🎭 25 millions volés par l'IA

Salut 👋, j’espère que tu as passé une bonne semaine. C’est l’heure de ton récap immanquable de l’actu cyber et digitale, et ça bouge !

Au programme :

• À la une : 🎭 Piégé par un deepfake, un employé transfert 25 millions de dollars

• 🇷🇺 Un ressortissant biélorusse accusé de blanchiment de 4 milliards de dollars en cryptomonnaie

• 🎩 EuropCar : la fuite de données était en réalité… une supercherie

• 🦋 Bluesky ouvre ses portes après une phase bêta privée réussie

• 🕸 PixieFail (UEFI) : Quand un simple démarrage réseau permet de prendre le contrôle de milliards de systèmes

• En Image : 🎭 Qu’est-ce qu’un deepfake et comment s’en protéger ?

• Rapport : 💪 Les outils “as-a-Service” continuent de dominer le paysage des menaces

🎭 Piégé par un deepfake, un employé transfert 25 millions de dollars

Un employé d'une entreprise basée à Hong Kong a été victime d'une escroquerie sophistiquée impliquant l'utilisation de la technologie «deepfake». Pensant participer à une visioconférence avec ses supérieurs et collègues, il a involontairement transféré 25 millions de dollars à des escrocs.

Comment les pirates ont-ils procédé ?

L'incident a débuté par la réception d'un e-mail usurpant l’identité du directeur financier de l’entreprise, basé au Royaume-Uni. Il invitait l'employé à rejoindre une réunion virtuelle, dans le but de discuter de transactions confidentielles à réaliser.

Dans un premier temps, l’employé, méfiant, a le bon réflexe et pense à une tentative de phishing. Cependant, ses doutes s’évaporent lorsqu’il se connecte à la visioconférence et aperçoit les visages et entend les voix familières de ses collègues.

Au cours de cette “réunion”, et à la demande de son faux directeur financier, l’employé effectuera 15 transactions sur cinq comptes bancaires différents, pour un total de 25 millions de dollars. Ce n'est qu'après la réunion qu'il découvrira la supercherie.

Selon les enquêteurs, les criminels ont collecté pendant plusieurs mois des vidéos des employés de l'entreprise pour réaliser des deepfakes plus vrais que nature, et pour reproduire les voix des personnes grâce à l’intelligence artificielle.

La fraude au président 2.0

Cette fraude par deepfake et IA n'est pas un cas isolé. Mais celle-ci a une ampleur jusqu’ici inégalée.

En 2019, le PDG d’une entreprise britannique du secteur de l’énergie, avait transféré 220 000 euros suite à un appel téléphonique, dans lequel une voix générée par un système d’intelligence artificielle, imitant le dirigeant de sa maison mère en Allemagne, lui demandait d’effectuer un virement sur un compte en Hongrie.

Le principe de cette fraude, communément appelée “Fraude au président”, n’est pas nouveau. On se souvient notamment de l’escroc franco-israélien Gilbert Chikli, connu pour avoir escroqué, entre 2006 et 2019, plus de 100 millions d'euros avec cette méthode. Il a notamment usurpé l’identité du ministre de la défense de l’époque, Jean-Yves Le Drian. Avec l’IA ? Non, avec un masque en latex, sur Skype, et en reproduisant un décor digne du Quai d’Orsay.

Ces incidents soulignent toutefois les dangers croissants de la technologie deepfake et de l’IA dans les escroqueries financières et la nécessité pour les entreprises de renforcer leurs mesures de sécurité (et mesures comptables) contre de telles menaces. Car avec l’IA, il devient pour les attaquants plus facile de mener plusieurs fraudes au président, en parallèle.

🎭 Qu’est-ce qu’un “deepfake” et comment s’en protéger ?

À mesure que la technologie “deepfake” évolue et que la frontière entre réel et virtuel s'amincit, nous avons trouvé judicieux de vous présenter quelques pistes pour vous protéger contre l’utilisation malveillante de cette technologie.

🇷🇺 Un Biélorusse aurait blanchi de 4 milliards de dollars en cryptomonnaie

Aliaksandr Klimenka, un ressortissant biélorusse, présumément lié à l'ancienne plateforme d'échange de cryptomonnaies “BTC-e”, est accusé de complot de blanchiment d'argent et d'exploitation illégale d'une entreprise de services monétaires par le Département de la Justice des États-Unis (DOJ). Il encourt une peine maximale de 25 ans de prison.

Selon l’acte d’accusation, Klimenka et d’autres personnes sont accusés d’avoir blanchi plus de 4 milliards de dollars de fonds provenant d'activités criminelles (escroqueries aux rançongiciels, vols d'identité et réseaux de distribution de stupéfiants).

Pour rappel : le nom ne vous dit peut-être pas grand chose, mais la plateforme d’échange de cryptomonnaies BTC-e, fondée en 2011, a été un haut lieu d’échange de cryptoactifs jusqu’à sa saisie par le gouvernement américain en juillet 2017, et l’arrestation de l’un de ses co-fondateurs, Alexander Vinnik. Pendant sa période d’activité, la plateforme était privilégiée des cybercriminels car elle n’avait aucun programme de lutte contre le blanchiment d’argent et aucun système de vérification d’identité des clients (KYC). Elle opérait ainsi en irrespect total des lois fédérales américaines.

La plateforme BTC-e est également connue pour son lien avec la célèbre affaire Mt. Gox et ses 647 000 bitcoins volés (plus de 27 milliards de dollars au cours actuel). Des fonds volés provenant de Mt. Gox auraient alors transité à l’époque par des comptes associés à BTC-e.

🎩 EuropCar : la fuite de données était en réalité… une supercherie

Dans une récente affaire de cyberattaque, un membre d'un forum de pirates a prétendu avoir volé les données personnelles de plus de 48 millions de clients de la société EuropCar. Cependant, une enquête menée par EuropCar a révélé que cette base de données était entièrement fictive, générée par un outil d'intelligence artificielle (une fois de plus…), présumément ChatGPT.

Pour rappel, fin janvier, un individu se présentant sur un forum de hackers affirmait détenir des informations confidentielles de la clientèle d'EuropCar et proposait de les vendre. Après enquête des équipes de cybersécurité de l’entreprise, les résultats de leur analyse ont mis en lumière des anomalies significatives : le nombre d'enregistrements ne correspondait pas à la réalité de l'entreprise et aucune des adresses e-mails n'était présente dans leur base de données client.

L’analyse démontrerait que les données sont générées par une IA, avec des incohérences flagrantes, notamment des codes postaux ne correspondant pas aux adresses, des noms et prénoms différents des adresses e-mails, et l'utilisation de TLD (Top-Level Domain) inhabituels.

Bien que la raison derrière cette fuite de données fictive demeure incertaine, plusieurs hypothèses ressortent. Le “pirate” pourrait avoir cherché à escroquer d'autres membres du forum en vendant de fausses données, ou à discréditer EuropCar. Cette dernière soulève des inquiétudes quant à la possibilité que de telles pratiques soient reproduites à l'avenir. Quoi qu’il en soit pour EuropCar et son image, le mal est fait.

🦋 Bluesky ouvre ses portes à tous

Un an après son lancement en version bêta privée, Bluesky, l'alternative décentralisée à X (ex-Twitter) sort de l’ombre. Le réseau social est dirigé par Jay Graber, une ingénieure ayant longtemps travaillé dans les équipes de Jack Dorsey (co-fondateur de Twitter). Avec plus de 4 millions d'inscriptions, la plateforme abandonne son système d'invitation privée, et accueille désormais tous les utilisateurs. Une journée après l’ouverture générale, elle avait obtenu l’inscription de 1 million d’utilisateurs supplémentaires.

De plus, le réseau prévoit prochainement d'autoriser les développeurs externes à héberger des serveurs sur son protocole AT, dans le but de rivaliser avec ActivityPub, une autre technologie permettant aux réseaux sociaux d’être rendus interopérables, déjà largement adoptée (Flipboard, Medium, Mozilla, et même Threads de Meta).

Les difficultés auxquelles X (ex. Twitter) fait face depuis son acquisition par Elon Musk ont contribué à la montée en puissance de Bluesky et d’autres réseaux sociaux tels que Mastodon ou Threads de Meta. De nombreux utilisateurs, lassés des campagnes de harcèlement et des discours toxiques ont cherché ces derniers mois des alternatives. Bluesky s'est rapidement imposé comme l’une d’entre elles.

Cependant, Bluesky est encore loin des 130 millions d'utilisateurs gagnés par Threads en seulement 6 mois. La route est encore longue et Bluesky joue avec des armes biens moins puissantes que celle de Meta qui peut s’appuyer sur son autre réseau social, Instagram, pour acquérir de nouveaux utilisateurs.

🕸 PixieFail (UEFI) : Quand un simple démarrage réseau permet de prendre le contrôle de milliards de systèmes

Une récente annonce réalisée par Quarsklab, une entreprise française spécialisée dans la cybersécurité a mis en lumière PixieFAIL, un ensemble de 9 vulnérabilités présentes dans EDK II, une implémentation de l’UEFI.

Des attaquants qui exploiteraient ces vulnérabililtés depuis le réseau local sont en mesure d’utiliser la phase de démarrage réseau pour briser la chaîne de confiance et prendre le contrôle total de tout système concerné.

Donc “UEFI”, tu dis ? L'UEFI (Unified Extensible Firmware Interface) est un firmware intégré à la carte système ou à la carte mère de l'ordinateur qui gère une multitude (voire trop ?) de fonctionnalités. Parmi celles-ci, le PXE (Pre-boot eXecution Environment) une fonction qui permet aux ordinateurs d’exécuter du code au démarrage.

A quoi ça sert ? Sans automatisation, installer et configurer les systèmes d'exploitation de dizaines de milliers de serveurs serait extrêmement onéreux. Imaginez qu’un technicien doive, chez Amazon, Google, OVH, ou une grande entreprise, brancher la même clé USB dans tous les serveurs d’un centre de données, pour y installer Windows ou Linux. Pas très efficace.

Pour y répondre, le démarrage réseau est devenu une fonction standard des ordinateurs et des serveurs d'entreprise. Grâce à cette fonctionnalité PXE, encore appelée Pixie Boot (d’où le nom de la vulnérabilié “PixieFail”), le système d’exploitation fourni par un serveur peut être déployé sur une grande quantité de machines.

Pourquoi c’est grave ? La présence de vulnérabilités dans un élément aussi critique de la “chaîne d'approvisionnement” des ordinateurs est particulièrement dangereux. Et ce pour 2 raisons : elles portent atteinte à la racine du système, sur lequel tout repose, et elles affectent des milliards d'appareils dans le monde. Cela démontre qu’on est encore, collectivement, loin de disposer d’une infrastructure informatique réellement moderne et sécurisée.

Pour l’heure, bien que personne ne connaisse la pleine étendue de ces vulnérabilités, certains fournisseurs ont dores et déjà publié des correctifs. La tâche et complexe, car il n’existe pas de liste exhaustive des fournisseurs concernés. On compte toutefois des noms connus tels que Dell, Intel, Microsoft. Dès sa découverte, Quarkslab s’est rapproché du réseau des CERT pour qu’ils prennent le relais pour signaler cette vulnérabilité aux nombreux fournisseurs concernés. L’entreprise a dû patienter de longs mois avant de pouvoir publier cette annonce.

💪 Les outils “as-a-Service” continuent de dominer le paysage des menaces

Darktrace, un leader mondial de l'intelligence artificielle en matière de cybersécurité, a publié ce mardi son dernier rapport, identifiant les principales menaces et les méthodes d'attaque auxquelles les entreprises ont été confrontées au cours des six derniers mois. Ce rapport dresse une perspective unique sur le paysage des menaces en 2023.

À retenir :

• Parmi les observations de Darktrace, les outils de type Malware-as-a-Service (MaaS) et Ransomware-as-a-Service (RaaS) constituent la majorité des outils malveillants utilisés par les attaquants.

• Les logiciels malveillants de type “loader” ont été particulièrement prédominants en représentant 77 % de l'ensemble des menaces étudiées. Ils sont suivis par les Cryptomineurs, les Botnets, les malwares voleurs d'informations et les botnets proxy.

• Entre le 1er septembre et le 31 décembre 2023, Darktrace a détecté 10,4 millions d'e-mails de phishing à travers l'ensemble de ses clients.

  • Au moins 639 000 QR codes malveillants intégrés à ces e-mails ont été détectés. Le Quishing (Phishing par QRcode) représente une menace en pleine expansion.

  • 58 % de ces e-mails malveillants ont réussi à contourner toutes les couches de sécurité existantes.

🏥 Cyberattaque - Viamedis et Almerys, opérateurs français de tiers-payant, ont subi, à 5 jours d’intervalle, des cyberattaques similaires, exposant les données de 33 millions d'assurés et de professionnels de santé français. Dans le respect du RGPD, les personnes concernées sont progressivement contactées par les opérateurs. Un appel à la vigilance est lancé : avec la connaisance du nom, prénom et du numéro de sécurité sociale, le risque de phishing est démultiplié.

👀 Espionnage - Le 5 février, les États-Unis ont annoncé imposer désormais des restrictions de visa aux personnes liées à l’utilisation illégale de logiciels espions pour surveiller la société civile. Cette mesure vise à promouvoir la responsabilité des individus et entreprises impliqués. Elle survient seulement quelques jours après la révélation de l'espionnage de 35 personnes en Jordanie par le logiciel Pegasus de NSO Group.

🥷 Intrusion - Dans une déclaration publiée le 2 février, AnyDesk, un éditeur de logiciels d’accès à un bureau à distance, a reconnu une intrusion dans ses systèmes. En réponse, l’éditeur à révoqué tous les certificats et a remis en état ou remplacé ses systèmes de sécurité. Malgré ces mesures de remédiation et une situation jugée “sous contrôle” par AnyDesk, des identifiants clients AnyDesk seraient actuellement en vente sur le dark web. Des captures d'écran circulent même sur les forums montrant des accès non autorisés réussis même après la mise en oeuvre des correctifs d’Anydesk.

📝 IA, réglementation - Vendredi 2 février, après 2 ans de négociation, l’Europe vient de donner son feu vert à l’IA Act, l’un des règlements européens les plus attendus de l'année visant à réguler l’IA en Europe. Une première mondiale. La loi s’articulera, entre autres, sur 2 grands axes : la protection des sources d’apprentissage, un sujet encore largement négligé outre-Atlantique, et la transparence des développeurs sur le fonctionnement de leurs algorithmes.

⚠️ Avertissement - Dans un rapport aux investisseurs, l'agence de notation Moody's, a alerté sur un risque accru de cyberattaques visant les systèmes d'approvisionnement en eau du Royaume-Uni. Une tendance qui pourrait s’accélérer avec l’utilisation de l’IA. De plus, Mood'y’s considère que “le plus grand risque pour le secteur, et la société, est que les acteurs malveillants sont en mesure d’accéder à des systèmes technologiques opérationnels pour altérer l’eau potable ou les installations de traitement des eaux usées.”

🤪 Insolite - La véritable identité du fondateur de Bitcoin, "Satoshi Nakamoto", pourrait être révélée par un tribunal britannique, qui examine actuellement les revendications de Craig Wright. Ce dernier, informaticien australien résidant à Londres, affirme depuis 2016 être Nakamoto. Néanmoins, cette affirmation est largement rejetée par le monde de la cryptomonnaie. Affaire à suivre.

📢 Événement - Le 6 février, le Royaume-Uni et la France ont organisé une conférence à Londres avec 35 pays et des leaders d'entreprises technologiques, tels qu’Apple, Google et Microsoft, pour lutter contre le marché des "hackers à louer" et des outils de cyberattaque. La conférence à donné lieu à la signature d’une déclaration commune reconnaissant la nécessité d'une action accrue pour lutter contre l'utilisation malveillante des outils de cyber espionnage.

🚨 Vulnérabilité - Une vulnérabilité SSRF d'Ivanti, CVE-2024-21893, subit une exploitation massive. Détectée le 31 janvier 2024, elle permet d'accéder sans authentification à des ressources restreintes sur les versions 9.x et 22.x. Shadowserver a identifié 170 IP exploitant cette faille. La divulgation d'un exploit par Rapid7 le 2 février a intensifié les attaques. Selon Shadowserver, près de 22 500 dispositifs Ivanti sur Internet seraient exposés. La CISA recommande la déconnexion des appareils Ivanti non sécurisés.

Ivanti avait fait l’actu en août 2023 : le gouvernement de Norvège a annoncé avoir découvert une cyberattaque, exploitant des logiciels d’Ivanti. Une situation similaire a été révélée en novembre 2023, où le Sektor CERT, qui surveille les infrastructures critiques du Danemark, a annoncé avoir détecté des attaques, attribuées à la Russie… et aussi via des logiciels d’Ivanti.

🎞 Des films gratuit … en ASCII

Si vous n’êtes pas trop regardant sur la qualité vidéo et un peu geek dans l’âme, le collectif new-yorkais MSCHF a créé le “ASCII Theater”, une solution qui propose de voir (et revoir) sur votre terminal (oui vous avez bien entendu 😅), une sélection de films, diffusée dans un style … particulier.

En effet, le dispositif permet de convertir les films au format ASCII, soit une norme informatique d’encodage de caractères, utilisée dans ce contexte pour recréer les plans des films à l’aide de caractères et symboles.

Comme toujours, merci de nous avoir lu. Si tu souhaites nous soutenir, partage le Shake autour de toi 👐

Passe une bonne soirée et à la semaine prochaine ! ✌️