🥷 750 millions d’utilisateurs espionnés par une app chinoise

Salut 👋

C’est samedi, voici le Shake. Pour toi, voici ce qu’on a retenu du digital et de la cyber cette semaine. À la une : 🥷 Chine : 750 millions d’utilisateurs espionnés par une application de e-commerce.

Décode l’actu :

🏜 Western Digital victime d’une violation de données,

🌩 Comment un bug d’Azure, corrigé en avril, menaçait la sécurité de systèmes critiques,

🇷🇺 Cyberguerre : la fuite des “Vulkan Files” révèle les secrets du Kremlin,

🔗 3CX : Nouvelle attaque majeure de la chaîne d’approvisionnement,

🇩🇪 La police allemande cible l’hébergeur “FlyHosting” pour son rôle dans les attaques DDoS,

On t’explique tout ça plus bas.

Retrouve le mag :

🕸 Qu’est ce qu’une attaque de type “Supply Chain” ?

🧠 L’envers de l’IA générative par KPMG

🍋 Des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture !

Signé - Aurélien, Sylvan et toute la Shakerz core team

〰️ La reco du barman 〰️

🥷 Chine : une app de commerce électronique prise en flagrant délit d'espionnage

Pinduoduo est l’une des applications de shopping les plus populaires en Chine avec plus de 750 millions d’utilisateurs mensuels. En plus de vendre une grande variété de produits (vêtements, produits d’épicerie, etc.), l’application espionnerait également ses utilisateurs à un niveau jamais vu auparavant. C’est ce qu’affirment des analystes en cybersécurité qui ont découvert que l’application pouvait contourner la sécurité des téléphones portables sur lesquels elle était installée. L’app surveille les activités des utilisateurs sur d’autres applications, vérifie les notifications, lis les messages privés et modifie les paramètres. De plus, une fois installée, il est difficile de la supprimer.

Des experts ont découvert la présence de logiciels malveillants sur l’application Pinduoduo qui exploitaient des vulnérabilités dans les systèmes d’exploitation Android. Selon des témoignages recueillis au sein de l’entreprise, ces vulnérabilités étaient utilisées pour espionner les utilisateurs et les concurrents dans le but d’augmenter les ventes.

Hormis le fait que cette application grand public espionne ses utilisateurs sans pareil, Il n’y a pour l’heure, aucune preuve que Pinduoduo communique ses données au gouvernement chinois. Cependant, étant donné l’influence considérable de Pékin sur les entreprises sous sa juridiction, des législateurs américains ont exprimé des préoccupations quant à la possibilité que toute entreprise opérant en Chine puisse être forcée de coopérer.

Des révélations qui viennent jeter de l’huile sur le feu 🔥

Les révélations sur les logiciels malveillants dans l’application Pinduoduo interviennent dans un contexte de surveillance intense des applications développées en Chine. En raison de préoccupations concernant la sécurité de ses données, l’application TikTok est depuis plusieurs mois dans le viseur des législateurs américains qui poussent pour une interdiction nationale de l’application. Le PDG Shou Chew a d’ailleurs été interrogé par le Congrès pendant cinq heures la semaine dernière au sujet de ses relations avec le gouvernement chinois. Dans le même temps en Europe et dans plusieurs pays comme la France, l’Australie et la Nouvelle-Zélande, l’application TikTok est interdite sur les appareils professionnels des fonctionnaires.

Ces révélations sont également susceptibles d’attirer davantage l’attention sur le pendant occidental de Pinduoduo, Temu, qui est en tête des téléchargements aux États-Unis et qui se développe rapidement dans d’autres marchés occidentaux. Les deux sont détenus par la maison mère PDD Holdings, une entreprise multinationale ayant des racines en Chine. Bien que Temu n’ait pas été impliqué, les méfaits présumées de Pinduoduo risquent de jeter une ombre sur la croissance mondiale de son application sœur.

🕸 Qu’est ce qu’une attaque de type “Supply Chain” ?

Quand une app anodine comme Pinduoduo vous espionne, l’app avance masquée, mais c’est bien les concepteurs de l’app qui en sont responsables. Il y a encore plus subtile : quand le responsable de l’application, lui-même n’est même pas au courant qu’il vous espionne.

Les attaques de type “Supply Chain” ou chaîne d'approvisionnement visent les fournisseurs et les développeurs de logiciels. Leur but est de pénétrer dans les codes sources, les processus de génération ou les mécanismes de mise à jour en contaminant des applications légitimes afin de propager des logiciels malveillants.

Voici trois exemples :

• L’attaque du retailer américain Target (en 2013 déjà, via un mainteneur des systèmes d’air conditionné),

• SolarStorm (en 2020) où les services secrets Russes (APT29) ont injecté une backdoor dans l’outil de supervision informatique Orion de SolarWinds… en compromettant près de 18 000 entreprises et organisations, dont le gouvernement fédéral des USA,

• Quelques mois plus tard, Microsoft Exchange, serveur de messagerie email, utilisé par de nombreuses entreprises, était attaqué par Hafnium, un groupe lié au gouvernement chinois. 30 000 serveurs parmi les 250 000 recensés auraient été compromis.

Mais il existe tant d’autres exemples…

〰️ Vos shots 〰️

🏜 Western Digital victime d’une violation de données

Ce lundi 3 avril, Western Digital a confirmé avoir subi un “incident de sécurité réseau” le 26 mars dernier, qui a permis à un tiers non autorisé d'accéder à “un certain nombre de systèmes de l'entreprise”. L'entreprise n'a pas confirmé la nature de l'incident ni la manière dont les systèmes ont été compromis, mais sa déclaration suggère que l'incident pourrait être lié à un ransomware et que certaines données, de nature encore inconnue, auraient été volées. La société a déclaré qu'elle enquêtait toujours sur l'incident avec une société de cybersécurité dont l’identité n'a pas été révélée et qu'elle coordonnait ses activités avec les autorités. Western Digital a également précisé que l'incident “a causé et pourrait continuer à causer des perturbations” dans ses opérations commerciales. La société n'a pas fourni d'autres informations sur l'incident. Selon Guru3D, le service de stockage “My Cloud” de Western Digital a été affecté par cette violation empêchant les utilisateurs d'accéder à leurs fichiers en ligne. A la manière des Supply Chain attacks logicielles, quand on prend le contrôle du fournisseur qui gère vos disques durs et sauvegardes dans le cloud, il se passe quoi ?

🌩 Comment un bug d’Azure corrigé en avril, menaçait la sécurité de systèmes critiques

Des chercheurs en sécurité ont découvert une faille de type XSS (cross-site scripting) dans Azure Service Fabric Explorer (SFX), un outil open source pour gérer les clusters Azure Service Fabric. Un cluster Azure Service Fabric est un ensemble de machines virtuelles ou physiques connectées en réseau, sur lesquelles sont déployés et gérés des microservices. Cette faille, nommée “Super FabriXss”, qui est une variante plus dangereuse de la faille “FabriXss” corrigée en octobre 2022, permettait à des pirates non authentifiés, d’exécuter du code à distance sur les conteneurs hébergés sur Azure. La faille est due à une mauvaise configuration de l’onglet “Événements” associé à chaque nœud du cluster, qui permet d’écraser un déploiement existant avec une URL spécialement conçue. La faille a été découverte par des chercheurs d’Orca Security, qui l’ont signalée à Microsoft en janvier 2023. Microsoft a corrigé la faille le 14 mars 2023 et lui a attribué le code CVE-2023-23383 avec un score CVSS de 8,2 sur 10. Les utilisateurs de SFX sont invités à mettre à jour leurs systèmes pour se protéger de cette vulnérabilité critique. Hmmm… quand on est en capacité d’atteindre votre opérateur cloud, est-ce aussi une Supply Chain attack ?

🇷🇺 Cyberguerre : la fuite des “Vulkan Files” révèle les secrets du Kremlin

Un lanceur d’alerte a divulgué des documents secrets qui exposent les plans et les techniques de la Russie pour mener une cyberguerre contre l’Ukraine et l’Occident. Ces documents, appelés “Vulkan Files” et publiés par le média allemand Der Spiegel le 30 mars 2023, proviennent d’une entreprise russe, Vulkan NTC, qui se cache derrière une façade de société de conseil informatique, mais qui travaille en réalité pour les services de renseignement et l’armée russes. Les “Vulkan Files” contiennent plus de 5000 pages d’informations (instructions, plans de projet, e-mails internes, codes sources, etc.) sur des cyberattaques contre des infrastructures critiques, des institutions et des entreprises occidentales, ainsi que sur des opérations de désinformation et de contrôle du web. Dans ces documents, on apprend notamment que d’anciens employés de Vulkan travaillent aujourd’hui dans des grands groupes implantés en Europe, tels que Amazon, Siemens et bien d’autres… Le lanceur d’alerte a dit avoir agi par colère contre l’invasion de l’Ukraine par la Russie et les atrocités commises sur place. Les documents ont été confirmés comme authentiques par cinq agences de renseignement occidentales. Si plusieurs analystes indiquent que les capacités techniques visibles dans les Vulkan Files sont finalement peu avancées, elles démontrent une nouvelle fois que désinformation et cyberattaques ne font qu’un dans la stratégie Russe.

🔗 3CX : nouvelle attaque majeure de la chaîne d’approvisionnement

Des chercheurs en sécurité de CrowdStrike ont récemment mis en garde contre une nouvelle attaque majeure de la chaîne d’approvisionnement similaire à celles de SolarWinds et Kaseya. Selon les chercheurs, une porte dérobée a été découverte dans l’application de bureau très répandue de 3CX, un éditeur de solutions VOIP, de systèmes de vidéoconférences et de livechat qui compte plus 12 millions d’utilisateurs quotidiens et plus de 600 000 clients, dont des géants tels qu’Air France, American Express, Coca-Cola, Toyota, BMW, McDonald’s et Honda. Les deux versions de l’application, Windows et Mac, son affectées. Pour mener leur attaque, les cybercriminels ont probablement eu accès à l'environnement de développement ou de construction de 3CX pour trojaniser un binaire “3CXDekstopApp.exe” signé avec des certificats 3CX. Un mode opératoire similaire à l’attaque de SolarWinds il y a 3 ans. Selon une enquête de Check Point, la version infectée est diffusée par téléchargement manuel ou par des mises à jour régulières du système officiel. Cette version commencerait à échanger, 7 jours après son installation, avec une infrastructure de commande et de contrôle, mise en place à l’automne 2022, sinon plus tôt encore. Le PDG de 3CX exhorte les utilisateurs à désinstaller l’application de bureau immédiatement et de passer à l’application web jusqu’à ce qu’une nouvelle version du bureau de 3CX soit disponible. Selon Kaspersky, cette attaque de la chaîne d’approvisionnement est attribuée au groupe de pirates nord-coréen Lazarus connu pour ses activités de cyberespionnage et de sabotage.

🇩🇪 La police allemande cible l’hébergeur “FlyHosting” pour son rôle dans les attaques DDoS

Selon une déclaration publiée le 1er avril par l’Office fédéral allemand de la police criminelle, une descente de police a eu lieu chez l’hébergeur “FlyHosting”, un service du dark web qui répondait aux cybercriminels exploitant des services de DDoS à la demande. Des serveurs exploités en Allemagne, Finlande et aux Pays-Bas ont été saisis, huit mandats de perquisition ont été délivrés et cinq personnes âgées de 16 à 24 ans sont soupçonnées d’avoir exploiter“un service Internet” depuis la mi-2021. Pour l’heure, les autorités allemandes n’ont pas révélé les noms des suspects ni le service en question. Selon les informations disponibles, les sites internet de plusieurs entreprises ainsi que ceux de la police de Hesse en Allemagne ont été surchargés à plusieurs reprises depuis la mi-2021 en raison d’attaques DDoS facilitées par les accusés. Cette action de la police allemande fait partie d’une répression internationale plus large des services de DDoS à la demande. La National Crime Agency du Royaume-Uni a annoncé la semaine dernière qu’elle mettait en place de faux sites internet de DDoS à la demande pour recueillir des informations sur les utilisateurs souhaitant louer ces services et ainsi leur rappeler que le lancement d’attaques DDoS est illégal.

〰️ Dégustation 〰️

🧠 L’envers de l’IA générative

L’IA générative devient de plus en plus populaire et accessible, ce qui soulève des questions éthiques importantes. Il est crucial de veiller à une utilisation responsable de cette technologie pour éviter les abus et les dérives. Dans ce rapport, KPMG explore les différents défis en matière de gestion des risques soulevés par l'IA générative auxquels devront faire face les organisations dans un futur désormais très proche.

Le principaux risques :

• La propriété intellectuelle figure en haut de la liste des principaux risques liés à l’utilisation de l’IA générative. L’IA utilise des réseaux neuronaux entraînés sur de grands ensembles de données. Cela inclut les données fournies par ses utilisateurs, qui sont conservées pour enrichir continuellement ses connaissances. Ces données pourraient être utilisées pour répondre à une demande de quelqu’un d’autre, exposant ainsi des informations privées ou exclusives. Les organisations devront trouver un moyen de protéger leur propriété intellectuelle tout en continuant à bénéficier des avantages de l’IA générative.

• L’utilisation abusive par les employés (et les étudiants). L’IA offre aux entreprises de grandes possibilités en matière d’efficacité et de productivité. Néanmoins, certain pourrait en abuser et s’approprier le travail de l’IA. Dans le même genre, des travailleurs indépendants pourrait facturer des prestations qu’ils n’ont en fait pas effectuées. Dans l’éducation, l’IA s’est déjà fait remarquée avec des cas d’étudiants ayant utilisé ChatGPT pour rédiger une dissertation.

• L’inexactitude des résultats. L’IA peut être un formidable outil d’assistance dans le travail d’un employé. Néanmoins, ceux qui utiliseront l’IA dans leur métier devront toujours faire preuve de scepticisme professionnel et vérifier que le résultat final est conforme aux attentes. Car l’erreur n’est plus seulement qu’humaine.

• Les risques externes. L’IA est un outil puissant qui peut être utilisé de manière responsable mais aussi être utilisé de manière abusive pour causer du tort. Les cybercriminels pourront utilisé cette technologie pour concevoir des campagnes d’hameçonnage et des identités encore plus sophistiquées et crédibles. L’IA pourra même être utilisée par exemple pour créer de fausses images et vidéos représentant un cadre d'entreprise dans une situation scandaleuse, faire du chantage ou déposer des plaintes frauduleuses.

〰️ Cul sec - La question 〰️

🚩 Comment prévenir une attaque de la chaîne d'approvisionnement ?

A. En ayant suffisamment de stocks pour éviter les ruptures

B. En tant qu’utilisateur, en n’installant que des logiciels sûrs et faisant du KYS

C. En gérant les stocks en juste à temps (JIT)

D. En tant que créateur de code, en maîtrisant le cycle de développement et d’intégration (CI/CD) jusqu’à la mise à disposition des “release”

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

🔐 Protection des données personnelles :

• Le 27 mars, la France est devenue le 22ème États signataire de la convention 108+ du conseil de l’Europe pour la protection des personnes à l’égard du traitement des données à caractère personnel.

• Le 03 avril, la CNIL a publié une nouvelle version de son guide de la sécurité des données personnelles. Télécharger le guide.

• L’Association internationale des professionnels de la protection de la vie privée (IAPP) a annoncé le lundi 03 avril les lauréats des prix de la protection de la vie privée pour 2023 lors du Global Privacy Summit 2023.

🚀 Free - Le groupe de Xavier Niel se lance dans la cybersécurité en acquérant 55 % du capital d'ITrust, un spécialiste de la détection et de la réponse aux menaces informatiques basé à Toulouse. Le trublion des telcos va-t-il chatoullier ou bouleverser le marché de la cyber des entreprises ?

🚨 Vulnérabilités :

• Une vulnérabilité critique présente dans le plugin Wordpress “Elementor Pro” est actuellement activement exploitée par des pirates. 12 millions de sites Wordpress sont potentiellement concernés. Toute version antérieure à la 3.11.6 d’Elementor Pro expose le site web. En savoir plus.

• Plusieurs vulnérabilités critiques de sévérité 9,8 ont été découvertes dans l’outil IBM Security Qradar. Voir le bulletin d’actualité du CERT-FR. C’est grave car Qradar est un logiciel qui opère de nombreux SOC (Security Operations Center). Comme si les narcotraficants pouvaient piloter les opérations de la police.

👮 Coup de filet - Ce mercredi 5 avril, Europol a annoncé avoir démantelé l’une des plus grandes plateformes de marché noir, Genesis. En quelques années, Genesis s’était imposé comme l’un des lieux privilégiés pour acheter et vendre des accès frauduleux. Cette opération qui a impliqué plus de dix-sept pays, dont la France, s’est traduit par 119 arrestations. 👏

🤪 Insolite - Le livre blanc du Bitcoin était dissimulé dans tous les MacOS depuis Mojave en 2018. Le document intitulé “simpledoc.pdf” a été découvert accidentellement par le blogger américain Andy Baio. L’oeuvre d’Apple ou d’un employé ?

〰️ Cul sec - Réponse 〰️

Réponses

Il y avait deux réponses pour vous distraire. Voici les justes :

B. En tant qu’utilisateur, en n’installant que des logiciels sûrs et en vérifiant les fournisseurs (Know Your Supplier, KYS)

et

D. En tant que créateur de code, en maîtrisant le cycle de développement et d’intégration (CI/CD) jusqu’à la mise à disposition des “release”

〰️ Digestif 〰️

😱 Combien de temps encore avant de ne plus pouvoir discerner le vrai du faux ?

Merci d’être passé ! Rendez-vous samedi prochain pour ton nouveau Shake de l’actu cyber et digitale ! 👋

L’équipe travaille dur. 👉 On a besoin de ton soutien pour diffuser à tous la culture de sécurité et responsabilité digitale.

Rejoins Shakerz, abonne-toi pour recevoir la newsletter hebdo. Tu aimes les Shake et tu veux en faire profiter tes potos ? Alors… 👇👇👇

Des questions ou un avis à partager ? C’est simple, il suffit de répondre à cet email et d’envoyer tes quelques lignes.

“Shake it, don’t fake it“