🤝 Comment des Frenchies et le FBI ont éradiqué le malware PlugX

Au programme :

La Suggestion du Barman : 🤝 Comment des Frenchies et le FBI ont éradiqué le malware PlugX.
Pétillant : 📑 Forum Economique Mondial (“Davos”) : la résilience cyber n’est plus une option.
Vos shots :
🇫🇷 La CNIL publie son plan stratégique cybersécurité 2025-2028. ✨
👮 Retour sur l'arrestation d'un suspect de 17 ans dans l'affaire du hack de Free. ✨
🇰🇵 Le groupe nord-coréen Lazarus cible les développeurs Web3. ✨
Digestif : 💥 “Zero-day” : Robert De Niro face à une cyberattaque dévastatrice ciblant les États-Unis - bientôt sur Netflix. ✨

✨Réservé aux membres Premium. L’essai est gratuit !

〜 LA SUGGESTION DU BARMAN 〜

🤝 Comment la France et les États-unis ont éradiqué le malware PlugX

Cette vaste opération internationale vient de se clôturer. Le département de la Justice des États-Unis et le FBI, en collaboration avec les forces de l’ordre françaises et des experts en cybersécurité, ont réussi à démanteler un vaste réseau d’infections par logiciels cyber-espions. Et la France est à l’honneur.

L’opération, qui s’est déroulée sur plusieurs mois et s’est terminée plus tôt ce mois-ci, s’est concentrée sur la neutralisation du logiciel malveillant PlugX. Le FBI avoir désinfecté plus de 4 200 appareils basés aux États-Unis identifiés comme compromis. Des millions d’autres ordinateurs dans le monde seraient concernés.

PlugX, c’est quoi ?

Selon le FBI et les analystes du secteur privé, PlugX, un cheval de Troie d’accès à distance (RAT), est un outil récurrent des opérations cyber sponsorisées par l’État chinois depuis au moins 2014. Selon Trend Micro, les premières versions opérationnelles de cet outil d’espionnage auraient été observées dès 2008.

Conçu pour éviter la détection, ce malware qui se transmet par clé USB utilise une technique dite de chargement latéral (side-loading) de DLL pour injecter des charges malveillantes. Une fois dans la machine, le malware reçoit des ordres d’un serveur central afin d’exécuter des commandes à distance et de s’emparer de données présentes sur le système. Ce sont ces commandes qui ont été détournées par Sekoia et les autorités pour éradiquer le malware lui-même des machines concernées.

Cet outil puissant est utilisé par Mustang Panda (ou “Twill Typhoon”), un groupe de pirates sponsorisé par la Chine, pour infiltrer, contrôler et extraire des informations des ordinateurs infectés. Le groupe a exploité cet outil pour lancer des opérations d’espionnage à grande échelle contre des cibles américaines et alliées.

Malgré des avertissements et des rapports précédents sur la cybersécurité, de nombreuses victimes ignoraient la présence du logiciel malveillant sur leurs systèmes. Cette persistance discrète a fait de PlugX une menace durable et sans réelle action coordonnée de lutte jusqu’à la récente opération autorisée par les autorités des pays concernés.

Une collaboration au-delà des frontières

Cette opération internationale a été conduite sous la direction des forces de l'ordre françaises et de Sekoia, une entreprise de cybersécurité basée en France. Dès septembre 2023, leurs experts avaient identifié une technique pour supprimer PlugX des ordinateurs infectés. En juillet 2024, une opération internationale a été lancée par les autorités françaises, sous coordination d’Europol.

De son côté, le FBI a testé ces commandes, confirmé leur efficacité et s'est assuré qu'elles n'affectaient ni les fonctions légitimes des ordinateurs ni les données des utilisateurs. En août 2024, le ministère de la Justice et le FBI ont obtenu le premier des neuf mandats autorisant la suppression de PlugX des ordinateurs situés aux États-Unis. Le dernier mandat a expiré le 3 janvier 2025, marquant la fin des opérations américaines. Cette initiative judiciaire a permis de supprimer le malware PlugX de 4 258 appareils sur le territoire américain.

Cet effort commun marque une étape importante dans la lutte contre le cyberespionnage. “Cette collaboration avec le FBI et Europol montre l'indispensable cooperation internationale et surtout l’intérêt d’une collaboration public/privé efficace pour avoir un impact et des résultats” a déclaré à notre rédaction François Deruty, Directeur de l’équipe de détection et de réponse aux menaces (TDR) de Sekoia.

〜 PÉTILLANT 〜

📑 WEF : la résilience cyber n’est plus une option

La résilience cyber n’est plus une option, c’est une nécessité pour survivre dans l’économie numérique actuelle. Malgré les efforts, le rapport Global Cybersecurity Outlook 2025 du Forum Économique Mondial (FEM) met en lumière des écarts croissants en matière de préparation. Des causes ? Les disparités de ressources, les défis réglementaires et l’adoption rapide de l’IA générative.

👉 Pourquoi c'est important :

Le fossé entre les organisations cyber-résilientes et les plus vulnérables se creuse, menaçant la stabilité des écosystèmes numériques mondiaux. Les petites et moyennes entreprises (PME), qui représentent la majorité des entreprises dans le monde, restent particulièrement exposées aux perturbations.

👉 Chiffres clés : 409 dirigeants et experts de l’écosystème cyber issus de 57 pays ont été interrogés par le WEF et Accenture. On a aussi relu le rapport de 2023. Voici ce que l’on a retenu pour toi :

Voici les sources d’inquiétude :

• Le nombre d’organisations qui maintiennent un niveau minimal de résilience cyber est en baisse de 30 % depuis 2022.

• 54 % des organisations n’ont toujours pas de visibilité sur les vulnérabilités des chaînes d’approvisionnement tierces (les fournisseurs et les fournisseurs des fournisseurs)

• Les PME sont trois fois moins susceptibles que les grandes organisations d’avoir une assurance cyber.

Et des motifs de satisfaction :

• 69 % des dirigeants estiment que les réglementations cyber réduisent les risques, contre 60 % en 2024. Les dirigeants semblent donc mieux connaître ces réglementations.

• 37 % des organisations ont adopté des cadres de sécurité pour l’IA, contre 24 % l’année précédente.

〜 VOS SHOTS 〜

🇫🇷 La CNIL vient de publier son plan stratégique cybersécurité 2025-2028

La CNIL, le régulateur français de la protection des données, a dévoilé son plan stratégique 2025-2028. Quatre priorités sont au programme : l’intelligence artificielle, la protection des mineurs en ligne, la cybersécurité et l’identité numérique. 

Objectif : concilier innovation technologique et respect des droits fondamentaux dans une société de plus en plus numérique.

Pourquoi c’est important :

🤖 Encadrement de l’IA : Les outils d’IA générative, comme les deepfakes, posent des défis éthiques, de confidentialité et de cybersécurité. La CNIL veut clarifier les cadres légaux et renforcer ses capacités d’audit.

🧒🏻 Protection des mineurs : Alors que les enfants évoluent dans des environnements numériques omniprésents, la CNIL se mobilise contre le cyberharcèlement et les atteintes à leur vie privée en impliquant parents, éducateurs et acteurs éducatifs.

🛡 Cybersécurité renforcée : Face à la hausse des cyberattaques et des vols de données sensibles, la CNIL accentue la sensibilisation du public et exige des mesures strictes de protection de la part des organisations.

📱 Usages numériques au quotidien : La CNIL s’assurera que les applications mobiles et les systèmes d’identité numérique respectent les réglementations et protègent les droits des utilisateurs.

Le plan de la CNIL reflète l’ambition européenne de fixer les normes mondiales en matière de gouvernance numérique. Entreprises et administrations opérant en France doivent se préparer à des réglementations plus strictes et à des exigences de conformité renforcées.

👮 Un adolescent arrêté pour la cyberattaque massive chez Free

Les autorités françaises ont mis en examen ce mercredi 15 janvier un adolescent de 17 ans lié à la cyberattaque en automne dernier contre l’opérateur télécom Free. Cette attaque a exposé les données personnelles de 19,2 millions de clients, dont 5 millions d’IBAN.

Déjà connu pour d’autres cybercrimes, le suspect aurait reconnu avoir perçu la moitié de la somme de 20 000 € obtenue lors de la vente du fichier de données. L’adolescent est également mis en cause pour une tentative d’extorsion de 10 millions d’euros en cryptomonnaies à Xavier Niel, en échange de la restitution du fichier. Une rançon refusée par le PDG de Free.

Pourquoi c'est important :

• Le suspect faisait partie d’un groupe de cybercriminels français, proposant l’accès à des systèmes compromis… pour quelques dizaines d’euros seulement.

• Telegram a été contraint par la justice de révéler l’identité du pirate, un précédent qui pourrait faire office de jurisprudence et influencer les enquêtes numériques futures.

• Cette arrestation pourrait pousser les cybercriminels à migrer vers des plateformes plus sécurisées et anonymes.
  

🇰🇵 Le groupe nord-coréen Lazarus cible les développeurs Web3

Dans un rapport publié le mercredi 15 janvier, les experts de l'équipe STRIKE de SecurityScorecard ont révélé avoir découvert que le groupe nord-coréen Lazarus intensifie ses cyberattaques en s’en prenant désormais aux développeurs Web3 et de cryptomonnaies via une campagne sophistiquée baptisée « Opération 99 ».

Comment ça fonctionne : les attaquants se font passer pour des faux recruteurs sur LinkedIn et piègent les victimes pour qu’elles clonent des dépôts Git malveillants. Le malware s’adapte dynamiquement à l’environnement de la victime et exfiltre des données stratégiques (codes sources, portefeuilles numériques, etc.) tout en maintenant sa furtivité.

Ce qui change : Contrairement aux attaques de phishing plus générales des campagnes précédentes, ou encore des faux développeurs à distance qui sont en fait des agents de renseignement, Lazarus cible désormais des développeurs, un maillon essentiel de la chaîne d’approvisionnement technologique.

Ce qu’il faut retenir : Cette campagne souligne les vulnérabilités de l’écosystème des développeurs et l’importance cruciale de sécuriser la chaîne d’approvisionnement Web3. Développeurs et organisations doivent renforcer leurs processus de vérification des dépôts de code, adopter des défenses robustes pour leurs terminaux et redoubler de vigilance face aux tactiques d’ingénierie sociale.

💥 “Zero-day” : Robert De Niro face à une cyberattaque dévastatrice ciblant les États-Unis - bientôt sur Netflix

"Zero Day" est une mini-série thriller de six épisodes qui sera disponible sur Netflix à partir du 20 février 2025.

Créée par Eric Newman et Noah Oppenheim, la série met en scène Robert De Niro dans le rôle de George Mullen, un ancien président des États-Unis rappelé pour enquêter sur une cyberattaque dévastatrice ayant causé des milliers de victimes et semé le chaos à travers le pays.