Derrière 80% des zero-days : les logiciels espions vendus aux États, leurs régulateurs

Salut 👋, j’espère que tu as passé une bonne semaine. C’est l’heure de se plonger dans l’actu cyber et digitale, et ça bouge toujours autant !

Au programme :

• À la une : 🥷 Les fournisseurs de logiciels espions responsables de 80 % des vulnérabilités zero-day

• 🇨🇦 “Flipper Zero” fait flipper le Canada

•  🏴‍☠️ Microsoft Azure, les pirates mettent le cap sur les postes clés

• 🦊 “Coyote” marque son territoire dans le secteur bancaire

• 🦸🏻 IA en Europe : Google se la joue super-héros

• En Image : 📡 Qu’est-ce que Flipper Zero et comment ça fonctionne ?

• Rapport : 💰 Les paiements liés aux rançongiciels ont dépassé le milliard de $ en 2023

🥷 Les vendeurs de logiciels espions sont responsables de 80 % des vulnérabilités zero-day

Selon un rapport récent de Google, les fournisseurs de logiciels espions commerciaux sont à la fois les principaux découvreurs et exploitants de vulnérabilités zero-day. Ceci leur permet l'installation de logiciels espions tels que “Pegasus” et “Predator” sur des appareils à travers le monde.

L'année dernière, le groupe Threat Analysis Group (TAG) de Google a surveillé de près les activités de 40 fournisseurs de logiciels espions commerciaux, et a révélé que ces entités étaient responsables de 80 % des vulnérabilités zero-day recensées par TAG en 2023.

Ces découvertes montrent que l'exploitation de ces failles, principalement destinée à l'espionnage, a nettement augmenté ces dernières années, et souligne une escalade des activités de ces fournisseurs dans la recherche et l'exploitation de ces vulnérabilités.

Google appele à l'action

Face à cette menace croissante, Google appelle à une action renforcée contre l'industrie des logiciels espions. Il est suggéré que les gouvernements collaborent étroitement pour établir des directives strictes régissant l'utilisation de ces logiciels.

Cependant, cette découverte souligne une réalité inquiétante : les gouvernements se retrouvent face à un dilemne. Comment être à la fois, principal acheteur de ces technologies de surveillance et régulateur ? Comment imposer des restrictions contre une industrie qu'ils alimentent eux-mêmes ? La découverte récente du logiciel espion “Predator” et de sa commercialisation dans au moins 25 pays en témoigne, et rend cet appel à l'action de Google d'autant plus pertinent.

Un business juteux

Par ailleurs, le développement et la vente de logiciels espions exploitant des failles zero-day sur Android et iOS représentent un modèle économique extrêmement lucratif, avec des licences pouvant se vendre à des millions de dollars. Une partie de l’industrie de cybersécurité, y compris française, s’y adonne, ce serait ainsi la situation de Nexa (ex. Amesys) dont certaines pratiques étonnantes ont été révélées en octobre 2023 par Mediapart et le Monde.

Tant que la demande en technologies de surveillance commerciale persistera de la part des gouvernements, et que ces logiciels se vendront à prix d’or, les fournisseurs de logiciels espions continueront de développer et vendre ces outils. Selon Google, seule une action concertée et internationale pourra endiguer la prolifération de ces technologies et protéger la vie privée et la sécurité des citoyens à l'échelle mondiale.

📡 Qu’est-ce que Flipper Zero et comment ça fonctionne ?

🇨🇦 “Flipper Zero” fait flipper le Canada

Afin de lutter contre la hausse des vols de voitures à travers le pays, le gouvernement canadien a annoncé interdire l'importation, la vente et l'utilisation de Flipper Zero, un appareil portable open-source, semblable à un jouet, popularisé pour sa capacité à capter, lire et reproduire des signaux. Il est plébiscité par les hackers éthiques mais aussi utilisé à des fins malveillantes. Depuis sa sortie, les vidéos de ses exploits (ouverture de portes de garage, activation de sonnettes, etc.) inondent les réseaux, principalement TikTok.

Victime de 90 000 vols de voitures par an, le Canada aurait donc trouvé, en Flipper Zero, et tout dispositif similaire, les boucs émissaires de la hausse des vols de voiture. Le gouvernement accuse en effet ces dispositifs d’être utilisés par des criminels pour déverrouiller les véhicules à distance.

Affirmation contestée par des experts et le fabriquant lui même qui attestent que l’outil est incapable de déverrouiller les voitures conçues au cours des 30 dernières années et de façon générale, les appareils modernes. Flipper Devices ajoute que “le Flipper Zero est destiné aux tests de sécurité et au développement et nous avons pris les précautions nécessaires pour garantir que l'appareil ne puisse pas être utilisé à des fins malveillantes”. De plus, selon une étude de la Cellule d'intégration de la cybersécurité et des communications du New Jersey (NJCCIC) “la plupart des vidéos TikTok publiées semblent avoir été mises en scène et auraient fourni des informations erronées”.

Le Canada ne prendrait-il pas le problème à l’envers ? Est-ce que limiter l'accès aux outils comme le Flipper Zero et à l’innovation qui en découle est la réponse, ou devrions-nous plutôt renforcer la sécurité des véhicules ?

🦊 Le malware “Coyote” marque son territoire dans le secteur bancaire

Les chercheurs de Kaspersky ont récemment mis au jour "Coyote", qui n’est pas la célèbre application d’aide à la conduite mais un malware bancaire visant actuellement 61 applications dans le secteur bancaire, principalement au Brésil. Du moins pour l’instant.

Ce malware de type cheval de Troie se distingue par l'utilisation de technologies modernes comme Squirrel pour l'installation, NodeJs, et Nim, un langage peu connu, pour échapper à la détection. Sa sophistication indique une évolution significative des stratégies malveillantes, rendant "Coyote" particulièrement dangereux.

Bien que "Coyote" cible pour le moment les consommateurs brésiliens, son potentiel d'expansion à l’international est clair. Par le passé, les malwares ayant réussi à s'imposer sur le marché brésilien ont également étendu leurs activités à l'international. De plus, l'histoire montre que les chevaux de Troie bancaires peuvent évoluer en Trojans d'accès initial et en portes dérobées, comme ce fut le cas pour Emotet et Trickbot. 

Cela souligne d’autant plus l'importance pour les équipes de sécurité de rester vigilantes et de renforcer leurs défenses pour anticiper et contrer cette nouvelle vague de cybercriminalité financière.

🏴‍☠️ Microsoft Azure, les pirates mettent le cap sur les postes clés

Depuis fin novembre 2023, une campagne de phishing cible des centaines de comptes Microsoft Azure d'utilisateurs, y compris de cadres supérieurs. L’équipe de Proofpoint, qui suit de près l’évolution de cette campagne depuis plusieurs semaines, a émis ce lundi 12 février, une alerte destiné à fournir des détails sur la campagne, ainsi que des mesures de défenses ciblées.

L'alerte révèle que les attaquants “ciblent les utilisateurs avec des phishings individualisés dans des documents partagés” truffés de liens malveillants. Le document précise également que les attaquants semblent concentrer leur attention sur des postes clés, c’est à dire ayant des niveaux d'accès à des ressources et responsabilités dans l’organisation, pour accéder à des systèmes critiques et mener des opérations plus vastes. Parmi ce large éventail de postes, l’on retrouve entre autres, des directeurs des ventes, des responsables financiers, des postes de direction tels que vice-président des opérations, chef comptable, trésorier et PDG.

Les attaques, caractérisées par l'usage d'un agent utilisateur Linux spécifique, visent à compromettre l'accès aux applications Microsoft365, dans le but de manipuler l'authentification multifacteur (MFA) pour maintenir un accès persistant, et ensuite, entre autres, exfiltrer des données.

Dans son rapport, Proofpoint suggère plusieurs mesures de défense, que l’on vous invite à aller consulter si vous êtes un utilisateur du cloud de Microsoft.

🦸🏻 IA en Europe : Google se la joue super-héros

Google ne serait-il pas atteint du “syndrome du sauveur” ? Dans une initiative qui marque à la fois une générosité et une stratégie bien pensée, Google a annoncé un investissement de 25 millions d'euros destiné à former les Européens aux technologies de l'intelligence artificielle dans le but de combler le déficit de compétences numériques.

Cette enveloppe financera entre autres, des formations gratuites accessibles aux organisations sociales, entreprises, particuliers mais surtout aux travailleurs éloignés de la révolution numérique. Matt Brittin, président de Google en Europe, souligne l'importance de rendre l'IA “accessible à tous”, vis à vis de l'impact potentiel que cette technologie pourrait avoir sur l'économie du continent.

Toutefois, il convient de s’interroger sur la profondeur et la pérennité de ces compétences acquises, par le biais de ces formations, dans un paysage numérique en constante évolution. La formation aux compétences numériques ne se limite pas à un accès gratuit à des cours. Elle nécessite un suivi, un accompagnement et une mise à jour continue. Alors véritable investissement de Google ou effet d’annonce ? Affaire à suivre.

Au-delà de la formation, Google cherchera également à soutenir les start-ups européennes, en particulier dans les domaines de la santé, de l'éducation et de la cybersécurité, à travers son programme “Google for Startups Growth Academy”. Avec plus de 12 millions de personnes déjà formées en Europe, Google renforce ainsi son engagement, du moins en apparence, envers le développement des compétences numériques sur le continent. Cette initiative présentée comme philantropique a l’immense avantage de mettre à de nouveaux utilisateurs le pied à l’étrier pour de nouveaux produits de Google.

💰 Les paiements liés aux rançongiciels ont dépassé le milliard de $ en 2023

En 2023, l'industrie de la cryptomonnaie a connu une année de reprise après les turbulences de 2022 (baisse des prix, scandale FTX, etc.) Le rapport “2024 Crypto Crime Report” de Chainalysis, une société américaine d'analyse de blockchain, a mis en lumière plusieurs tendances notables en matière de crypto-criminalité.

Ce qu’on retient :

👉 L'année 2023 a vu une baisse significative de la valeur reçue par des adresses de cryptomonnaie illicites identifiées, pour atteindre un total de 24,2 milliards de dollars contre 39,6 milliards de dollars en 2022. Néanmoins, ces données sont à relativiser dans la mesure où, cette année, de nouvelles adresses illicites seront identifiées, et leurs historiques de transaction seront pris en compte pour actualiser à la hausse le total de 2023.

👉 Contrairement aux tendances générales, 2023 marque un retour majeur pour les rançongiciels. Les paiements de rançons aux gangs de rançongiciel ont doublé par rapport à 2022 et ont dépassé le milliard de dollars en cryptomonnaie en 2023. Soit le montant le plus élevé jamais observé.

👉 Dans son rapport, Chainalysis a également cité des recherches montrant que les attaques de l'année dernière ont montré une augmentation du nombre d'attaquants et de variantes de rançongiciel. Selon Recorded Future, il y a eu 538 nouvelles variantes de rançongiciel en 2023.

👉 Enfin, bien que le Bitcoin reste dominant dans certains délits comme les rançongiciels et les ventes sur les darknet, les données soulignent un changement de préférence de l’industrie du cybercrime en cours pour les transactions illicites, du Bitcoin vers les stablecoins, qui sont indexés sur des monnaies classiques telles que le dollar américain.

🤖 Robotcalls - La Commission fédérale des communications (FCC) des États-Unis a reconnu le 8 février, que les appels téléphoniques utilisant des voix générées par IA sont illégals au sens de la loi sur la protection des consommateurs (TCPA). Cette décision donnera aux autorités de nouveaux outils pour poursuivre les auteurs d’escroqueries utilisant cette technologie.

📊 Statistique - Selon le rapport “Cybernomics 101” de Barracuda, quand un pirate prend en moyenne 6 heures pour exploiter une vulnérabilité, les équipes de sécurité ont elles, besoin en moyenne de 427 heures “d'enquête, de nettoyage, de réparation et de documentation”. Soit 71 heures côté “gentil” pour pour seulement 1 heure côté “méchant”. Un rapport de force inégal…

🎣 Quishing- Selon le rapport “H1 2024 Email Threat Report” de Abnormal, L'utilisation de QR codes pour fournir des charges utiles malveillantes a bondi au quatrième trimestre 2023. 89,3 % de ces attaques ont ciblé des informations d'identification. L’enquête révèle également que les cadres supérieurs et dirigeants sont 42 fois plus susceptibles d’être ciblés par des attaques de quishing qu’un employé n’appartenant pas à la direction.

🇷🇴 Cyberattaque - Pendant la nuit du 11 au 12 février 2024, le secteur hospitalier de Roumanie a été victime d’une cyberattaque massive de rançongiciel. 100 hôpitaux ont été impactés. 25 ont confirmé que leurs donnés avaient été chiffrées et 75 autres ont du mettre hors ligne leurs systèmes par précaution. Le rançongiciel “Backmydata”, une variante de rançongiciel de la famille Phobos, aurait été utilisé pour chiffrer les données des hôpitaux selon la direction nationale roumaine de la cybersécurité (DNSC). Le secteur hospitalier est également touché en France par des rançongiciels, mais dans une moindre mesure, comme l’hopital d’Armentières (Hauts de France) qui vient d’en être victime la nuit précédente.

👀 Cyberespionnage - Selon les analytes de Cisco Talos, une organisation à but non lucratif islamique en Arabie Saoudite a été victime pendant 2 ans d’une campagne de cyberespionnage. La campagne qui a débuté en mai 2021 et seulement identifiée en mai 2023, exfiltrait des données de l'organisation deux fois par mois. La capacité de l’acteur de la menace à maintenir furtivement son accès à long terme laisse à penser qu’il s’agit d’un acteur hautement qualifié et qu’il pourrait être à la manœuvre d’autres campagnes de ce type.

👮Plainte en ligne - Suite à au vol des données fin janvier, concernant 33 millions de français et notamment leur numéros de sécurité sociale, il est désormais possible de porter plainte en ligne sans nécessiter de déplacement en commissariat ou gendarmerie.

🎥 IA - Ce jeudi 15 février, OpenAI a frappé un grand coup dans le monde de l’intelligence artificielle en dévoilant “Sora”, un nouvel outil bluffant capable de générer des vidéos réalistes d’1 minute, à partir d’une simple saisie de texte.

📺 Voyez ce que vous pouvez allumer lorsque l'écran est éteint !

Les vacances scolaires d’hiver ont débuté en France. Et comme chaque année durant cette période, le temps d'exposition des enfants aux écrans explose. Pour lutter contre ce fléau, le gouvernement français souhaite interdire les réseaux sociaux aux moins de 13 ans.

En attendant, l’association UNICEF dévoilait déjà en 2010, en Indonésie, une campagne de communication brillante destinée à faire réfléchir sur les moments de partage en famille manqués lorsque le téléviseur est allumé.

14 ans plus tard, force est de constater que les choses ne se sont pas améliorées avec les smartphones, les réseaux sociaux et bientôt peut-être, les casques de réalité virtuelle/augmentée.

Comme toujours, merci de nous avoir lu. Si tu souhaites nous soutenir, partage le shake autour de toi 👐

Passe un bon week-end et à la semaine prochaine ! ✌️