styles de communication pour tromper ses employeurs.

Le risque pour les entreprises ne se limite plus à la perte de données ou à l’extorsion financière. Le vol de propriété intellectuelle, en particulier dans les secteurs technologiques et militaires, peut avoir des conséquences graves sur la sécurité nationale, en plus des pertes économiques. Les entreprises qui embauchent par inadvertance ces agents nord-coréens se retrouvent souvent dans des situations délicates, où elles doivent non seulement gérer les répercussions internes mais aussi les risques de réputation et de responsabilité légale.

La combinaison de cybercriminalité, d’espionnage industriel, et d’extorsion à grande échelle fait de ce phénomène un défi croissant pour les entreprises à travers le monde. Avec des méthodes de plus en plus sophistiquées et une expansion rapide de leurs cibles, les acteurs nord-coréens posent une menace sérieuse que les forces de l’ordre internationales peinent à contenir.

Avez-vous embauché un agent nord-coréen sans le savoir ? 

Parmi les comportements suspects observés, si un employé insiste pour utiliser ses propres appareils, évite de se présenter à la webcam, et modifie fréquemment ses services de paiement, il pourrait s’agir d’un agent nord-coréen infiltré. Ces tactiques sont utilisées par Nickel Tapestry, un groupe soutenu par l’État nord-coréen, pour placer de faux travailleurs dans des entreprises commerciales basées aux États-Unis, au Royaume-Uni, et en Australie.

Utilisation d’équipements personnels : Les faux employés demandent souvent à utiliser leur propre ordinateur portable ou une infrastructure de bureau virtuel pour éviter de se connecter avec l’équipement de l’entreprise, ce qui complique la surveillance de leurs activités.
Camouflage de leur emplacement : Certains employés font envoyer leur équipement de travail à des adresses anonymes ou utilisent des fermes d’ordinateurs portables masquées par des adresses IP américaines.
Évitement des appels vidéo : Lorsqu’ils sont contraints d’utiliser les appareils de l’entreprise, ces agents invoquent des « problèmes techniques » pour éviter de se présenter lors des réunions en visioconférence. Dans certains cas, ils utilisent même des logiciels de clonage vidéo pour simuler leur présence.

Une infiltration bien orchestrée

Les agents de Nickel Tapestry ne se contentent pas de travailler seuls. Ils créent des réseaux entiers de faux employés et de fausses entreprises, fournissant des références professionnelles crédibles et gérant les paiements. Si un agent est découvert ou licencié, il est rapidement remplacé par un autre, permettant ainsi au système de continuer à fonctionner sans interruption. Les documents et CV utilisés par ces agents présentent souvent des similitudes dans leur style d’écriture, laissant supposer que plusieurs personnages sont contrôlés par une seule et même personne, ou par un groupe coordonné. Pour éviter d’être repérés par les banques, ces agents mettent à jour leurs comptes bancaires de manière régulière ou utilisent des services de paiement numérique comme Payoneer, qui a indiqué travailler de manière proactive pour lutter contre cette menace.

Le programme de cybercriminalité nord-coréen : une source de revenus vitale

L’infiltration des entreprises étrangères est devenue une source de revenus essentielle pour la Corée du Nord, qui est soumise à de sévères sanctions internationales limitant ses débouchés économiques. En 2022, le FBI, le département du Trésor et le département d’État des États-Unis ont publié un avertissement public, qualifiant le programme d’infiltration des travailleurs informatiques nord-coréens de « source de revenus cruciale » pour le régime de Pyongyang.

Les agents nord-coréens placés dans des entreprises occidentales, mais opérant en réalité depuis la Chine ou la Russie, peuvent gagner jusqu’à 300 000 dollars par an, ce qui représente un revenu dix fois supérieur à celui d’un ouvrier moyen en Corée du Nord.

Ces fonds servent à financer les projets militaires du pays, notamment son programme d’armement nucléaire. Le dirigeant nord-coréen, Kim Jong Un, a investi massivement dans les infrastructures informatiques et la formation des informaticiens du pays. De nombreux Nord-Coréens reçoivent des diplômes en informatique via des programmes rigoureux mis en place dans des centres de recherche régionaux, tant en Corée du Nord qu’à l’étranger. (treasury.gov)

Opération texonto : campagne de désinformation russophone

Mise à jour d’une nouvelle vaste campagne de désinformation psychologique déployée via des courriels, visant à influencer l’opinion publique ukrainienne par la diffusion de fausses informations suggérant que la Russie prenait l’avantage dans le conflit.

Lancés en deux temps, en novembre puis fin décembre 2023, ces courriers électroniques propageaient des messages sur les coupures de chauffage, les manques de médicaments, et les pénuries de nourriture, reprenant les thèmes récurrents de la propagande russe. En outre, en octobre 2023, la société ESET a découvert une attaque par hameçonnage ciblant une entreprise de défense ukrainienne, suivie en novembre par une attaque similaire visant une agence de l’UE, utilisant de fausses pages de connexion Microsoft dans le but de dérober des identifiants de connexion à Microsoft Office 365. La similarité des infrastructures réseau utilisées pour ces différentes campagnes permet de les associer avec une grande certitude.

Avec le conflit en cours en Ukraine, des groupes pro-russes comme Sandworm se sont illustrés par des attaques visant à saboter l’infrastructure informatique ukrainienne au moyen de logiciels destructeurs. Ces derniers temps, une intensification des activités de cyber espionnage a été notée, notamment de la part du groupe Gamaredon, tristement célèbre. L’opération Texonto illustre un tournant dans l’utilisation des technologies numériques pour influencer le cours de la guerre. A noter que certains groupes, comme Killnet, se sont rabattus sur leur business de base, les fraudes bancaires. D’autres groupes sont apparus, comme NighMare, sans vraiment afficher une efficacité militaire et étatique.

L’association inhabituelle d’espionnage, de manipulation de l’information et de faux messages médicaux rappelle les agissements de Callisto, un groupe de cyberespionnage aligné sur la Russie, dont deux membres ont été inculpés le 7 décembre 2023 par le département américain de la Justice. Bien que Callisto soit connu pour cibler des fonctionnaires gouvernementaux et des organisations militaires via des sites d’hameçonnage, aucune connexion technique directe n’a été établie entre Texonto et Callisto. Néanmoins, en raison des méthodes, cibles, et messages diffusés, Texonto est attribué avec une haute confiance à un groupe soutenu par la Russie.

Les enquêteurs ont observé la réutilisation d’un serveur de messagerie par les assaillants, initialement pour les opérations de désinformation, puis pour envoyer des spams typiques des pharmacies canadiennes, une pratique courante au sein de la communauté cybercriminelle russe. D’autres investigations ont révélé des domaines liés à l’opération Texonto et à des affaires internes russes, comme le cas d’Alexeï Navalny, opposant russe emprisonné décédé le 16 février 2024, suggérant des tentatives de cibler des dissidents russes et les partisans de Navalny.

La première salve d’emails visait à instiller le doute chez les Ukrainiens avec des messages préoccupants sur le chauffage ou des manques de médicaments, sans inclure de liens malveillants, se concentrant purement sur la désinformation. Un domaine imitant le ministère ukrainien de la Politique agricole proposait des remèdes à base de plantes en remplacement des médicaments et suggérait des recettes improbables comme du « risotto au pigeon ».

Un mois plus tard, une seconde vague d’emails a été lancée, ciblant non seulement les Ukrainiens mais aussi des citoyens d’autres pays européens, avec des messages plus sinistres incitant à des mutilations pour échapper à la conscription. Cette campagne reflète les tactiques de guerre psychologique utilisées dans les conflits.

Une nouvelle version d’un logiciel espion visant les citoyens iraniens, Furball, caché dans une application de traduction

Une nouvelle version du malware Android FurBall utilisée dans une campagne « Domestic Kitten » impacte les citoyens iraniens. Et cela dure depuis 2016 !

Des chercheurs ont récemment identifié une nouvelle version du malware Android FurBall. Cette version est utilisée dans une campagne nommée Domestic Kitten. Le groupe de pirates APT-C-50 opère des actions de surveillance visant des smartphones de citoyens iraniens. Depuis juin 2021, le malware est diffusé sous couvert d’une application de traduction par l’intermédiaire d’une copie d’un site web iranien fournissant des articles, des revues et des livres traduits. La campagne Domestic Kitten remonte au moins à 2016 et est toujours active.

Cette version de FurBall possède les mêmes fonctionnalités de surveillance que les versions précédentes. Comme la fonctionnalité de cette variante n’a pas changé, l’objectif principal de cette mise à jour semble être d’échapper aux logiciels de sécurité. Ces modifications n’ont cependant eu aucun effet sur les solutions ESET, qui ont détecté cette menace sous le nom de Android/Spy.Agent.BWS. FurBall,. Ce malware Android utilisé depuis le début de ces campagnes, a été créé à partir du stalkerware commercial KidLogger.

L’échantillon analysé par l’éditeur d’antivirus ESET ne demande qu’une seule permission intrusive ; celle d’accéder aux contacts. La raison pourrait être son objectif d’éviter d’être détecté, mais d’un autre côté, nous pensons également qu’il pourrait s’agir de la phase préliminaire d’une attaque d’hameçonnage ciblé menée par SMS. Si l’auteur de la menace élargit les autorisations de l’application, il pourrait être également possible d’exfiltrer d’autres types de données à partir des téléphones concernés, comme les SMS, la géolocalisation de l’appareil, les appels téléphoniques et bien plus encore.

Cette application Android malveillante est diffusée via un faux site web imitant un site légitime qui propose des articles et des livres traduits de l’anglais au persan (download maghaleh). D’après les coordonnées du site web légitime, ce service est proposé depuis l’Iran, ce qui nous amène à penser avec quasi-certitude que le faux site web cible des citoyens iraniens. « Le but est de proposer une application Android à télécharger après avoir cliqué sur un bouton qui indique en persan « Télécharger l’application ». Le bouton porte le logo Google Play, mais cette application n’est pas disponible dans Google Play Store. Elle est téléchargée directement depuis le serveur de l’attaquant « déclare Luká tefanko, chercheur chez ESET.

Le phishing, au plus haut depuis 2020

Les attaques par hameçonnage vocal hybride (téléphone et email) ont progressé de 625 % depuis le premier trimestre 2021. Plus de 58% des attaques de phishing destinées à dérober des identifiants visaient Office 365.

Les attaques basées sur la réponse ciblant les boîtes emails des entreprises viennent d’atteindre un niveau record depuis 2020, représentant à elles seules 41 % de la totalité des escroqueries par e-mail ciblant les salariés ayant eu lieu au cours du deuxième trimestre de cette année. Tel est le principal enseignement du dernier rapport trimestriel de la société HelpSystems. Entre avril à juin 2022 des centaines de milliers d’attaques par phishing et sur les réseaux sociaux visant les entreprises et leurs collaborateurs ont été repérées.

Les fraudes 419 toujours très présentes

La fraude 419 (scam 419 / arnaque nigériane) consiste en une attaque d’ingénierie sociale reposant sur la réponse des victimes à travers un canal de communication choisi. Phishing, vishing/smishing (ciblage par appel vocal ou SMS) et la fraude 419 ou “arnaque nigériane”. L’arnaque à l’amour, la plus connue, ou autres fausses ventes et propositions commerciales piégées.

Les escroqueries par fraude 419 ont représenté 54 % de toutes les menaces par e-mail basées sur la réponse au deuxième trimestre enregistrant une hausse de 3,4 % en part des signalements jusqu’à présent en 2022, et constituant régulièrement la majorité de ces attaques. La compromission des e-mails professionnels (BEC), qui permet aux acteurs de la menace de se faire passer pour une source de confiance, comme un salarié de l’entreprise ou un sous-traitant, s’est également intensifiée au cours de cette période, contribuant à 16 % du volume global des attaques. Si la part des attaques parmi les autres menaces de la catégorie « Response-Based » a baissé par rapport au premier trimestre, les attaques par vishing hybride (hameçonnage vocal amorcé par e-mail) ont pour leur part également progressé, atteignant un niveau record sur six trimestres, soit un bond de 625 % en volume par rapport à Q1 2021.

« Les attaques basées sur la réponse représentent toujours une part significative du volume de phishing, ce qui montre que les techniques d’ingénierie sociale continuent de se révéler efficaces pour les criminels », commente John Wilson, chercheur principal de l’unité Recherche sur les menaces de HelpSystems. « Nous constatons d’ailleurs que ces derniers continuent à perfectionner les leurres 419, de vishing et de BEC ; ils ne se réinventent pas, mais s’appuient majoritairement sur les nouvelles variantes des menaces d’ingénierie sociale ayant fait leurs preuves par le passé. »

Le site ZATAZ révélait, fin septembre, plusieurs fraudes aux paiements de loyer ou encore à la feuille d’imposition utilisant cette technique.

Autres enseignements clés de ce rapport

Le phishing ne cesse de progresser avec des attaques en croissance de 6 % par rapport au premier trimestre 2022. Au deuxième trimestre, les attaques sur les réseaux sociaux ont augmenté de 20 % par rapport au premier trimestre, avec une moyenne de près de 95 attaques par entreprise et par mois. Avec un bond de plus de 100 % des attaques au cours des 12 derniers mois, les plateformes sociales représentant les outils les plus accessibles pour escroquer le plus grand nombre de victimes.

Au deuxième trimestre, le cheval de Troie Emotet a officiellement regagné son statut de principale charge utile après avoir progressé de 30 % pour représenter près de la moitié de toutes les attaques par malware. Le nouveau venu, Bumblebee, s’établit à la troisième place, et serait potentiellement lié aux anciens payloads très prisés que sont Trickbot et BazaLoader.

Les attaques par vol d’informations d’identification visant les comptes Office 365 ont atteint un niveau record sur six trimestres en termes de part et de volume au cours de la période analysée. Plus de 58% de tous les liens de phishing destinés à dérober des identifiants visaient ceux liés à Office 365 (+ 17,7 % sur l’année).

Comment créer un questionnaire en ligne efficace ?

Vous souhaitez créer un questionnaire mais ne savez pas par où débuter ? Différentes étapes sont importantes dans le cheminement de l’élaboration d’un questionnaire. Dans cet article, nous vous donnons quelques conseils pour en créer un efficace autant pour vous que pour vos participants !

Les étapes à suivre pour réaliser un questionnaire

  • Les objectifs du questionnaire

Avant de rédiger les questions destinées à vos futurs participants, faites le point sur les objectifs du questionnaire. Il est aussi essentiel de déterminer à qui le questionnaire sera distribué. Pour cela, déterminez le type de personnes dont vous avez besoin. Si vous le souhaitez, vous pouvez établir une liste d’informations qui vous permet de cibler les bonnes personnes : âge, nationalité, sexe, études/travail, etc. Ces informations sont demandées au début du questionnaire et vous permettent de faire une étude statistique plus poussée sur vos participants.

  • Type de questionnaire

Sous quelle forme souhaitez-vous proposer ce questionnaire ? Quiz, sondage… Réfléchissez à la manière dont les personnes vont répondre et donc quel type de questionnaire est le plus adapté à vos objectifs.
Pour cibler au mieux le type de réponse que vous souhaitez de la part des candidats, prenez également le temps de réfléchir sur les options qui s’offrent à vous : réponse libre, réponse à choix multiples, notation…

  • L’élaboration

Vous avez désormais fait le plus dur, les objectifs sont notés. Vous pouvez désormais créer votre questionnaire en ligne : voir sur ce site. Choisissez quel format de questionnaire vous souhaitez et lancez-vous !

  • Distribuez votre questionnaire

Votre questionnaire est terminé, c’est le moment de le distribuer. N’hésitez pas à le partager sur les réseaux sociaux via son lien. Aussi, vos connaissances peuvent vous aider à le distribuer ou à trouver des candidats.

  • Analyse des résultats

Après avoir récolté les résultats obtenus, vous pouvez passer à l’analyse des graphiques. C’est la dernière étape qui vous permet de vérifier vos hypothèses de départ si vous en aviez, ou de comparer les objectifs aux résultats.

Nos conseils pour un questionnaire efficace

  • Allez droit au but

Si cela est possible, évitez les questionnaires trop longs. Les utilisateurs risquent de quitter le questionnaire sans avoir terminé. Si des questions vous semblent superflues ou douteuses, retirez-les ou trouvez un moyen de mieux les intégrer. Le but est que les personnes questionnées restent jusqu’au bout et répondent au maximum des questions !

La barre de progression est par exemple une idée astucieuse pour que le participant voit les étapes restantes avant de la fin. En effet, pour montrer l’avancée du processus afin que la personne se situe dans le questionnaire, vous pouvez insérer cette barre.

  • Employez la bonne formulation

Le but est de rester neutre : ne laissez pas paraître votre opinion dans le questionnaire. Vous récoltez des réponses et les personnes interrogées ne doivent pas être influencées. C’est pourquoi il est important de bien réfléchir aux formulations employées pour garder un ton formel.
Attention également à ne pas être ambigu dans vos demandes pour que la personne comprenne bien la question et réponde le plus sincèrement possible. Évitez les questions trop personnelles ou complexes.

Suivre un avion sur le web, une violation de la vie privée ?

Le jet privé d’Elon Musk a été suivi par un jeune programmeur pendant plus d’un an. Il évoque les voyages du fondateur de Tesla sur Twitter devant un public de plusieurs centaines de milliers de personnes. Musk a d’abord essayé de soudoyer l’étudiant, en lui proposant 5 000 dollars, puis l’a carrément bloqué sur les médias sociaux. Mais ça n’a pas aidé.

La chose la plus importante ici est de relier une personne spécifique à un avion spécifique. Et à l’avenir, il suffit de configurer le robot pour collecter des données sur le début du mouvement d’un avion particulier. Des données supplémentaires seront nécessaires pour s’assurer que Musk est physiquement à bord. Et ils seront probablement plus largement sécurisés. Le plan de vol comprendra les personnes qui volent. »

Sur le moteur de recherche le plus populaire qui suit les avions en temps réel, comme Flightradar24, plane finder, flight aware, tous les jets d’affaires sont « secrets ». En d’autres termes, les propriétaires d’avions paient des services pour que leur numéro de vol et leur type d’avion restent cachés. Et ils demandent généralement que les photos de l’avion soient également retirées. Il existe cependant des abonnements platine où chacun peut facilement retracer d’où il est parti, où il est allé.

Ce type d’information n’est soumis à aucune restriction universelle. Comme ces informations sont diffusées, elles ne sont pas secrètes, de sorte qu’il n’y a pas d’incidents dans les airs ou en mer. Et la seule chose que l’on puisse dire ici est qu’il s’agit d’une violation de la vie privée.

Fraude au président : une arnaque qui profite de l’essor du télétravail

La fraude au président est devenue l’une des principales cyberattaques dans le monde. La fraude au président a profité de l’essor massif du télétravail en 2020 pour se développer.

Selon le baromètre 2020 “Etude sur la fraude” du cabinet Euler Hermes, la fraude au président est devenue l’une des principales cyberattaques dans le monde (la troisième d’après le cabinet). Cette escroquerie, qui a recours à l’usurpation d’identité des dirigeants d’entreprise, est en hausse notable et est mentionnée par 38% des entreprises ayant répondu à l’étude. Tout comme les rançongiciels, la fraude au président a profité de l’essor massif du télétravail en 2020 pour se développer. Si, dans le cas des rançongiciels, ce sont les technologies d’accès à distance qui ne sont pas adaptées au télétravail, ici c’est le manque d’interactions sociales en présentiel et de communication qui est l’une des causes majeures de la multiplication de ce type d’arnaque.

Comment se déroule une fraude au président ?

Dans le cadre de la fraude au président, un escroc qui a préalablement fait des recherches sur l’entreprise cible se fait passer pour le PDG ou pour un administrateur pour demander, par e-mail, au comptable de la société, un virement bancaire pour une opération confidentielle et urgente. Cet escroc usurpe ainsi l’identité d’une personne de confiance, via une adresse e-mail créée pour l’occasion, et s’adresse directement au bon interlocuteur (le comptable). Cette tâche apparaissant comme urgente, la personne contactée va parfois s’exécuter sans prendre le temps de la réflexion et, puisqu’il s’agit d’une opération confidentielle, elle n’en parlera pas à ses collègues et n’éveillera donc pas les soupçons. En décembre 2020, le CDER, l’une des associations de gestion et comptabilité les plus importantes en France, a subi une attaque de ce type avec un préjudice annoncé de 14,76 M€ (source : L’Union). La comptable de l’association a été licenciée pour faute grave pour avoir “contourné les procédures internes.

Suite à la pandémie et la mise en place du télétravail au sein des organisations, de nombreux collaborateurs travaillent depuis chez eux au moins une partie de la semaine. En conséquence, une forte diminution voire une absence d’interactions et de discussions de vive voix avec les dirigeants et administrateurs. Les échanges à distance se sont multipliés et les opérations qui avaient pour habitude d’être confirmées ou évoquées en présentiel ont fait place à des réponses par simples emails qui, dans le cas d’une fraude au président réussie, engendrent des dommages irréversibles”, explique Christophe Corne, de Systancia.

Quelques bonnes pratiques pour s’en prémunir

La gendarmerie nationale, la Direction Générale du Renseignement Intérieur, l’ANSSI, votre serviteur ne cessent d’expliquer comment ne pas se faire « filouter ». Seulement, rien de plus aveugle et sourde qu’une personne qui ne pense que cela n’arrive qu’aux autres. Le Service Veille de ZATAZ a d’ailleurs reçu, il y a quelques jours, un cadeau d’une société (qui en a profité pour souscrire un abonnement, merci 🙂 aprés que le SVZ a découvert des données internes qui servaient à la préparation d’une fraude au président. Les factures et les informations incluent dans l’ensemble des documents étaient exploités, au téléphone, par un/des escroc(s).

Plusieurs actions peuvent en effet être mises en place pour limiter drastiquement le risque qu’une telle arnaque aille à son terme. Dans un premier temps, il est indispensable de sensibiliser les comptables à ce type de fraude puisque ce sont eux qui sont spécifiquement visés. Deux éléments doivent les alerter : les caractères urgents et confidentiels de l’opération. En cas de doute, il conviendra alors de contacter le président par téléphone pour valider cette opération de vive voix.

Cependant, si ce type de vérification est faisable au sein des PMEs, lorsqu’il s’agit d’une grande entreprise, il est parfois plus compliqué d’obtenir une confirmation orale. C’est dans ce cas qu’une fonctionnalité telle que la séparation des tâches (SoD – Segregation of Duties) prend tout son sens.

Les virements bancaires étant, en tout état de cause, critiques pour toute organisation, ceux-ci doivent être soumis à un mécanisme de SoD pour tout virement non récurrent ainsi que lors de la mise en place d’un virement récurrent. La réalisation d’un virement bancaire par le comptable serait soumise à une validation électronique d’un administrateur de la société ou de tout autre personne habilitée à valider ce type d’opération. Ainsi, si le virement semble suspect, celui-ci sera investigué et stoppé avant même que le virement ne soit effectué.

La fraude au président, comme tout autres principales cybermenaces, doit être intégrée aux actions de sensibilisation à la cybersécurité dispensées par les organisations. Il s’agit là de la première barrière face aux cyberattaques et parfois la seule disponible, dès lors qu’une société ne dispose pas de solutions de cybersécurité adéquates face aux différentes menaces qui pèsent sur les systèmes d’information. Les collaborateurs sont en première ligne face aux cyberattaques et doivent donc être au cœur de la stratégie de sécurisation des systèmes. Un collaborateur formé et informé voit son statut passer de celui de faille à celui de maillon fort de l’organisation.

CHARMING KITTEN : des pirates venus d’Iran

Alors qu’ils ciblaient en mars dernier les éminents chercheurs en médecine via des campagnes de phishing principalement aux États-Unis et en Israël, l’acteur malveillant TA453, qui serait affilié au gouvernement iranien, également connu sous les noms de CHARMING KITTEN et PHOSPHORUS, est de retour avec une nouvelle campagne de leurres par email.

Baptisée « SpoofedScholars », cette opération représente l’une des campagnes les plus sophistiquées de TA453 selon la société en cybersécurité Proofpoint. Cet acteur malveillant procèderait en usurpant des infrastructures légitimes et reconnues pour atteindre leurs cibles. C’est en initiant des campagnes d’emails malveillants que TA453 a pu obtenir illégalement l’accès à un site Web appartenant à une institution universitaire de renommée mondiale afin de récolter les identifiants des cibles victimes.

SpoofedScholars

Les attaques de TA453 sont toujours plus innovantes et complexes. La finalité de l’opération « SpoofedScholars » ? Dérober des informations qui seront ensuite détenues par l’IRGC (Corps des gardiens de la révolution iranienne). Pour le moment, rien ne prouve la réelle appartenance de ces pirates avec l’IRGC.

C’est après avoir établi une pseudo relation de confiance par le biais de nombreuses conversations, que TA453 a pu infiltrer les systèmes d’information de ses infrastructures cibles comme l’Université de Londres. En effet, TA453 fournissait dans ses échanges par emails, un « lien d’enregistrement » vers un site Web compromis hébergeant une page de collecte d’informations d’identification de la radio SOAS de l’Université de Londres.

Ce site de phishing, aux apparences trompeuses était en réalité configuré pour dérober une variété de données d’identification.

Sur la durée, TA453 a changé de tactique et a décidé de fournir le lien d’enregistrement phishing plus tôt et plus furtivement dans ses interactions avec ses cibles, rendant ainsi la phase de conversation non-nécessaire.

Bien qu’à l’heure actuelle cette campagne ait été démasquée et qu’une partie du groupe de TA453 ne semblent plus être actifs, la société estime avec une grande confiance que TA453 continuera d’usurper les universitaires du monde entier pour soutenir les opérations de collecte de renseignements de TA453 en faveur des intérêts du gouvernement iranien. Les universitaires, les journalistes et le personnel des groupes de réflexion devront redoubler de vigilance et vérifier l’identité des personnes qui souhaiteront échanger avec eux par mail pour des opportunités professionnelles.

Le nombre de vos contacts augmente le piratage

Disposer d’un réseau de contacts professionnels est essentiel pour réussir dans le monde de l’entreprise, mais ces contacts peuvent être utilisés à mauvais escient par des attaquants

Les voies d’accès inattendues que des cybercriminels exploitent en s’attaquant au réseau de contacts d’une entreprise sont multiples. Voici la nature de ces risques et sur les mesures que les organisations peuvent prendre pour s’en prémunir.

Les criminels s’intéressent aux contacts de tous types : L’expansion d’un réseau de contacts accroît mécaniquement la surface d’attaque. Les contacts à tous les niveaux. Des partenaires commerciaux aux distributeurs. Des employés aux clients. Ils accroissent le risque potentiel d’une intrusion. En conséquence, des protections de cyber sécurité sont nécessaires pour gérer cette catégorie de risques.

Reconnaître les risques par association : Les relations d’affaires sont autant de potentielles voies d’accès pour des cybercriminels. Une entreprise peut être une cible intéressante. Elle offre une voie d’accès plus facile à certains de ses clients et partenaires.

Les plus grandes organisations doivent avoir mis en place des systèmes de sécurité plus sophistiqués. Donc, des malveillants infiltrent leurs partenaires pour y avoir accès par leur intermédiaire.

Le fournisseur, cet ennemi qui s’ignore

Les fournisseurs de services introduisent un nouvel ensemble de risques. Le modèle « as a service » accélère l’adoption de nouvelles technologies. Le processus de transformation digitale des entreprises, mais il introduit aussi de nouvelles vulnérabilités.

Toutes les entreprises s’exposent à des risques induits par leurs fournisseurs de services, fournisseurs de cloud ou autres. Pour protéger leurs opérations et leurs actifs, elles doivent donc contrôler leurs connexions avec chaque fournisseur de service, et leur infrastructure de sécurité comme leur gestion des risques à renforcer en conséquence.

Relationnel… pirate !

Les responsabilités des entreprises s’étendent à leurs relations avec leurs partenaires : Lorsqu’une intrusion se produit, les responsabilités ne sont pas limitées à une seule organisation. Ses dirigeants doivent faire tout leur possible pour protéger non seulement leur propre entreprise, mais aussi ses partenaires. En réponse à une cyber attaque, tous les efforts doivent être entrepris pour contenir, contrôler, rapporter et résoudre l’incident. Et il est important de réaliser qu’une entreprise peut être tenue pour financièrement responsable de pertes subies par d’autres qui ont été exposés à des risques en raison de leur connexion avec l’entreprise attaquée. Une partie des coûts induits par le cyber crime est liée aux obligations que les entreprises ont vis-à-vis de leurs connexions.

Employés, ohé! ohé !

Vos propres employés vous mettent en danger : Dans une organisation, ce sont les employés qui représentent le plus grand facteur de risque. Le rythme accéléré des affaires, nos méthodes de travail et la pléthore de distractions auxquelles nous sommes exposés dans notre vie de tous les jours conspirent tous à nous rendre vulnérables. Nous faisons des erreurs, nous sommes dans l’urgence, nous ouvrons des emails, cliquons sur des liens et téléchargeons des pièces jointes sans arrière-pensées. Et ce faisant, nous mettons nos entreprises en danger. Autant de raisons pour lesquelles les organisations ont besoin de nouvelles compétences en matière de sécurité pour les aider à sécuriser leurs activités.

Parlez-vous secret ?

Le blog ZATAZ.COM revient sur un test gratuit proposé par le SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE ET DE LA SÉCURITÉ NATIONALE (SGDSN). L’idée, comprendre le secret en entreprise, et s’auto-évaluer sur cette problématique. A tester sans modération.

Etude FireEye.

Selon le FBI, les attaques BEC auraient coûté 26 milliards de dollars aux entreprises

Les attaques BEC auraient coûté 26 milliards de dollars aux entreprises entre juin 2016 et juillet 2019.

Plus de 99% des cyberattaques requièrent une action humaine pour se propager. Les attaques BEC reposent sur l’engagement des individus et les cybercriminels s’appuient sur la psychologie humaine en demandant des réponses urgentes à des sollicitations pour des virements ou l’envoi de données confidentielles, simulant souvent un besoin commercial immédiat mais fictif. Pour réduire les chances de succès de telles attaques, les entreprises doivent prendre des mesures rapidement, en sensibilisant leurs employés et en déployant des solutions qui placent l’individu au cœur de leur stratégie de sécurité.

Les BEC et les EAC (des attaques BEC lancées à partir de comptes internes compromis appartenant à des cadres – et donc plus difficiles à détecter) représentent des armes de choix car elles sont peu coûteuses et nécessitent plus de recherche que les infrastructures d’envoi.

L’envoi d’emails frauduleux est peu coûteux. Les messages n’exigent pas de logiciels malveillants coûteux ; pourtant, les attaques elles-mêmes sont très efficaces, entraînant des milliards de dollars de pertes.

E-mails frauduleux

L’exploitation du canal email par le biais de messages hautement personnalisés et conçus par ingénierie sociale permet aux cybercriminels d’usurper facilement l’identité d’un employé ou d’un partenaire de confiance. La prévalence et l’efficacité des stratégies de phishing et de vols d’identifiants alimentent également les attaques EAC, ouvrant aux attaquants un canal interne pour mettre en œuvre leurs cyberattaques.

« Ces systèmes d’ingénierie sociale vont devenir de plus en plus répandus et difficiles à identifier, à détecter et à combattre. Il est essentiel que les entreprises privilégient une approche de cybersécurité centrée sur les personnes qui protège toutes les parties (employés, clients et partenaires commerciaux) contre le phishing, la fraude par email, le vol d’identifiants et les attaques par force brute. » indique  Loïc Guézo de Proofpoint.

Des défenses à plusieurs niveaux au niveau de la périphérie du réseau, de la passerelle de messagerie, du cloud et des points d’accès, ainsi qu’une solide formation des utilisateurs afin d’offrir la meilleure défense contre ces types d’attaques.

D’autant plus malicieuses : le phishing n’est pas un virus. Le type de logiciel malveillant que détectent les antivirus par exemple.

Direction Hong Kong… mais pas que !

Sur la base des données financières, les banques situées en Chine et à Hong Kong restent les principales destinations des fonds frauduleux. Toutefois, le Federal Bureau of Investigation constate une augmentation du nombre de transferts frauduleux vers le Royaume-Uni, le Mexique et la Turquie.

Les statistiques BEC / EAC suivantes ont été rapportées à l’IC3 et proviennent de sources multiples. Notamment des données d’IC3 et de plaintes internationales en application de la loi, ainsi que des informations transmises par des institutions financières entre octobre 2013 et juillet 2019:

Les statistiques suivantes ont été rapportées dans les plaintes déposées par les victimes auprès de la CI3 entre juin 2016 et juillet 2019:

Incidents nationaux et internationaux: 166,349
Perte de dollars exposée aux niveaux national et international: $26,201,775,589
Les statistiques BEC / EAC suivantes ont été rapportées dans les plaintes des victimes déposées auprès de l’IC3 entre octobre 2013 et juillet 2019:
Total des victimes américaines: 69,384
Perte totale en dollars exposés aux États-Unis: $10,135,319,091
Total non-U.S. victims: 3,624
Perte totale en dollars exposés en dollars américains: $1,053,331,166
Les statistiques suivantes ont été rapportées dans les plaintes déposées par les victimes auprès de la CI3 entre juin 2016 et juillet 2019:
Total des bénéficiaires financiers américains: 32,367
Destinataire financier américain total exposé perte en dollars: $3,543,308,220
Total des bénéficiaires financiers non américains: 14,719
Total des pertes financières en dollars des bénéficiaires financiers autres que les États-Unis: $4,843,767,489

(FBI)

Tentative de piratage CoinHouse

Des pirates informatiques ont tenté de piéger les clients du site spécialisé dans les cryptomonnaie CoinHouse. Mais comment les pirates ont-ils eu les mails utilisés dans leur tentative de fraude ?

Jeudi 12 septembre, 20 heures. La société CoinHouse alerte ses clients d’une tentative de fraude. Une cyber attaque aux couleurs de ce spécialise des cryptomonnaie prenant la forme d’un phishing. « Vous avez pu recevoir un mail ayant pour objet  »Action requise: vérifiez vos données », avec un message en anglais vous invitant à cliquer sur un bouton  »Verify ». » explique CoinHouse dans son courriel d’alerte. « Ce message a été envoyé par des pirates informatiques pour vous rediriger vers un faux site : app.colnhouse.com et ainsi récupérer vos identifiants. »

L’attaque a débuté quelques heures auparavant. Un courriel signe coinhouse.com comme le montre la capture écran de Data Security Breach. « In order to continue using our services, please verify our submitted data and documents. It will not take more than 3 mintues to complete the verifying steps, once you finish, please proceed by pressing save button. » annonçait l’arnaque.

La page pirate recupérait les identifiants de connexion.

Infiltration, exfiltration

Fait intéressant : si les hameçonnages sont très fréquents, l’histoire ne dit pas comment les pirates ont eu accès aux adresses électroniques. Plusieurs lecteurs de Data Security Breach, dont votre serviteur, exploitent une adresse dédiée à ce service ! A noter que ce courriel usurpateur a été envoyé via l’outil bmail exploité en interne par CoinHouse.

Les pirates avaient parfaitement organisés leur action. En plus du courriel et de sa méthode de diffusion, ils avaient enregistré le domaine https://app.colnhouse.com. Un typosquatting. Le i de CoinHouse remplacé par un L minuscule : app.colnhouse.com

Fraude aux adresses IPv4

À mesure que les adresses IPv4 deviennent des produits de valeur, des systèmes de fraude élaborés apparaissent. Les propriétaires d’entreprise ont besoin de partenaires industriels experts pour optimiser et protéger leurs actifs d’adresses IP

 

Début du mois de septembre, les médias sud-africains ont révélé un système de fraude complexe dans lequel les adresses IPv4 d’une valeur d’au moins 30 millions de dollars sur le marché de l’occasion avaient été volées ou détournées par de grandes sociétés multinationales basées en Afrique du Sud.

La plupart des propriétaires enregistrés n’étaient pas au courant de cette violation de leurs propriétés.  Les « pirates » exploitant des structures de propriété complexes. De plus, les propriétaires légitimes peu familiarisés avec la valeur des actifs considérables de leurs stocks d’adresses IPv4.

Parmi les ensembles d’adresses, il y avait un certain nombre de «blocs hérités» particulièrement précieux. Des ensembles d’adresses IP mises en place avant la création de registres Internet régionaux (RIR). Donc totalement libres d’utilisation.

« Nous remarquons souvent que les entreprises qui ont obtenu d’importants groupes d’IPv4 alors qu’ils étaient encore disponibles n’ont pas conscience de leur valeur. Auparavant, des milliers d’adresses étaient gratuites. Aujourd’hui, une adresse unique peut valoir jusqu’à 30 dollars », commente Vincentas Grinius, PDG de Heficed, une société proposant des solutions d’infrastructure réseau centrées sur la fourniture et la gestion des adresses IP.

Fraude IPv4

Comme pour les VPN, les adresses numériques sont devenues des contenus très courus.

La fraude IPv4 est devenue un problème de plus en plus urgent au cours de la dernière décennie. En effet, les adresses IP omniprésentes sont en réalité une ressource limitée. Leurs sources initiales, les RIR desservant chacune une région continentale, sont presque épuisées, et AFRINIC est la seule à les attribuer avec une relative facilité.

Les adresses IP étant toutefois localisées, les adresses africaines ne servent qu’à un usage limité – pour exploiter un serveur en Europe ou en Amérique, un utilisateur a besoin d’une adresse IP européenne ou américaine. Ceci est particulièrement pertinent pour les clients dépendant de la latence, comme ceux qui opèrent dans des domaines où la concurrence est rude.

Business de l’IPv4

Quiconque a besoin d’adresses IPv4 doit donc les obtenir sur le marché de l’occasion. Comme dans tout marché de produits de base, la fraude constitue également un problème.

Même dans les pays hautement réglementés comme les États-Unis, les fraudeurs s’attaquent toujours aux ressources de grande valeur.

Les adresses se récupérent. Mais cela prend souvent un temps considérable et beaucoup d’investissements.

Il est souvent impossible pour les grandes entreprises de suivre correctement les droits de propriété sur IPv4.

« Comme pour tous les biens immatériels complexes, tels que les stocks ou les actifs virtuels, les fournisseurs d’infrastructure de réseau intermédiaire remplissent plus que la fonction de commerçant. Ils commercialisent, gèrent et gèrent les ressources de leurs clients », explique Grinius.

Traiter des détails techniques tels que les adresses IP est souvent laissé de côté par les entreprises. Encore faut-il qu’elles sont au courant du problème.

Pour le moment, le seul moyen d’éviter des violations de la sécurité potentiellement dommageables est de travailler avec des partenaires de confiance dans la recherche et la gestion d’adresses IPv4. Avec une forte demande encourageant la fraude, les autorités existantes sont tout simplement surmenées.

Le coût additionné des attaques par cryptovirus touchant les PME françaises

L’enquête terrain inédite menée par l’IRT SystemX auprès de PME et TPE françaises, victimes de cyberattaques, dévoile l’impact réel des cyber-préjudices et fait voler en éclats deux grandes croyances communément admises : le nombre de cyberattaques réussies s’avère bien supérieur aux estimations habituellement rendues publiques, tandis que le coût moyen des cyberattaques se révèle en revanche beaucoup plus faible que supposé. Zoom sur les 9 principaux enseignements de cette étude.

 SystemX, unique IRT dédié à l’ingénierie numérique des systèmes du futur, dévoile les principaux enseignements de sa première enquête terrain menée sur 3 ans* auprès de plus de 60 entreprises françaises**, principalement des PME/TPE de moins de 50 personnes, victimes de cyberattaques. Toutes les régions et secteurs economiques sont représentés. L’objectif de cette enquête était de mesurer les préjudices causés au tissu économique, puis d’élaborer des modèles de calcul des coûts ainsi que de l’exposition d’une entreprise au risque Elle a également permis de collecter des signaux faibles, annonciateurs de nouvelles tendances, et notamment d’évolutions à attendre sur le mode opératoire de certaines formes d’attaques

Parmi les catégories d’attaques étudiées, le rançonnage par cryptovirus et les fraudes au président et faux ordres de virement prennent la plus grande place. Ont également été rencontrées : l’escroquerie au faux support technique, la prise de contrôle de messagerie, le piratage téléphonique, la fraude aux sentiments, l’usurpation d’identité, la mauvaise protection des caméras, la captation de nom de domaine, le défaçage ou encore le vol de compte bancaire. A noter la grande rareté des attaques DDos par déni de service contre des PME, ce qui constitue l’un des résultats inattendus de cette enquête et confirme que ce type d’attaque résulte avant tout d’un ciblage intentionné de la part d’un tiers.

« Cette enquête terrain est inédite en France : elle transmet une vision profondément renouvelée des attaques informatiques notamment grâce à une précision des chiffres jamais atteinte. Initiée dans le cadre du projet EIC (Environnement pour l’Interopérabilité et l’Intégration en Cybersécurité), elle remet en cause les chiffrages habituels, ce qui modifie la vision à porter sur le cyber-risque », explique Gilles Desoblin, Responsable de la thématique Défense et Sécurité, IRT SystemX.

Parmi les principaux enseignements de cette enquête

–          La fréquence des attaques réussies en matière de cryptovirus est plus haute que supposée jusqu’alors : pour une PME de moins de 50 salariés, la probabilité d’être victime ne se mesure annuellement plus en pour mille mais en pour cent, se situant entre 2 et 5% (soit entre 100 000 et 250 000 entités par an). Elles ne se situent donc plus dans la catégorie des événements rares.

–          Le coût moyen d’une attaque par cryptovirus est inférieur à ce qu’il est généralement communiqué via les médias : en effet, le coût moyen pour une TPE s’évalue actuellement en milliers d’euros par attaque réussie, en non en dizaines, centaines voire en millions d’euros. A noter que la progression des coûts n’est pas proportionnée seulement à celle de la taille d’une entreprise, mais dépend d’autres facteurs parfois inattendus tels que le mode de gestion des ressources humaines .

–          La médiane constatée (de l’ordre du millier d’euros) est basse et se situe nettement au-dessous de la moyenne, ce qui signifie qu’un grand nombre d’attaques réussies trouvent des solutions à faible prix, particulièrement quand les sauvegardes ne sont pas affectées.

–          Toujours concernant les cryptovirus, les coûts additionnés subis par l’ensemble des victimes de moins de 50 employés – entreprises ou associations – en France s’élèvent à un montant supérieur à 700 millions d’euros par an.

–          Dans cette observation de transfert de richesse, le gain enregistré par les pirates déroge à l’image communément admise. La sortie de capitaux, due conjointement aux cryptovirus et aux fraudes aux président – soit plus de 200 millions d’euros -, masque des modèles économiques très différents entre ces formes de criminalité. Les calculs réalisés au sujet des cryptovirus font ressortir un ratio entre l’argent rançonné (sommes versées) et le préjudice total de l’ordre de 1/25 chez les PME/TPE. A contrario, les fraudes au président, malgré leur recours accentué à des acteurs humains et à l’ingénierie sociale, laissent entrevoir des marges finales plus élevées.

–          L’étude dévoile également la sous-estimation du préjudice humain occasionné par ces attaques (fragilisation des personnes, perte de cohésion de groupe), avec la nécessité d’assister les décideurs pendant cette phase où ils doivent mener des arbitrages en situation de forte incertitude.

–          A contrario, le préjudice sur l’image des entreprises touchées est surestimé, puisqu’il est souvent superficiel et passager, sauf si cela coïncide avec un temps fort de la société (lancement de nouveau produit ou événement-jalon important).

–          Si les relations entre entreprises partenaires se sont confirmées être l’une des principales failles en cas d’attaque et de leurre, par exemple en matière de rançonnage avec des courriers du type « facture modifée » ou de fausses adresses bancaires (FOVI), l’observation plus fouillée fait ressortir qu’une partie très importante des coûts d’attaque provient de la déficience d’acteurs de l’écosystème de l’entreprise : prestataire ou éditeur informatique, opérateur télécom, fournisseur de messagerie, électricien, banquier, etc. Il est apparu que ces déficiences ou le manque de réactivité de nombre de ces acteurs alimentent le risque dans des proportions au moins comparables à celles engendrées par les déficiences internes.

–          Enfin, contrairement à l’image d’une sécurité informatique qui s’obtiendrait par de forts investissements, l’étude souligne que la majorité des préjudices observés aurait pu être évitée ou atténuée par des modes de protection à coût modeste, et par une série de bonnes pratiques accessibles à la plupart des entreprises.

*Réalisée entre 2016 et 2019

** Entreprises invididuelles, TPE et PME de moins de 50 personnes et secteur associatif

Mystérieuses factures dans votre boîte mail

Depuis quelques heures, vous recevez d’étonnantes factures ne correspondant à aucuns de vos achats. Explication de la malveillance cachée derrière cette missive électronique.

L’annonce des factures envoyée à plusieurs centaines de milliers d’exemplaires s’affiche assez simplement. En objet, le nom d’un site web. Le contenu du courriel vous affirme une commande en cours. « Votre commande numéro 1585432 d’un montant de 734€ a bien été encaissée par notre système de paiement. »

Un message qui a de quoi inquiéter. Plus de 700€ (certains autres courriels annoncent 300, 500, 700€). Comment est-ce possible ? piratage de votre compte bancaires ? Erreur d’une banque en votre défaveur ? Pas d’inquiétude. Il s’agit d’une arnaque. Ne cliquez pas, Data Security Breach l’a fait pour vous.

Fausse facture, faux sondage, vrai piège

En fait de facture, le lien proposé dans ce mystérieux courriel a pour mission de vous diriger vers un faux sondage. Mission, vous faire croire que vous allez pouvoir remporter une smartphone de dernière génération (iPhone, Samsung) pour la modique somme de 1€. Il faut lire les petites lignes pour comprendre le fonctionnement de ce – cadeau – : « Tous les nouveaux clients participent au tirage au sort du produit promotionnel […] Cette offre spéciale s’accompagne d’une période d’essai de 3 jours pour un service d’abonnement. »

C’est ici que le piège se referme. Pour recevoir votre téléphone, on vous réclame 1 euro de frais. Pour les payer, fournir son numéro de carte bancaire… et au bout de trois jours… vous voilà abonné pour 70 euros par mois.

Système marketing licite, les règles sont affichées, par particulièrement discutable. Derrière cette fausse facture et ce faux sondage, le site GaMoMu. Un espace appartenant à une habituée du genre, la société Chypriote CORIMANT LIMITED.

Patch Tuesday : 79 vulnérabilités dont 22 critiques

Ce Patch Tuesday de mai 2019 traite 79 vulnérabilités dont 22 classées critiques. Parmi ces dernières, 18 affectent les moteurs de scripts et les navigateurs.

Les quatre restantes concernent des exécutions de code à distance (RCE) sur le protocole Remote Desktop (RDP), le serveur DHCP, GDI+ et Word. Microsoft a également publié des recommandations sur les techniques MDS (Microarchitectural Data Sampling) récemment divulguées dont les failles ZombieLoad, Fallout et RIDL. Concernant Adobe, le Patch Tuesday comprend des correctifs pour des vulnérabilités dans Flash, Acrobat/Reader (83 vulnérabilités !) et Media Encoder.

Correctifs pour postes de travail

Le déploiement de patches pour les moteurs de script, les navigateurs, GDI+ et Word est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multi utilisateurs utilisés comme postes de travail distants par des utilisateurs.

Exécution de code RCE sur les services Remote Desktop (RDS)

Le protocole RDP (Remote Desktop Protocol) est affecté par la vulnérabilité par exécution de code à distance CVE-2019-0708. L’exploitation de cette vulnérabilité permet à un attaquant non authentifié d’exécuter du code de manière arbitraire sur un système affecté. Ce type de vulnérabilité peut faciliter la propagation de vers informatiques en raison du manque d’authentification et de l’omniprésence du service RDP. Même si un exploit Preuve de concept n’a pas encore été dévoilé, cette vulnérabilité doit être résolue en priorité absolue sur Windows 7, Server 2008 et Server 2008 R2.

Critiques : Exécution de code RCE sur le serveur DHCP

Le serveur DHCP de Windows est affecté par la vulnérabilité CVE-2019-0725 classée comme critique pouvant faciliter l’exécution de code à distance. Un quelconque attaquant non identifié peut envoyer des paquets à un serveur DHCP pour exploiter cette vulnérabilité, ce correctif est donc une priorité pour tous les déploiements DHCP Windows. Une vulnérabilité semblable au sein du serveur DHCP a été corrigée en février tandis qu’une autre vulnérabilité a été corrigée en mars sur le client DHCP.

Conseils pour les attaques MDS (Microarchitectural Data Sampling)

Microsoft a publié une documentation d’assistance concernant l’atténuation des attaques MDS (Microarchitectural Data Sampling). Les attaques de ce type s’appellent notamment ZombieLoad, Fallout et RIDL. Les CVE correspondant à ces vulnérabilités sont CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 et CVE-2019-11091. Intel diffuse aussi une présentation ainsi qu’un document détaillé sur les techniques employées et les atténuations à déployer.

Des mises à jour du microcode pour les processeurs concernés devront être réalisées pour atténuer ces attaques tandis que des correctifs devront être déployés pour les systèmes d’exploitation. Microsoft précise que la désactivation de l’hyper-threading (alias Simultaneous Multi Threading ou SMT) pourra s’avérer nécessaire pour une atténuation complète, même si Intel déconseille cette procédure. Microsoft distribuera des mises à jour du microcode uniquement pour Windows 10. Pour les autres systèmes d’exploitation, c’est le fabricant OEM qui devra fournir ces mises à jour souvent sous la forme d’une mise à jour du BIOS.

Attaques actives sur des vulnérabilités facilitant une élévation de privilèges pour le traitement des erreurs Windows
Microsoft a également publié un correctif pour une vulnérabilité facilitant une élévation de privilèges pour le traitement des erreurs Windows (CVE-2019-0863) et qui a été exploitée à l’aveugle. L’application de ce correctif est donc prioritaire pour toutes les versions Windows prises en charge.

Adobe Patch Tuesday

Adobe a publié des correctifs pour Flash, Acrobat/Reader et Media Encoder. Même si les correctifs pour Flash ne concernent qu’une seule exécution CVE et que les patches pour Media Encoder en traitent deux, les patches pour Acrobat/Reader concernent pas moins de 83 vulnérabilités. Il est recommandé de traiter en priorité tous les systèmes hôtes impactés et plus particulièrement les équipements de type poste de travail. (Publié par Jimmy Graham dans The Laws of Vulnerabilities)

Prudence au site SCPI-Gouv.fr

Vous souhaitez simuler un investissement ? Vous souhaitez passer par le site gouvernemental SCPI-Gouv.fr ? Prudence !

Le portail web SCPI-Gouv*fr vous propose de simuler le montant que vous pourriez gagner via des Sociétés civiles de placement immobilier (SCPI). Le site est rapide, réclame quelques informations afin de vous permettre d’en savoir plus et d’acquérir des parts de SCPI. Le site indique être « indépendant« , et la simulation proposée est « non contractuelle« . Le logo de l’AMF, l’Autorité des marchés financiers est affiché plusieurs fois. Le domaine affiche un Gouv.fr rassurant.

Stop, rangez vos quelques économies

Ce site n’est aucunement de confiance. D’abord, il sauvegarde les informations. Le site explique que cette sauvegarde est réalisée pour « des raisons de sécurité […] elles ne seront jamais divulguées à des tiers« . Ce n’est malheureusement pas ce que nous a affiché notre navigateur en fournissant des numéros de téléphones, au hasard. Le site nous affiche bien la présence de certains numéros !

Second problème, l’utilisation du « Gouv », dans le nom de domaine. Clairement une envie de perturber l’utilisateur du portail et du nom de domaine. Un site du gouvernement ? Non ! Pour rappel, les sites gouvernementaux français sont sous la nomenclature xxxx.gouv.fr.

Ensuite, l’utilisation du logo de l’AMF. L’Autorité des marchés financiers a d’ailleurs mis en garde le public à l’encontre du site scpi-gouv.fr « utilisant abusivement son nom et son logo » explique l’AMF. « Les sites internet www.lascpi*fr et www.scpi-gouv*fr indiquent proposer aux épargnants des simulateurs de placement ainsi que des guides relatifs à l’investissement dans des sociétés civiles de placement immobilier (SCPI). L’association du nom et du logo de l’AMF à ces sites peut faire croire aux internautes que l’AMF en cautionne le contenu. Or, l’Autorité des marchés financiers ne produit ni ne supervise aucun simulateur de placement dans des sociétés civiles de placement immobilier (SCPI). » indiquait le 10 avril 2019 l’AMF. Un mois plus tard, logos et manipulations d’url sont toujours effectifs.

Traders home, le trading forcé aux risques multiples

Depuis plusieurs jours, une société de trading harcèle ses interlocuteurs, par téléphone, pour leur vendre du trading et le rêve de gagner des milliers d’euros sans se fatiguer. Prudence !

L’appel débute souvent quelques jours avant d’être en tête à tête, par téléphone, avec un commercial de chez Traders Home. Le premier appel dure rarement plus de 3 secondes. Vous décrochez, et on vous raccroche au nez. Il s’agit d’un bot. D’un système automatisé qui doit permettre à Traders Home, comme à plusieurs autres arnaqueurs (rénover vos combles pour 1 euros ; devenir le parrain d’un jeune enfant en Afrique, …), de s’assurer qu’un humain est bien derrière la ligne téléphonique. Les numéros sont le plus souvent généré automatiquement. Ils sont aussi récupérés via différents itinéraires. Et être inscrit chez bloctel n’y changera rien !

Traders Home

Pour le cas de Traders home, la méthode est simple. Votre interlocuteur vous fait miroiter de l’argent, beaucoup d’argent, en devenant un trader. Vous allez pouvoir miser sur les monnaies (Euros, Dollars), l’or, les cryptymonnaies (bitcoin, …) ou encore sur l’énergie (gaz, électricité…)

Votre commercial (homme ou femme) vous indique que cela ne vous coûtera quasiment rien. Juste une centaine d’euros. Et comme vous êtes des débutants, ils mettent 50 euros de leur poche. Vous voilà ferré. Vous risquez de finir plumé par cette entreprise qui affiche une adresse basée dans les fins fond de l’océan indien. Autant dire que pour râler, il va falloir prendre les rames… et ramer !

Installer un logiciel et reg. arder les euros défilés

La communication peut-être longue. L’interlocuteur vous prend en main. Vous dirige dans les méandres du site web de Traders Home. On vous explique que « c’est super simple […] sans aucun risque« . Il faut juste s’inscrire, choisir l’espace « étudiant » (débutant), fournir un numéro de téléphone (pour votre coach), faire virer 100€ et installer un logiciel « Dans votre téléphone portable ou tablette pour plus de confort » !

Pour rappel, le trading est une véritable activité à risque. Un trader doit être connu favorablement auprès d’une autorité financière. Et devinez quoi… L’AMF, l’Autorité des Marchés Financiers en France n’aime pas du tout Tradershome Ltd. TD est même dans la liste noire de l’AMF.

L’arnaque

« J’ai été contacté en mars, explique Jacqueline à Data Security Breach. Mon interlocuteur m’a fait rêver. Il m’a expliqué que je pouvais gagner énormément d’argent en investissant dans le trading. Je n’ai aucune expérience. Le monsieur m’a indiqué que ce n’était pas utile. Tradershome allait m’aider. Je n’avais rien à faire que de – regarder les euros défiler« .

« J’ai fait un premier versement de 100€. Tout c’est enchaîné très rapidement. J’ai reçu des appels qui m’étaient indiqué provenant de Hong-Kong. On m’appelait chaque jour. Mon – coach – souhaitait que j’augmente mon capital. Plus je verserai, plus je gagnerai, m’affirmait-t-il. Le plus fou c’est qu’au début, je recevais bien mes profits. J’avais versé 1 000€ en mars 2019. J’ai reçu un premier versement de 250€. Bilan, les appels et cette entrée d’argent m’ont incité à placer 4 000 euros. Bilan, 5 000 euros chez eux. Pour me garder, j’ai reçu 740€ sur mon compte en banque, en avril 2019. Sauf que trois semaines plus tard, ma courbe a chuté à 4 700 euros. Il ne me restait plus que 300€. Je n’ai plus jamais eu de nouvelles. J’ai perdu 4 260 dans ce piège.« 

Faille pour Windows : possible de copier vos fichiers à distance

Un chercheur en cybersécurité découvre comment des pirates pourraient vous voler des fichiers via Internet Explorer… même si le navigateur est fermé.

Un chercheur en sécurité informatique, John Page (Hyp3rlinx), a découvert comment il était possible de prendre la main sur vos fichiers via un ordinateur sous Windows 7, 10 et Server 2012. Une attaque qui exploite Internet Explorer.

Le plus inquiétant est que le navigateur n’a pas besoin d’être ouvert pour que l’infiltration fonctionne. Un pirate doit motiver son interlocuteur à ouvrir un fichier, envoyé par mail ou via un lien. Mission, ouvrir un fichier MHT particulièrement formulé.

Via ce MHT, le pirate peut copier les fichiers de votre ordinateur. Comme le précise ZDNET, Microsoft alertée. La réaction peu rapide du géant américain a motivé John Page a révélé la faille.

python -m SimpleHTTPServer

Lors de l’ouverture locale du fichier « .MHT » malveillant, il convient de lancer Internet Explorer. Ensuite, les interactions utilisateur telles que l’onglet en double « Ctrl + K » et d’autres interactions, telles que les commandes « Aperçu avant impression » ou « Imprimer » effectuées par un clic droit sur la page Web peuvent également déclencher la vulnérabilité.

Testé avec succès dans le dernier navigateur Internet Explorer (11), avec les derniers correctifs de sécurité.

Microsoft indique « qu’une solution à ce problème serait prise en compte dans une future version de ce produit ou service. Pour le moment, nous ne fournirons pas de mises à jour régulières sur l’état du correctif relatif à ce problème, et nous avons classé cette affaire ».

les logiciels malveillants dédiés aux cryptomonnaies touchent 10 fois plus d’entreprises que les ransomwares

Les extracteurs de cryptomonnaie touchent 10 fois plus d’entreprises que les logiciels rançonneurs. Le Rapport Sécurité 2019 de Check Point révèle pourtant que seul 1 professionnel de l’informatique sur 5 anticipe les infections.

La seconde partie de son Rapport Sécurité 2019 souligne combien les outils et les services utilisés pour mener des activités cybercriminelles se sont démocratisés. Non seulement les méthodes d’attaque se sont perfectionnées mais elles sont désormais accessibles à toute personne disposée à en payer le prix, et c’est précisément rendu possible grâce au marché en plein essor des logiciels malveillants sous forme de service.

Cette seconde partie du rapport révèle les principales tendances en matière de cyberattaques observées en 2018, et pointe du doigt la croissance significative du nombre d’attaques furtives et complexes conçues pour échapper aux équipes de sécurité des entreprises. Il précise également les types de cyberattaques que les équipes informatiques et de sécurité des entreprises considèrent comme représentant la plus grande menace pour eux.

Les éléments clés du rapport

  • Les extracteurs de cryptomonnaie s’activent sur les réseaux sans être détectés : Les extracteurs de cryptomonnaie ont infecté 10 fois plus d’entreprises que les logiciels malveillants en 2018, mais seulement un professionnel de la sécurité informatique sur cinq a été en mesure de détecter une infection sur son réseau. 37 % des entreprises dans le monde ont été touchées par des extracteurs de cryptomonnaie en 2018. 20 % des entreprises continuent d’être touchées par ce phénomène chaque semaine, malgré une baisse de 80 % de la valeur des cryptomonnaies.
  • Les risques présentés par les extracteurs de cryptomonnaie sont sous-estimés par les entreprises : Lorsque CP a demandé aux entreprises quelles étaient les menaces les plus importantes pour leur entreprise, 16 % seulement des professionnels de l’informatique ont cité les extracteurs de cryptomonnaie, contre 34 % pour les attaques DDoS, 53 % pour les fuites de données, 54 % pour les logiciels rançonneurs et 66 % pour le phishing. C’est assez préoccupant, car les extracteurs de cryptomonnaie peuvent facilement servir de portes dérobées pour télécharger et activer d’autres types de logiciels malveillants. 
  • Les logiciels malveillants sous forme de service se développent : Le programme d’affiliation du logiciel malveillant sous forme de service GandCrab permet désormais à des amateurs de se lancer dans le business lucratif des logiciels rançonneurs. Ils conservent jusqu’à 60 % du montant des rançons perçues auprès des victimes et les développeurs en conservent jusqu’à 40 %. GandCrab compte plus de 80 affiliés actifs, et plus de 50 000 victimes ont été infectées en seulement deux mois en 2018, totalisant entre 300 000 et 600 000 dollars de rançons. 

« La seconde partie de notre Rapport Sécurité 2019 montre comment les cybercriminels s’intéressent à de nouvelles approches furtives et de nouveaux modèles commerciaux, tels que les programmes d’affiliation de logiciels malveillants, afin de maximiser leurs revenus illégaux tout en réduisant le risque d’être détectés. Même s’ils agissent à l’abri des regards on ne doit pas les oublier. Bien que discrètes, les cyberattaques de 2018 ont été nombreuses et préjudiciables, » déclare Thierry Karsenti, Vice-Président EMEA Sales Engineering de Check Point Software Technologies. « Grâce à notre rapport sécurité et aux analyses des évolutions récentes qu’il propose, les entreprises peuvent mieux appréhender les menaces auxquelles elles sont confrontées, et mieux anticiper pour qu’elles n’aient pas d’incidence sur leurs activités. »

Le Rapport Sécurité 2019 s’appuie sur des données provenant du plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données sur les menaces et des tendances en matière d’attaques issues d’un réseau mondial de capteurs ; d’études effectuées par Check Point au cours des 12 derniers mois ; et d’une toute nouvelle enquête menée auprès de professionnels de l’informatique et de cadres supérieurs, qui évalue leur niveau de préparation face aux menaces actuelles. Le rapport examine les toutes dernières menaces émergentes dans différents secteurs d’activité, et fournit un aperçu complet sur les tendances observées dans le paysage des logiciels malveillants, des vecteurs de fuites de données émergents et des cyberattaques commanditées par des États.

Google Play : le premier malware capable de détourner des crypto-monnaies par copier-coller.

Des chercheurs découvrent dans le Google Play Store le premier malware Android capable de remplacer le contenu du presse-papier de l’appareil infiltré. De type « Clipper », ce code malveillant très spécifique cible les utilisateurs des crypto monnaies Bitcoin et Etherum, et il a pour objectif de rediriger les fonds transférés depuis le portefeuille (le « wallet ») de la victime vers celui du criminel en changeant l’adresse de destination au moment où celui-ci est copié-collé.

« Cette découverte montre que de tels Clippers capables de détourner des fonds ne sont plus réservés aux environnements Windows ou à des forums Android de seconde zone. Désormais, tous les utilisateurs Android doivent s’en méfier », explique Lukáš Štefanko, le chercheur ESET à l’origine de cette découverte.

Ce nouveau Clipper profite du fait que bon nombre d’utilisateurs de crypto monnaies entrent rarement manuellement les adresses de portefeuilles, car elles représentent souvent de longues et fastidieuses chaînes de caractères. Ils préfèrent copier l’adresse depuis un document, puis la coller dans le wallet. Et c’est à ce moment, lorsque l’adresse est encore dans le presse-papier Android, que le malware est capable de la remplacer par une autre, appartenant au criminel.

Les premiers Clippers sont apparus dans l’écosystème Windows en 2017. En 2018, les chercheurs découvraient même trois applications de ce type sur le site de téléchargement downolad.cnet.com, l’une des plateformes de téléchargement le plus populaire au monde. En août de la même année apparaissait le premier Clipper pour Android. Distribué que sur des forums de piratage underground. Depuis, il est présent sur de nombreuses places de marché alternatives (des « App Stores » non-officiels).

Cependant, à ce stade, les utilisateurs qui se cantonnaient au Google Play Store officiel n’avaient rien à craindre… jusqu’à aujourd’hui !

Mais tout a changé depuis cette découverte par les chercheurs du premier Clipper pour Android sur le store Android officiel. « Nous avons heureusement détecté ce malware peu de temps après qu’il ait été introduit sur la plateforme. Nous avons immédiatement alerté l’équipe sécurité de Google, qui l’a rapidement supprimé », explique Lukáš Štefanko.

Ce Clipper découvert par les équipes ESET imite un service légitime appelé MetaMask, qui permet de faire fonctionner des applications Ethereum décentralisées dans un navigateur, sans nécessiter un nœud complet. MetaMask existe sous la forme d’un plugin pour les navigateurs Chrome et Firefox pour ordinateurs desktops, mais il n’a pas de version mobile.

« Il y a manifestement de la demande pour une version mobile de MetaMask, et les criminels le savent. C’est pour cela qu’ils ont décidé d’y répondre en imitant ce service sur le Google Play Store » explique Lukáš Štefanko.

Si d’autres malwares ont par le passé déjà tenté de détourner des crypto monnaies de la sorte, ils le faisaient de manière relativement grossière, en dirigeant leurs victimes vers de faux formulaires contrôlés par l’attaquant. « Mais avec un Clipper installé sur son téléphone, la fraude devient extrêmement simple : ce sont les victimes elles-mêmes qui envoient, malgré elles, directement les fonds au criminel ! », précise Lukáš Štefanko.

Cette découverte d’un malware de type Clipper sur le Google Play Store officiel devrait servir de rappel aux utilisateurs Android qu’il est impératif de respecter les bonnes pratiques de sécurité élémentaires.

Pour se protéger de tels malwares Android, nous vous conseillons

  • Mettez votre appareil régulièrement à jour et utilisez une solution de sécurité fiable
  • Cantonnez-vous au Google Play Store officiel pour télécharger vos applications mobiles (malgré cette découverte, il demeure largement plus sûr que les plateformes non officielles)
  • Consultez toujours le site web officiel du développeur de l’application que vous vous apprêtez à télécharger, et recherchez-y un lien vers la véritable application sur le Google Play Store. Si le site officiel ne mentionne aucune application mobile, considérez avec précaution toute application que vous auriez trouvé via le moteur de recherche du Store
  • Vérifiez avec attention chaque étape de tout processus qui implique des informations sensibles, notamment les manipulations de fonds (virtuels ou non !). Et lorsque vous utilisez le presse-papier, prenez le temps de contrôler que ce qui a été collé correspond bien à ce que vous avez copié.

Google corrige 3 failles critiques : l’une d’elle permet de piéger une image

Google a corrigé une faille critique dans son système d’exploitation Android. La faille permettait à un pirate d’envoyer un fichier image PNG spécialement conçu pour pirater un périphérique cible.

PNG dangereux ?! Le nombre total de problèmes critiques corrigés en ce mois de février 2019 est de 11. Le géant de la technologie a traité un total de 42 problèmes, dont 30 ont été classés comme graves.

Parmi les failles, trois vulnérabilités critiques CVE-2019-1986, CVE-2019-1987 et CVE-2019-1988 corrigées.

Elles affectent des millions d’appareils Android exécutant des versions du système d’exploitation Google, allant d’Android 7.0 Nougat à la dernière Android 9.0 Pie. Google a corrigé les trois vulnérabilités du projet Open Source Android (AOSP) dans le cadre de ses mises à jour de sécurité Android en ce mois de février 2019. Même si Google a corrigé les failles, chaque fournisseur devra distribuer le correctif pour ses modèles et ce processus sera long, très long !

Les chercheurs de Google n’ont pas fourni de détails techniques sur les failles, le géant de la technologie a seulement indiqué que les mises à jour de sécurité traitaient une « faille de dépassement de mémoire tampon », « d’erreurs dans SkPngCodec » et de vulnérabilités dans certains composants générant des images PNG.

Pour finir, selon l’avis de sécurité publié par Google, la plus grave des trois vulnérabilités pourrait permettre la création d’une image piégée, au format PNG. Image malveillante qui peut exécuter du code arbitraire sur les appareils Android vulnérables. Les experts ont souligné qu’un attaquant pourrait exploiter cette faille en incitant les victimes potentielles à ouvrir un fichier image PNG malicieusement conçu sur leur Android.

1er février : Le jour des nouveaux mots de passe

Le 1er février est la journée internationale du changement de mots de passe. C’est le moment de prendre du recul sur nous, sur nos appareils et de nous interroger : ai-je les bonnes pratiques, en matière de mots de passe, pour préserver la sécurité de ma vie numérique ? Il est probable que la réponse soit non. Et les conséquences pourraient être graves pour votre compte en banque et votre vie privée.

Quand il s’agit de mots de passe, la taille ne fait pas tout. Dans le classement 2018 des pires mots de passe proposé par SplashData, la progression la plus importante parmi les 5 premiers est 123456789 qui gagne trois places pour arriver en troisième position alors que 123456 et « password » conservent respectivement la première et la deuxième place.

123456789 est la preuve que la taille seule ne fait pas la sécurité d’un mot de passe. Parmi les autres facteurs, on trouve la complexité du mot de passe avec son mélange de lettres et de caractères spéciaux, le nombre de fois que le mot de passe est utilisé pour différents comptes, et le fait que ces « password » aient pu filtrer ailleurs.
A noter que le site zataz.com propose une action pour ce 1er février. Vous indiquer si vos données se trouvent dans des blackmarket.

Voici un guide en 6 points pour améliorer la gestion des mots de passe personnels, que vous utilisiez un gestionnaire de mots de passe ou que vous les gardiez par écrit à la maison.

  1. Pour commencer, soyez créatif

Créer un mot de passe sécurisé et facile à mémoriser qui contienne 12 lettres majuscules et minuscules, des nombres et des caractères spéciaux, ce n’est pas vraiment facile. C’est pourquoi il faut faire preuve de créativité. Choisissez une phrase facile à mémoriser, un événement ou un jeu de mots que vous utiliserez comme base de votre mot de passe. Prenons par exemple le film aux cinq Oscars, Vol au-dessus d’un nid de coucous. Cela peut devenir vAu-desD1niCC : il répond aux critères de taille, de mélange complexe de caractères et, mieux encore, vous pourriez même réussir à le retenir.
  1. Recyclez tout ce que vous pouvez

Tout le monde connaît la chanson du recyclage : séparer les déchets dans différents conteneurs pour le papier, le verre, le compost, les déchets alimentaires et les déchets non recyclables. Il y a une grande logique là-dedans : les bouteilles vides peuvent être remplies et les déchets alimentaires finalement transformés à nouveau en nourriture. Il n’y a cependant absolument aucune poubelle pour le recyclage des mots de passe.
Pourtant, en pratique, le recyclage des mots de passe est très répandu. Un sondage Avira en ligne[i] a montré l’année dernière que 26 % des participants admettaient recycler leurs mots de passe entre différents sites. Même si les gens ont conscience que donner aux pirates un « sésame qui ouvre tout » n’est pas une bonne attitude, cela reste la manière la plus simple pour le choix d’un mot de passe.
  1. Ne laissez pas de piste

Nous avons grandi avec les films à suspens et le mystère, nous connaissons bien le scénario : le criminel répète son mode opératoire, utilise la même arme et abat la nouvelle victime de la même façon. La police rassemble les indices, y ajoute un peu de logique et de déduction et le tour est joué, ils tiennent un suspect.
Les gens agissent souvent de même avec les mots de passe. Ils utilisent un mot de passe de base qu’ils modifient légèrement pour leurs différents comptes ou les modifications obligatoires de mot de passe. Cela peut être aussi simpliste que 1password, 2password, 3password ou plus complexe comme vAu-desD2niCC. Un sondage parmi les utilisateurs d’Avira a montré que 26 % admettent utiliser le même mot de passe de base en le modifiant légèrement selon les besoins. Le problème c’est que les pirates aussi connaissent ce mode opératoire, et ils le combattent par des attaques très puissantes.
  1. Changez de mot de passe comme de chaussettes

Les mots de passe sont comme les chaussettes : il faut les changer régulièrement. Même les mots de passe « secrure ». Vous n’y pouvez rien, la vérité c’est qu’il est impossible de savoir comment les gens utilisent et sauvegardent vos données. Et si vous avez saisi vos coordonnées sur un site d’hameçonnage, ou si votre fournisseur a été piraté, vous devez modifier les informations de votre compte dès que possible.
  1. Choisissez la démarche qui répond le mieux à vos besoins

Il est important de choisir l’approche qui réponde le mieux à vos besoins pour créer et mémoriser les mots de passe. Si vous n’avez qu’un ou deux mots de passe et que vous effectuez l’intégralité de vos achats en ligne exclusivement depuis votre ordinateur de bureau, vous pouvez créer des mots de passe sécurisés et les noter sur des post-it jaunes pour vous en souvenir. Si vous êtes toujours en déplacement, que vous utilisez différents appareils et différents comptes pour vos activités en ligne, il est temps de songer à utiliser un gestionnaire de mots de passe qui peut créer, analyser et synchroniser les mots de passe entre les appareils.
  1. Améliorez votre statut

La majorité d’entre nous a déjà accumulé en ligne un grand nombre de mots de passe et de comptes non sécurisés pendant bien plus de temps qu’il aurait fallu avant d’avoir simplement l’idée d’utiliser un gestionnaire de mots de passe. Personne n’est parfait, c’est pourquoi un gestionnaire de mots de passe peut vous permettre d’améliorer l’état général de votre sécurité, en découvrant les mots de passe répétés, en recherchant les comptes piratés et en vous aidant à créer des mots de passe. (Pegassus Technologies / Gizmodo)

[1] (1) Enquête en ligne d’Avira menée en août 2018 en Allemagne sur 718 personnes âgées de 20 à 65 ans.

Vous avez été piraté, vous avez 48h pour payer

Depuis plusieurs jours, des courriels diffusés en masse menacent les internautes d’une diffusion de documents compromettant les concernant. Un escroquerie 2.0 qui, de part son ampleur, fait de gros dégâts dans la tête des récepteurs de la missive.

L’escroquerie qui fait trembler dans les chaumière arrive dans votre boite mail ! Le courrier électronique arrive dans les boites mails sous divers noms. Des inconnus ou celui du récepteur du courriel. Ce dernier cas fait son petit effet sur le lecteur. La lettre indique que la boîte mail a été piratée et qu’elle a permis de communiquer ce message. « Vous avez 48 heures pour effectuer le paiement. » explique le mail. Un maître chanteur, comme le révèle ZATAZ.COM, qui profite de la crédulité des gens, et la peur que peut provoquer son message. Le courrier est divisé en deux partie. La première, une image. Cette image contient la grande majorité de la menace. L’escroc utilise cette méthode pour contrer les logiciels antispams.

Du bluff, mais qui fait mouche !

La seconde partie termine la menace. Un texte qui change. Ici aussi, quelques petites modifications pour paraître légitime aux yeux des outils de sécurité informatique. « J’ai un traqueur dans ce mail, et en ce moment je sais que vous avez lu ce message » enchéri l’escroc. Le traqueur, une image collé dans le mail. Il ne dirige nul part. Du bluff ! « Si je n’obtiens pas les Bitcoins, j’enverrai certainement l’enregistrement vidéo à tous vos contacts, y compris vos parents, vos collègues, et ainsi de suite. Cela dit, si je reçois le paiement, je détruirai la vidéo immédiatement. » L’escroc annonce avoir découvert que le lecteur se rendait sur des sites pornographiques et qu’il aurait été filmé. Ici aussi, du bluff. ZATAZ a mis en place un numéro d’appel pour rassurer les internautes ayant reçu le courriel.

Une cyberattaque qui démontre les possibilités malveillantes des escrocs du web.

Le baron de la drogue El Chapo utilisait son propre réseau de communication chiffré

Joaquin Guzman, plus connu sous le pseudonyme d’El Chapo, l’un des plus important baron de la drogue utilisait un réseau de communication chiffré spécialement créé pour lui. Le FBI va réussir à le mettre sur écoute avec l’aide de son administrateur.

En informatique, la première faille reste l’humain. Le baron de la drogue mexicain Joaquin Guzman, alias El Chapo, aujourd’hui dans les mains des autorités américaines, en a fait les frais.

Pour converser avec ses clients et fournisseurs, El Chapo utilisait un réseau de communication privé et chiffré spécialement créé à son intention. Bilan,les autorités ne pouvaient n’y le suivre, ni l’écouter.

Un système de sécurité mis en place par un informaticien qui apparaît dans les documents du FBI sous le nom de Cristian Rodriguez, très certainement un pseudonyme.

Cristian se retrouve chez El Chapo. Son travail pour un autre baron de la drogue, le colombien Jorge Cifuentes, attire Guzman. De la VoIP interne sécurisée.

Seulement, le FBI a réussi à convaincre Rodriguez à collaborer.

Infiltration du FBI

Dans un premier temps, février 2010. L’agent du FBI se fait passer pour un dealer Russe. Il souhaite acquérir son système de chiffrement. Quelques semaines plus tard, le FBI « propose » de collaborer. L’histoire n’indique pas la proposition : argent, risque de prison, finir dans un bloc de béton …

Bilan, Rodriguez va migrer son serveur de communication au Pays-Bas. Préalablement installé au Canada, le serveur se retrouve aux Pays-Bas. Un pays choisi pour être plus souple avec les demandes de la justice américaine.

Finalité, l’agence fédérale a pu mettre sur écoute ce système chiffré. 1 500 appels téléphoniques sur écoute avec l’aide du service cybercrime (Team High Tech Crime) néerlandais.

L’existence de ce stratagème – et de plusieurs appels téléphoniques – a été révélée pour la première fois mardi 8 janvier 2019 lorsque Stephen Marston, un agent du FBI qui a aidé à diriger l’opération, a comparu en tant que témoin lors du procès de Guzmán.

Marston a déclaré aux jurés que l’étape cruciale de l’enquête consistait à recruter Rodriguez. Il fallait qu’il collabore avec les autorités américaines.

Les voix ont pu être comparées et authentifiées à partir, entre autre, d’une interview donnée par El Chapo à l’acteur Sean Penn pour le journal Rolling Stone.

El Chapo est locataire d’une prison fédérale américaine depuis 2016.

Une fausse mise à jour s’affiche sur Electrum Bitcoin, des centaines de milliers d’euros volés ?

Une faille a permis à des pirates informatiques d’afficher une fausse mise à jour pour les utilisateurs d’Electrum Bitcoin.

Une faille sur le site d’Electrum, un espace dédié à la cryptomonnaie Bictoin, a permis l’affichage de fausses mises à jour dans les écrans des utilisateurs. Les pirates ont eu pour mission d’inciter les « clients » à se connecter à l’un des 33 faux serveurs Electrum ouverts pour l’occasion.

Bilan de cette attaque, la possibilité de voler plusieurs centaines de milliers d’euros.

Une page Github revient sur cette infiltration sournoise. « Une attaque contre des utilisateurs dans laquelle les serveurs soulèvent des exceptions lorsqu’un client diffuse une transaction ; dans ce cas, une fenêtre s’affiche« .

 

Le pirate a créé de nombreux serveurs afin d’augmenter ses chances de connexion. Les messages d’erreur tentent d’amener l’utilisateur à télécharger et à installer des logiciels malveillants. Déguisés en versions de mises à jour d’Electum. Une fois le logiciel malveillant installé, les utilisateurs étaient invités à entrer les codes d’authentification 2FA. Les pirates ont pu transférer des fonds dans leurs propres portefeuilles.

L’Electrum, un alliage naturel d’or et d’argent, utilise des serveurs distants qui se chargent des transactions Bitcoin. Electrum permet, par exemple, de récupérer son portefeuille BTC via une phrase secrète.

Crypto-monnaie et recovery room : 113 sites douteux

Recovery room : l’Autorité des Services et Marchés Financiers diffuse une liste noire de 113 sites web douteux concernant les crypto-monnaies.

 

La FSMA, l’Autorité belge des Services et Marchés Financiers, vient de mettre en ligne une liste qui risque d’intéresser les amateurs de crypto-monnaies et autres internautes attirés par le trading. La FSMA édite depuis 1 an une liste de sites mis sur liste noire pour avoir été acteurs d’escroqueries. Si au début cette liste affichait quelques dizaines de fraudeurs, en décembre 2018, ils sont 113 montrés du doigt. A fuir, donc. Le gendarme du secteur financier belge explique que ces plateformes « proposent un investissement sur la base de crypto-espèces, en mettant l’accent sur son caractère sûr, simple et très lucratif. Elles tentent de gagner votre confiance en vous persuadant qu’il ne faut pas être un expert pour pouvoir investir dans les crypto-monnaies. Prétendent collaborer avec des spécialistes, qui gèrent vos investissements. Confirment en outre que vous pouvez retirer vos fonds à tout moment. Fonds garantis. »

Derrière, des escrocs qui empochent votre argent. Cette liste comprend : des entreprises fournissant, en Belgique (ou depuis la Belgique), des services et produits financiers sans respecter la réglementation financière belge (défaut d’agrément / défaut de publication d’un prospectus/…) ; des entreprises à l’égard desquelles, outre d’éventuels manquements aux réglementations financières dont elle assure le contrôle, la FSMA a constaté de sérieux indices de fraude à l’investissement ; des entreprises à l’origine de fraudes de type « recovery room« .

Recovery room

La fraude de type « recovery room » vise les investisseurs déjà victimes d’une arnaque. Contactés par les escrocs, ils se voient proposer de l’aide en vue de récupérer les sommes perdues. Une technique employée, entre autres, par les escrocs à l’amour, les scammeurs. Ils vous indiquent être policier, par exemple, et doivent vous permettre de retrouver votre argent perdu. Bien évidement, ils réclament des frais de « dossier » ! Les escrocs derrière une « recovery room » sont souvent les mêmes voleurs que dans le cadre de la fraude initiale. Ils peuvent aussi revendre leur « pigeon » à d’autres malveillants. « Tout investisseur qui a déjà été victime d’une fraude à l’investissement doit être conscient que les fraudeurs sont susceptibles de le viser à nouveau ou de revendre ses données. » confirme la FSMA.

Le minage de crypto-monnaies pirate dépasse les ransomwares

L’usage des ransomware a drastiquement chuté au profit du minage de crypto-monnaies. Pendant les trois premiers trimestres de l’année 2018, 5 millions d’utilisateurs ont été attaqués en ligne, par des mineurs de cryptomonnaie, contre 2,7 millions en 2017.  Les infections sont dues, en grande majorité, au téléchargement et à l’installation de logiciels sans licence, ce qui implique un ciblage des victimes plutôt orienté vers le grand public.

Le principe même de la criminalité, qu’il s’agisse du cyber ou du physique, repose sur l’appât du gain, la possibilité de gagner beaucoup d’argent, en très peu de temps. Pendant plusieurs années, le prix des crypto monnaies a été très élevé. Aujourd’hui, les cours sont fluctuants, voire  en chute libre depuis quelques semaines. Très vite, le minage de crypto monnaies ne sera plus rentable car les gains ne couvriront plus les investissements en temps. Ce sera particulièrement vrai si les criminels continuent de cibler les machines individuelles, plutôt que les grandes entreprises disposant de fortes puissances de calcul. En revanche, si les crypto monnaies continuent leur démocratisation, il faudra surveiller les plates-formes d’échange qui pourront devenir de véritables nids d’opportunités pour les criminels dans des opérations de phishing de leur client ou de piratage direct.

 L’extorsion de fonds à grande échelle

Ronan Mouchoux du GReAT explique : «  En mars 2010, la plate-forme pionnière d’échange de cryptomonnaies, BitcoinMarket, effectuait la toute première transaction financière entre bitcoin et monnaie fiduciaire. Un bitcoin échangé alors pour 0.003 dollar US. Huit ans plus tard, l’écosystème s’est développé, avec des milliers de nouvelles blockchains et des centaines de plates-formes de trading. Sur cette durée, au moins 31 piratées pour un montant de 1,3 milliard de dollars. Les détenteurs de crypto monnaies, les développeurs de blockchains et les plates-formes d’échange sont les trois cibles des cybercriminels. Rien qu’au deuxième trimestre 2018, plus de 2 millions de dollars extorqués à des possesseurs de crypto monnaies par phishing ou arnaque. En septembre dernier, l’une des principales plates-formes japonaises d’échange, Zaif, se faisait voler l’équivalent de 60 millions de dollars. »

 

 Investisseurs individuels vs. banques : une inégalité en matière de sécurité

Les crypto monnaies se démocratisent toujours davantage et sont désormais accessibles à la plupart des investisseurs. La tendance devrait encore se renforcer grâce à l’ouverture annoncée du marché directement via les buralistes en 2019. Il faut s’attendre à d’importantes tentatives d’exploitation de failles de sécurité. Les détenteurs de crypto monnaies, les développeurs de blockchain et les plates-formes d’échanges doivent impérativement accroître leur niveau de sécurité, encore beaucoup trop faible par rapport aux banques historiques et traditionnelles. Preuve en est, le plus gros casse bancaire de l’histoire se baptise Carbanak : l’attaque avait entrainé le vol de 1 milliard de dollars. Durant le premier semestre 2018 au Japon, près de 500 millions de dollars dérobés par piratage de plusieurs plateformes d’échanges de ce pays. De quoi attirer les cybercriminels, bien plus qu’avec le minage.

 Comment se protéger ?

Il est primordial pour les utilisateurs de choisir leur plate-forme en fonction de leur sécurité. Pour les plus gros détenteurs de cryptoactifs, on ne peut que recommander fortement d’investir dans un porte monnaies physique à la réputation éprouvée. Quant aux développeurs de blockchain et aux plates-formes d’échanges, ils doivent utiliser des solutions et recruter de véritables experts en cybersécurité. Tout ce qui est tendance sur un marché, l’est aussi pour la cybercriminalité. Bien entendu comme toute activité qui implique un accès en ligne, disposer d’appareils et de solutions à jour et ne pas installer de logiciels non certifiés font partie des recommandations basiques. (Rapport)

Un tiers des directeurs informatiques français seraient prêts à payer un ransomware pour éviter les amendes liées au RGPD

Un directeur informatique sur trois préfère payer un ransomware en raison du coup de réinstallation.

Une étude commandée par Sophos a révélé qu’un tiers (33%) des directeurs informatiques français seraient «vraiment» prêts à payer les rançons demandées par des cybercriminels, qui auraient volé leurs données professionnelles, plutôt que de signaler la violation aux autorités et de devoir payer une amende plus lourde, dans le cadre du Règlement Général sur la Protection des Données (RGPD) de l’UE.

De plus, 43% des responsables informatiques en France, ont déclaré qu’ils envisageraient «éventuellement» de payer la rançon demandée par les hackers si elle était inférieure à l’amende prévue en cas d’infraction suite à une violation. Seulement 20% des personnes interrogées ont complètement exclu de payer leurs agresseurs.

Les directeurs informatiques français sont plus enclins à payer que leurs homologues belges

Un quart (24%) des directeurs informatiques belges ont déclaré qu’ils seraient «vraiment» prêts à payer une rançon pour éviter d’être exposés à une amende plus lourde, imposée par les autorités. Parmi les pays d’Europe Occidentale, mentionnés dans l’étude, les directeurs informatiques britanniques et néerlandais étaient les plus susceptibles de payer une rançon. Près de la moitié (47%) des personnes interrogées au Royaume-Uni et plus d’un tiers (38%) aux Pays-Bas étaient «vraiment» disposées à payer. Avec seulement 19%, les responsables informatiques irlandais étaient les moins susceptibles de se considérer «vraiment» prêts à payer leurs agresseurs.

La taille de l’entreprise impacte le paiement des ransomwares

Dans toute l’Europe Occidentale, les petites entreprises étaient les moins susceptibles d’envisager le paiement d’une rançon. Plus de la moitié (51%) des directeurs informatiques des entreprises de moins de 250 employés ont complètement exclu de payer leurs agresseurs. Ce chiffre à comparer aux 20% des directeurs informatiques des entreprises de 250 à 499 employés. 13% pour 500 à 750 employés.

Michel Lanaspèze chez Sophos a déclaré: « Les entreprises qui paient une rançon peuvent peut-être bien récupérer l’accès à leurs données, mais c’est loin d’être une garantie à 100% et c’est surtout une fausse économie si elles le font pour éviter une sanction. Elles doivent signaler la violation aux autorités. « .

Il est surprenant de voir que les grandes entreprises semblent être les plus susceptibles de payer une rançon. Faire confiance aux pirates ou attendre qu’ils restituent sagement les données est une grave erreur. Notre conseil ? Ne payez pas la rançon. Informez rapidement la police/Gendarmerie (Soyons honnête, la chance d’arrêter les auteurs est proche de 0, NDR). Prenez les mesures nécessaires pour réduire les risques d’une nouvelle attaque réussie.

« Le meilleur moyen de ne pas avoir à payer une rançon est de toujours garder une longueur d’avance sur les cybercriminels. Les pirates ont tendance à utiliser des emails de phishing, des logiciels non patchés et des portails d’accès à distance pour pénétrer dans vos systèmes. Assurez-vous donc que vos systèmes et vos utilisateurs soient à même de détecter les signaux annonciateurs d’une attaque. Installez les correctifs le plus tôt et le plus souvent possible, sécurisez les points d’accès distants avec des mots de passe appropriés et enfin mettez en œuvre une authentification multi-facteurs ».

Seuls quatre directeurs informatiques français sur dix pensent être en conformité avec le RGPD

L’étude de Sophos a également montré que seulement 37% des directeurs informatiques français étaient confiants dans une conformité totale de leur entreprise avec les règles du RGPD. Ce chiffre est supérieur à celui des directeurs informatiques en Belgique (30%) et en République d’Irlande (35%), mais inférieur à celui observé au Royaume-Uni (46%) et aux Pays-Bas (44%). Seulement un quart (24%) des directeurs informatiques français ont déclaré avoir mis en place des outils permettant de prouver leur conformité en cas de violation. Seules les entreprises néerlandaises (27%) semblent « ok » vis à vis de ce point particulier. Plus de la moitié des entreprises françaises ont migré leurs données vers le cloud suite à l’entrée en vigueur du RGPD : 59% des personnes interrogées ont déclaré avoir davantage utilisé le cloud computing comme conséquence directe de l’entrée en vigueur du RGPD.

Fake news lors du Forum de la Gouvernance de l’Internet 2018

Le programme du OFF met la lutte contre les fake news à l’honneur.

En parallèle du Forum de la Gouvernance de l’Internet, qui se tient à Paris du 12 au 14 nombre prochain, l’Internet Society France co-organise un OFF, qui sera l’occasion de mettre en lumière certaines préoccupations des parties-prenantes. Le OFF référence ainsi plus d’une vingtaine d’événements du numérique qui ont lieu pendant le Forum. L’Internet Society France s’engage sur le sujet de la désinformation en ligne.

Un hackathon sur le thème des troubles informationnels pour des solutions concrètes

Nicolas Chagny, président de l’Internet Society France, commente : « les fake news sont un défi majeur de la gouvernance de l’Internet. Les solutions autoritaires sont tout aussi démagogues que les auteurs de fake news ; pour cette raison, nous souhaitons proposer une réponse collective à ces défis ». Organisé par l’Agence France Presse, Renaissance Numérique et Savoir*Devenir et l’Internet Society France, le hackathon a pour thème les troubles informationnels à l’ère numérique et les propos haineux. Il rassemblera experts, chercheurs, associations, développeurs, journalistes, et étudiants pour apporter des solutions multidisciplinaires à ces problématiques, alliant à la fois sciences sociales mais aussi le développement informatique.

3 jours de travail, 3 parcours de réflexion

Le hackathon autour de trois parcours : lutte contre les propos haineux sur Internet ; fausses vidéos et troubles informationnels ; éducation aux médias et au numérique.

Ce hackathon sera l’occasion d’aborder l’amélioration du projet InVID porté par l’Agence France Presse, qui ambitionne de fournir un outil de vérification des images et vidéos, et aussi l’internationalisation de la plateforme Seriously (www.Seriously.ong), outil de lutte contre les discours de haine sur Internet conçu par Renaissance Numérique.

Inscription au hackaton : https://igf2018-leoff.paris/hackathon

Piratage de Facebook : 400 000 infiltrations + 400 000 + 400 000 …

Facebook vient d’expliquer le piratage qu’a subi la plateforme de réseautage. Il n’y aurait eu que 400 000 personnes impactées. vraiment ?

Facebook a diffusé, ce 13 octobre, un communiqué de presse expliquant son piratage. Si la société avait annoncé entre 30 et 50 millions de comptes impactés, Facebook parle aujourd’hui de 400 000 utilisateurs véritablement infiltrés. Les pirates ont pu se servir de leur compte personnel.

15 millions d’utilisateurs ont perdu leur véritable identité et coordonnées. Pour 14 millions de personnes, les assaillants ont eu accès aux deux mêmes types d’informations, ainsi qu’à d’autres détails figurant dans leur profil. Cela incluait le nom d’utilisateur, le sexe, le lieu / la langue, le statut de la relation, la religion, la ville d’origine, la ville actuelle déclarée, la date de naissance, les types d’appareils utilisés pour accéder à Facebook, au travail, les 10 derniers lieux dans lesquels ils ont ouvert ou ajouté des tags, site Web, les personnes ou les pages qu’ils suivent et les 15 recherches les plus récentes.

Pour 1 million de personnes, les attaquants n’ont eu accès à aucune information.

400 000 + 400 000 + 4000 000 …

En lisant le communiqué de presse, la formulation est floue. Un flou qui ne semble pas être un hasard. Je m’explique. En comptant tous les amis, le nombre de conversations accessibles, … on se retrouve avec des millions de personnes impactés. Bien plus que les 30 millions indiquées. Le paragraphe concernant l’accès aux messages devrait faire réfléchir : « Message content was not available to the attackers, with one exception. If a person in this group was a Page admin whose Page had received a message from someone on Facebook, the content of that message was available to the attackers. » Bref, les amateurs de fractals commencent à comprendre mon interrogation. Cela en fait des informations et des messages « privés » si j’additionne les amis, des amis, des amis de mes amis !

Dernier point, il est intolérable que les pages « sécurité » dont celle dédiée à ce piratage ne soient pas traduite dans les langues des utilisateurs. De nombreuses personnes inquiètes ne comprennent ni le vocabulaire « juridique » employé, ni la langue de Shakespeare.