Chiffrer ou déchiffrer : le dilemme Européen

Salut 👋, j’espère que tu as passé une bonne semaine. C’est l’heure de se plonger dans l’actu cyber, digitale, et AIAI, ça remue !

Au programme :

• À la une : 🔓 Chiffrer ou déchiffrer : le dilemme Européen,

• ☕️ Une campagne de phishing sophistiquée exploite une faille chez Nespresso,

• 🏛 Attaque de rançongiciel contre UnitedHealth : le PDG témoignera au Congrès le 1er mai,

• 🧠 GPT-4 serait capable d’exploiter des vulnérabilités zero-day,

• 🎯 MITRE : nouvelle victime et non des moindres, des vulnérabilités Ivanti,

• En Image : 👐 Qu’est-ce qu’une IA responsable et de
  confiance ?

• Interview : 🎙 La cyber en Hauts-de-France | Florence Puybareau, Directrice des opérations du Campus Cyber Hauts-de-France,

• Rapport : 🇫🇷 La CNIL publie son rapport annuel 2023.

🔓 Chiffrer ou déchiffrer : le dilemme Européen

Face à la montée de la cybercriminalité, les forces de police européennes exigent de nouvelles mesures pour accéder aux communications chiffrées, une demande qui soulève de sérieuses préoccupations en matière de confidentialité.

Dans une déclaration commune publiée le 21 avril, 32 directeurs des forces de police européennes, dont la France, réclament un accès aux communications privées chiffrées pour combattre plus efficacement la criminalité, dont notamment la pédopornographie, le terrorisme, la traite des êtres humains et le trafic de drogue, etc. Cette demande vient relancer le débat sur l'équilibre entre sécurité publique et vie privée des citoyens.

Qu’est-ce que le chiffrement de bout en bout et pourquoi est-il sous pression ?

La technologie de chiffrement de bout en bout, qui sécurise les messages de services comme WhatsApp, Signal, et iMessage, garantit que seuls l'émetteur et le destinataire d'un message peuvent le lire. Concrètement, cela signifie que les données sont chiffrées (codées) par l'émetteur avant d'être envoyées, puis déchiffrées (décodées) par le destinataire uniquement. Ainsi, même si les données sont interceptées en cours de route, elles restent illisibles pour toute personne autre que le destinataire autorisé.

Cette méthode de sécurisation des communications est dans le collimateur des polices européennes pour deux raisons. Premièrement, car elle impacte la réactivité des entreprises technologiques à fournir les données des criminels présumés utilisant leurs services aux enquêteurs des forces de l'ordre. Deuxièmement, car elle impacte la capacité des entreprises technologiques à identifier de manière proactive les activités illégales et nocives sur leurs plateformes et à les signaler aux autorités.

À titre d’exemple, l’agence britannique de lutte contre le crime organisé (NCA) estime que le chiffrement de bout en bout ferait passer sous les radars 92% des signalements de ce type provenant de Facebook, et 85% d’entre eux provenant d’Instagram.

La police milite pour, les experts en cybersécurité mettent en garde

Les polices européennes affirment que des “solutions techniques” pourraient permettre de concilier sécurité des données et lutte contre le crime, sans toutefois préciser ces méthodes. Elles rejettent l'idée d'un choix exclusif entre vie privée et sécurité publique, et appelle à une approche plus nuancée.

L'introduction de portes dérobées ou de systèmes de surveillance directe des appareils soulève d'importantes inquiétudes. Les experts en cybersécurité mettent en garde contre les risques inhérents à ces solutions, comme la vulnérabilité accrue aux attaques externes, qui pourrait compromettre la sécurité de tous les utilisateurs. De nombreux défenseurs de la vie privée et de experts technologiques plaident pour la prudence, soulignant le risque de dérives et d'abus.

👐 Qu’est-ce qu’une IA responsable et de
confiance ?

Alors que les défis et les avantages de l'Intelligence Artificielle émergent et que des réglementations et des lois sont adoptées, les principes et les piliers d'une utilisation responsable et digne de confiance de l'IA évoluent. Passons les en revue.

☕️ Une campagne de phishing sophistiquée exploite une faille chez Nespresso

Des analystes en sécurité de Perception Point ont mis en lumière une campagne de phishing exploitant une vulnérabilité de redirection ouverte sur le domaine de Nespresso. Les attaquants détournent cette faille pour camoufler des liens malveillants sous l'apparence d'une demande de vérification de connexion Microsoft.

Le piège commence par un e-mail incitant les destinataires à vérifier leurs activités de connexion récentes sur Microsoft. En cliquant sur le lien contenu dans l’e-mail, les utilisateurs sont d’abord dirigés vers une URL légitime, mais compromise, contrôlée par Nespresso. Conscient des lacunes de certains fournisseurs de sécurité qui ne détectent que le premier lien, les attaquants hébergent la redirection sur le domaine de Nespresso pour échapper à la détection. Ce défaut de sécurité permet ensuite aux attaquants de rediriger les utilisateurs vers un faux site de connexion Microsoft visant voler leurs identifiants.

Perception Point a détecté cette menace grâce à une technologie avancée capable d'analyser et de révéler les éléments cachés dans les e-mails. Pour des conseils sur la protection contre de telles attaques, les utilisateurs peuvent consulter le guide de prévention de cybermalveillance.gouv.fr.

🎯 MITRE : nouvelle victime et non des moindres, des vulnérabilités Ivanti

Aucune entreprise n'est à l'abri des cyberattaques, pas même les leaders de la sécurité. Après l’agence de cybersécurité américaine (CISA) le mois dernier, c’est au tour de MITRE, un autre poids lourd de la cybersécurité, d’être victime des vulnérabilités affectant les solutions d’Ivanti.

MITRE, gardien renommé des cadres de travail (framework) “ATT&CK” et “D3FEND”, justement spécialisés en cybersécurité opérationnelle offensive et défensive, a subi en janvier dernier, une cyberattaque de pirates. Ils sont identifiés comme acteurs d'une menace étatique étrangère. Les attaquants ont exploité les 2 vulnérabilités de l’un des réseaux VPN Ivanti Connect Secure de l’entreprise.

L'attaque n'a été détectée qu'en avril, soit 3 mois plus tard, et a ciblé spécifiquement l'environnement NERVE de MITRE, un réseau collaboratif utilisé pour la recherche et le développement. L'ampleur exacte des dégâts est encore en évaluation.

MITRE a partagé les détails de l’incident dans un billet de blog publié le 16 avril. Elle indique avoir suivi les meilleures pratiques et les conseils du gouvernement pour sécuriser ses systèmes Ivanti, mais reconnaît que ces mesures ont été insuffisantes pour détecter et arrêter la progression des attaquants à travers leur infrastructure. Décidément, personne n’est à l’abri.

🏛 Attaque de rançongiciel contre UnitedHealth : le PDG témoignera au Congrès le 1er mai

Le PDG de UnitedHealth, Andrew Witty, est convoqué devant le Congrès des États-Unis le 1er mai après une attaque de rançongiciel qui a bouleversé l'industrie de la santé.

Le 21 février, une attaque de rançongiciel a ciblé Change Healthcare, une filiale de UnitedHealth, perturbant gravement l'industrie de la santé aux États-Unis. Cette plateforme essentielle gère près de la moitié des demandes de remboursement médicaux du pays et son réseau affecte environ un américain sur trois.

Lors d'une conférence sur les résultats financiers la semaine dernière, UnitedHealth a rapporté que l'attaque avait jusqu'à présent entraîné 872 millions de dollars de pertes. “Sur ces 870 millions, environ 595 millions représentent les coûts directs liés à la restauration de la plateforme de compensation et aux autres efforts de réponse”, a indiqué John Rex, président et directeur financier du groupe. Les systèmes de Change Healthcare, bien que majoritairement rétablis, laissent encore beaucoup de professionnels et d'établissements de santé en difficulté.

Après avoir refusé de rendre disponible un représentant pour une audience précédente, la direction de UnitedHealth Group, y compris le PDG Andrew Witty, a finalement accepter de témoigner le 1er mai devant le Sous-Comité de la surveillance et des investigations. Cette audience très attendue va permettre au Congrès et au public américain d’éclaircir les circonstances de l'attaque et les mesures prises par UnitedHealth pour y répondre.

🧠 GPT-4 serait capable d’exploiter des vulnérabilités zero-day

Selon une étude récente de l'Université d'Illinois à Urbana-Champaign, le modèle GPT-4 d'OpenAI peut exploiter de manière autonome, sans aucune aide humaine, des vulnérabilités zero-day. Ce phénomène soulève des questions importantes sur l'utilisation sécurisée des modèles de langage à grande échelle (LLM).

Dans cette étude, les chercheurs ont testé GPT-4 sur 15 vulnérabilités réelles de différents niveaux de gravité, allant de critique à moyen. Doté d'outils spécifiques, d'une description de la vulnérabilité et du cadre ReAct (qui permet au modèle non seulement de “raisonner” mais aussi d’agir sur l’environnement réel) GPT-4 a réussi à exploiter 87 % des vulnérabilités testées. En comparaison, d'autres modèles tels que le GPT-3.5 d'OpenAI et le Llama de Meta ont tous échoué, affichant un taux de succès de 0 %.

Cette capacité de GPT-4 met en lumière les dérives potentiellement dangereuses des LLM, si utilisés à des fins malveillantes. Les résultats de cette étude mettent en avant la nécessité pour les fournisseurs de cybersécurité et de LLM d'intégrer des mesures défensives actives pour mieux protéger les systèmes informatiques.

🎙 Entretien avec Florence Puybareau, Directrice des opérations du Campus Cyber Hauts-de-France

Le 26, 27 et 28 mars dernier, Shakerz était présent au Forum InCyber Europe à Lille pour donner la parole aux experts de la cybersécurité, de l’IA et du numérique. Pour mieux comprendre l’essentiel.

On continue cette série de portraits avec Florence Puybareau, Directrice des opérations du Campus Cyber Hauts-de-France qui nous parle de la cyber en Hauts-de-France.

🇫🇷 La CNIL publie son rapport annuel 2023

Ce mardi 23 avril, la CNIL a publié son rapport d’activité 2023. Une année marquée par un nombre record de plaintes reçues et une politique d’accompagnement repensée.

À retenir pour le volet cybersécurité :

👉 En 2023, la CNIL a reçu 4 668 notifications de violation de données contre 4 088 en 2022 (soit + de 14% d’augmentation). Le nombre de notifications reçues par la CNIL est en augmentation depuis 5 ans.

👉 Plus de la moitié des violations de données notifiées à la CNIL sont liées à des rançongiciels ou à du phishing. Une autre grande partie de ces violations est liée à des erreurs humaines et à des situations accidentelles.

👉 Au printemps 2023, la CNIL a décidé de créer une mission de sensibilisation du grand public, en rencontrant plus de 2 500 personnes lors de conférences ou ateliers dans 6 régions.

👉 Pour palier à son déficit de présence sur le terrain, la CNIL a multiplié en 2023, les partenariats avec des acteurs locaux, pour relayer efficacement ses messages et agir pour la diffusion d’une culture de la protection des données personnelles et de la cybersécurité. Le partenariat signé en novembre 2023 entre la CNIL et CCI France, tête de réseau des chambres de commerce et d’industrie en France, pour accompagner de manière adaptée les TPE/PME, en est un exemple.

🎵 Donald Trump reçoit les conseils de Poutine dans son procès pour blanchiment d'argent | It Wasn't Me

Le procès de Donald Trump a véritablement commencé ce lundi 22 avril. Il est notamment accusé d’avoir “orchestré un complot criminel pour truquer l’élection présidentielle de 2016”

Comme toujours, merci de nous avoir lu. Si tu souhaites nous soutenir, partage le shake autour de toi 👐

Passe un bon week-end et à la semaine prochaine !