🇨🇳 Cyberespionnage : tous unis contre la Chine ?

Salut 👋, j’espère que tu as passé une bonne semaine. C’est l’heure de se plonger dans l’actu cyber et digitale, et ça remue ! Cette semaine était aussi intense au Forum InCyber de Lille, on partage bientôt avec vous de belles rencontres.

Au programme :

• À la une : 🇨🇳 Cyberespionnage : tous unis contre la Chine ?

• 🎭 Double Jeu : X entre lutte pour la transparence et profits sur la surveillance,

• 🌊 Vague de sanctions en vue : la Commission européenne menace les géants du numérique,

• 🇰🇵 3 milliards de dollars : c’est le butin empoché par les pirates nord-coréens en 6 ans,

• 🎯 Une attaque sophistiquée sur la chaîne d'approvisionnement cible les développeurs GitHub,

• Alerte - une supply chain attack de Linux vient d’être révélée

• En Image : 🌬 La CNIL donne un nouveau souffle à son guide de la sécurité des données personnelles,

• Rapport : 🌞 La cybersécurité : “une image globalement dynamique et positive”.

🇨🇳 Cyberespionnage : tous unis contre la Chine

Cette semaine, alors que 2024 s’annonce comme une année électorale particulièrement chargée à l’échelle internationale, les États-Unis, le Royaume-Uni et la Nouvelle-Zélande accusent la Chine. Le pays aurait mené ces dernières années - et mènerait toujours - une campagne de cyberattaques visant leurs institutions.

Quelles sont les accusations ?

De façon générale, la Chine mènerait des campagnes de cyberespionnage avec deux buts complémentaires. Le premier, voler des informations sensibles afin de capter des technologies. Le second, pouvoir mener, le cas échéant, des actions de déstabilisation pour faire dysfonctionner un pays en coupant l’eau, l’électricité ou en perturbant des élections par exemple.

Tour d’horizon des trois pays qui accusent.

🇺🇸 USA : les États-Unis ont annoncé avoir inculpé 7 individus chinois, les accusant d'avoir mené une vaste campagne de piratage informatique à l'échelle mondiale sur une période de 14 ans. Cette campagne aurait été orchestrée dans le but de soutenir les efforts de Pékin en matière d'espionnage économique et de renseignement extérieur. Selon Lisa Monaco, vice-ministre de la Justice, cette opération aurait impliqué l'envoi de plus de 10 000 e-mails ciblant des entreprises, des personnalités politiques, des candidats électoraux et des journalistes, tant aux États-Unis qu'à l'étranger.

🇬🇧 Royaume-Uni : le vice-Premier ministre britannique Oliver Dowden s'est montré tout aussi ferme en dénonçant devant le Parlement “deux cyberactions malveillantes” en 2020 et 2021, visant des parlementaires critiques de Pékin et contre des élus de la Commission électorale du Royaume-Uni. En réponse, le Royaume-Uni a imposé des sanctions à deux individus et une entreprise liée au groupe de pirates “APT31”, soutenu par l'État chinois.

🇳🇿 Nouvelle-Zélande : De son côté, la ministre de la Défense néo-zélandaise Judith Collins a révélé que Wellington avait attribué à l’Etat chinois un piratage survenu en 2021. Le système informatique du bureau parlementaire chargé de la rédaction et de la publication des lois a été attaqué par le groupe de pirates “APT40”. Selon la CISA américaine, il serait actif depuis 2009.

Une fois n’est pas coutume, la Chine nie en bloc

La Chine “a protesté fermement auprès des États-Unis et des parties concernées et prendra toutes les mesures nécessaires pour préserver ses droits et intérêts légitimes”, a déclaré Lin Jian, un porte-parole du ministère chinois des Affaires étrangères. Washington “a joint ses forces avec le Royaume-Uni pour monter en épingle ces prétendues cyberattaques chinoises”, a-t-il dénoncé.

L'ambassade de Chine en Grande-Bretagne a elle quant à elle, dénoncé des accusations “des calomnies malveillantes” et “totalement infondées”.

Même son de cloche envers les autorités néo-zélandaises : l'ambassade de Chine à Wellington a déclaré qu'elle rejetait “catégoriquement ces accusations sans fondement et irresponsables”, faisant part de son “vif mécontentement”.

🌬 La CNIL donne un nouveau souffle à son guide de la sécurité des données personnelles

Publié depuis des années “pour accompagner les organismes dans leur mise en conformité avec l’obligation de sécurité informatique posée par le RGPD”, le guide de la sécurité des données personnelles de la CNIL s’est offert une nouvelle jeunesse ce mardi 26 mars.

Cette nouvelle version restructure le guide et introduit 5 nouvelles fiches : l’intelligence artificielle, les applications mobiles, l’informatique en nuage (cloud), les interfaces de programmation applicative (API) et le pilotage de la sécurité des données.

On t’explique (on a remixé les fiches).

🎭 Double Jeu : X entre lutte pour la transparence et profits sur la surveillance

Il y a dix ans, X (ex-Twitter), intentait une action en justice contre le gouvernement américain afin de révéler les abus potentiels liés à la surveillance des utilisateurs sur les réseaux sociaux. Derrière cette prétendue lutte pour la transparence, se cache en réalité un paradoxe troublant.

Des échanges d’e-mails révélés entre les services secrets américains et Dataminr, une entreprise de surveillance, mettent en lumière cette contradiction : comment une entreprise peut-elle se battre publiquement contre la surveillance tout en profitant financièrement de la vente de données favorisant cette même surveillance ? En effet, d’après les e-mails obtenus par The Intercept, X aurait vendu des données qui ont ensuite été utilisées pour surveiller les citoyens. Même sous l'égide de son nouveau propriétaire, Elon Musk, qui se positionne pourtant comme un fervent défenseur de la transparence et de la vie privée.

Malgré les assurances antérieures de Twitter et les affirmations publiques d’Elon Musk, les récentes révélations suggèrent que peu de choses ont changé. La relation maintenue entre X et Dataminr soulève des interrogations sur le véritable engagement de la plateforme.

⚠️ Ce cas souligne une nouvelle fois l'importance pour les utilisateurs de comprendre pleinement les implications de leur présence en ligne et les pratiques des plateformes qu'ils utilisent.

🌊 Vague de sanctions en vue : la Commission Européenne menace les géants de la tech

Ce lundi 25 mars, soit seulement 18 jours après l’entrée en vigueur du “Digital Markets Act (DMA)”, la Commission européenne a ouvert 5 enquêtes à l’encontre d’Apple, Alphabet (société mère de Google) Meta et Amazon. Ces géants de la tech disposaient de six mois, jusqu’au 7 mars, pour se plier aux 24 obligations énoncées par le DMA.

Malgré des efforts effectués par ces géants de la tech, la Commission a décelé des lacunes, notamment dans les pratiques d'Apple concernant son App Store, les changements de Google pour son Google Play et ses services de recherche, ainsi que le modèle de revenu de Meta pour les versions sans publicité de Facebook et Instagram.

Face à ces infractions, la Commission envisage des sanctions drastiques : des amendes pouvant atteindre jusqu'à 10% du chiffre d'affaires annuel mondial de l'entreprise concernée, voire 20% en cas de récidive. La Commission européenne accorde désormais un délai de 12 mois aux entreprises pour se mettre pleinement en conformité avec le DMA.

🇰🇵 3 milliards de dollars : c’est le butin empoché par les pirates nord-coréens en 6 ans

Une enquête des Nations Unies retrace les opérations menées de 2017 à 2023 par les pirates nord-coréens. Plus de 58 cyberattaques ont été identifiées sur une période de 6 ans. Environ 3 milliards de dollars ont été accumulés par plusieurs acteurs de menace parrainés par l’État nord-coréen, tels que “Kimsuky”, “Lazarus”, “Andariel” et “BlueNoroff”. Des noms particulièrement connus des analystes en cybersécurité.

La mission de ces acteurs ? Voler des informations (de la propriété intellectuelle) et de l’argent (principalement des actifs numériques “Bitcoins”) pour aider l’état-voyou à générer des revenus illicites, à réaliser des progrès technologiques (principalement militaires) et ainsi contourner les sanctions internationales.

Leurs cibles privilégiées ? Des entreprises de défense, les chaînes d'approvisionnement en logiciels, des ingénieurs nucléaires, des entreprises créant des systèmes de radar, des véhicules militaires, des navires, des armements et des entreprises maritimes, etc.

Leurs méthodologies ? Ces groupes mènent généralement des opérations conjointes et partagent de plus en plus leurs infrastructures et outils. En matière de type d’attaques, ces groupes jouent sur tous les tableaux : spearphishing, ingénierie sociale, exploitation de vulnérabilités, rançongiciels et attaque de point d'eau (ou Watering Hole Attack en anglais).

Face à cette montée en puissance des cybermenaces venant de Corée du Nord, le rapport des Nations Unies comprend une série de recommandations à l'intention des États membres, dont notamment le renforcement des protections cyber des institutions financières ou encore les restrictions des méthodes utilisées par les acteurs nord-coréens pour blanchir les fonds volés.

🔥 C’est tout frais et c’est un véritable revers pour les Nations Unies : ce jeudi 28 mars, la Russie a imposé la dissolution du système de surveillance des sanctions de l'ONU contre la Corée du Nord et son programme nucléaire. Autant dire que les Nations-Unises soint loin de sanctionner les cyberattaques de la Corée du Nord.

🎯 Une attaque sophistiquée sur la chaîne d'approvisionnement cible les développeurs GitHub

Une série d'attaques ciblées et sophistiquées contre la chaîne d'approvisionnement, menées par un acteur de la menace non identifié, a récemment frappé la communauté des développeurs sur GitHub, et plus particulièrement des membres de l'organisation Top.gg qui compte 170 000 membres.

Les cyberattaquants ont mis en œuvre une stratégie complexe dans laquelle ils ont utilisé “de multiples tactiques, techniques et procédures (TTP) dans cette attaque, incluant la prise de contrôle de comptes via des cookies de navigateur volés, la contribution de code malveillant avec des commits vérifiés, la mise en place d'un miroir Python personnalisé, et la publication de paquets malveillants sur le registre PyPI”, a indiqué l’équipe de recherche en sécurité de Checkmarx.

Malgré la sophistication de ces attaques, la vigilance de certains membres de la communauté Top.gg a permis de déceler et de signaler les activités malveillantes, conduisant à l'action de Cloudflare pour désactiver les domaines abusés. Toutefois, selon Checkmarx, la menace reste “active”.

🚨Alerte - une supply chain attack de Linux vient d’être révélée

XZ Utils est un utilitaire open-source de compression de fichiers (comme Zip), utilisé par de nombreuses versions de Linux. Linux, c’est un système d’exploitation (ou une famille de systèmes) qui est utilisé très largement. Par exemple, par les opérateurs du cloud, par des développeurs d’applications au travers d’images docker, et par Android sur les mobiles. L’outil peut aussi se trouver sur MacOS dans certains cas (si vous utilisez homebrew par exemple).

Le problème : une backdoor a été implantée dans XZ par l’un de ses deux principaux développeurs, connu sous le pseudo JiaT75, aka Jia Ta. La vulnérabilité (CVE-2024-3094) a été révélée ce vendredi 29 mars. Les versions 5.6.0 et 5.6.1 sont compromises.

Cet utilitaire XZ n’est pas anecdotique, car il parvient à détourner l’authentification de OpenSSH, conçu pour se connecter, normalement de façon sécurisée, sur une machine à distance. Ainsi l’acteur malveillant derrière cette backdoor de XZ pourrait avoir déjà récupéré des accès administrateur un peu partout. Peut-être avoir déjà le contrôle de milliers de machines.

Vérifiez si vos machines et environnements sont concernées, mais pour cela, n’exécutez pas l’outil XZ. Un retour à la version 5.4.6 s’impose. Voire à la 5.2.1, car ce développeur a commencé à contribuer en 2022 à partir de cette version. Poke @Korben 

🌞 La cybersécurité : “une image globalement dynamique et positive”

À l’occasion du Forum InCyber Europe qui a eu lieu cette semaine à Lille et auquel Shakerz était présent, l’Observatoire des métiers de la cybersécurité a publié son enquête 2023 sur l’attractivité et la représentation des métiers de la cybersécurité.

👉 2 252 professionnels de la cybersécurité ont participé à l’enquête.

💡 Pour rappel : L’observatoire des métiers de la cybersécurité a été lancé en 2021 par l’ANSSI pour mieux cerner le marché de l’emploi cyber.

À retenir :

👉 Plus de 95% des professionnels de la cybersécurité considèrent que “le domaine de la cybersécurité est d’importance majeure, créateur d’emploi, en évolution permanente, et qu’il propose des métiers d’avenir.”

👉 En matière de reconnaissance sociale et de condition de travail, les résultats sont moins enthousiastes : “Les professionnels ne sont que 88% à affirmer que la cybersécurité propose des salaires attractifs, que 63% à déclarer que le domaine est reconnu ou valorisé socialement et que 41% à penser qu’il permet de concilier la vie professionnelle et la vie privée.”. Ces résultats indiquent qu'il reste encore du chemin à faire dans ce domaine pour améliorer l’attractivité des métiers de la cybersécurité.

👉 Inégalités de salaires dans le privé et dans le public : “Ils sont en effet plus de 90% à affirmer que les salaires sont attractifs dans le privé, contre 81% dans les secteurs publics.”

👉 La cybersécurité, un domaine sujet aux stéréotypes. Cette année encore, les perceptions divergent entre les professionnels de la cybersécurité et les étudiants en formation.

• Les étudiants associent fortement les métiers de la cybersécurité à la solitude.

• Alors que les professionnels soulignent l'importance des compétences relationnelles, les étudiants tendent à sous-estimer cet aspect et privilégient plutôt les compétences techniques et organisationnelles.

• Les professionnels sont beaucoup plus ouverts que les étudiants concernant les conditions d’accès aux métiers de la cybersécurité (qualifications requises, âge, et reconversion professionnelle).

🚫 Interdiction - Au moment où l'effet des plateformes sur les mineurs inquiète aux États-Unis, la Floride a signé ce lundi une loi visant à restreindre l'accès des mineurs de moins de 16 ans aux réseaux sociaux. Cette nouvelle législation qui entrera en vigueur en janvier 2025 stipule qu’il sera désormais interdit de créer un compte sur les réseaux sociaux pour les moins de 14 ans. Les adolescents âgés de 14 et 15 ans devront quant à eux obtenir un accord parental. À titre de comparaison, en France, la loi est un peu plus clémente en fixant la majorité numérique à 15 ans. Pour les adolescents de 13 à 14 ans, une autorisation parentale est nécessaire.

🇬🇧 Dernière chance - 2 juges britanniques ont donné 3 semaines aux autorités américaines pour garantir que l’Australien lanceur d’alerte Julian Assange, bénéficiera du premier amendement de la Constitution américaine qui protège la liberté d'expression, et qu'il ne sera pas condamné à la peine de mort. En cas de garanties insuffisantes, Assange sera autorisé à faire appel. Une nouvelle audience est prévue pour le 20 mai.

🚨 Vulnérabilité - Des chercheurs ont annoncé avoir trouvé une vulnérabilité de sécurité dans les puces M1, M2 et M3 qui équipent les derniers macs d’Apple, qui peut être exploitée pour récupérer des clés cryptographiques.

📄 Rapport - Dans son dernier rapport sur l’état de la menace cyber aux États-unis, l'Internet Crime Complaint Center, aussi connu aussi sous l'acronyme IC3, révèle qu’en 2023, les pertes dues à la cybercriminalité ont augmenté d'un peu plus de 20 % pour atteindre 12,5 milliards de dollars. Parmi les modes opératoires les plus représentés, le phishing arrive largement en tête.

📢 Gestion des risques - Ce mercredi 27 mars, l’ANSSI a mis à jour son guide “EBIOS Risk Manager”, une méthode d’analyse de risque française de référence. Cette mise à jour vient renforcer la capacité des organisations “à anticiper les risques, à prendre des décisions éclairées et à assurer la continuité des activités dans un environnement en constante évolution.”

⚖️ Justice - L’ex superstar des cryptomonnaies Sam Bankman-Fried (FTX) a été condamné ce jeudi 28 mars à 25 ans de prison. Une peinte plutôt légère compte tenu des réquisitions initiales (40 à 50 ans) et de ce qu’il risquait au maximum (110 ans).

👔 Cette IA passe l’entretien à votre place et c’est bluffant !

Ne vous “embêtez” plus avec les premières étapes des processus de recrutement, l’IA AIApply s’en charge à votre place.

L’outil permet d’automatiser beaucoup de tâches basiques telles que la création du CV, la rédaction personnalisée de la lettre de motivation, la création d’une photo professionnelle.

Elle va même jusqu’à la création d’un clone qui passe l’entretien à votre place.

On imagine qu’après les formalités de l’entretien abordées, la qualité des échanges doit s’essouffler, mais la prouesse est déjà folle et ce n’est qu’un début.

L’entreprise est immatriculée en Grande-Bretagne.

Comme toujours, merci de nous avoir lu. Si tu souhaites nous soutenir, partage le shake autour de toi 👐

Passe un bon week-end et à la semaine prochaine ! ✌️