🌩 États-Unis : le cloud sous enquête fédérale

Salut 👋, voici ton digest du digital et de la cyber pour cette semaine.

À la une :

🌩 États-Unis : la sécurité du cloud, au centre des attentions, fait l’objet d’investigations fédérales

Décode l’actu :

🍏 Background Task Manager : l’efficacité de l’outil de détection de logiciels malveillants d’Apple remise en question,

🚫 INTERPOL Démantèle la plateforme de phishing as-a-service “16shop”,

👀 Des ambassades étrangères en espionnées en Biélorussie,

🇬🇧 Royaume-uni : un site d’inscription électorale officiel sème le doute,

On t’explique tout ça plus bas.

Retrouve le mag :

📊 Les cyberattaques au deuxième trimestre 2023,

📬 Les menaces BEC représentent près de 99% des menaces signalées,

🍋 Des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, devine quoi… la question de la semaine.

Shake it!

〰️ La reco du barman 〰️

🌩 États-Unis : le cloud sous enquête fédérale

Suite à la faille de Microsoft Exchange Online survenue en juillet dernier, et qui a permis à des pirates chinois d’accéder à des e-mails de hauts fonctionnaires du gouvernement américain, le secrétaire à la sécurité intérieure, Alejandro N. Mayorkas, a annoncé le vendredi 11 août qu’un organisme américain chargé de la cybersécurité (le Cyber Safety Review Board) allait mener sa prochaine enquête sur la sécurité du cloud et sur la récente cyberattaque dont a été victime Microsoft.

Alejandro Mayorkas, a décrit la sécurité du cloud comme “l'épine dorsale” de certains des systèmes les plus critiques des États-Unis.

Qu’est-ce-que le Cyber Safety Review Board ?

Le Cyber Safety Review Board est comité d'examen de la cybersécurité du ministère de la sécurité intérieure, composé de 15 responsables de la cybersécurité des secteurs public et privé. Il a été créé conformément au décret 14028 du président Biden sur l'amélioration de la cybersécurité du pays, dans le but d'examiner des incidents majeurs en matière de cybersécurité et de proposer des recommandations pratiques pour améliorer les secteurs public et privé.

Ce conseil n'a pas de pouvoirs réglementaires et n'est pas une autorité exécutive. Son seul but, en tant qu'organe consultatif, est de partager des enseignements pour renforcer la cybersécurité nationale.

Dans le cadre de sa nouvelle enquête, le comité d’examen concentrera ses recommandations sur le renforcement de la gestion de l'identité et de l'authentification dans les environnements cloud. Les recommandations issues de cette étude viseront à améliorer les pratiques de cybersécurité pour les clients et les fournisseurs cloud. Le rapport final sera remis au président Biden par le biais du secrétaire Mayorkas et de la directrice de l'Agence de cybersécurité américaine (CISA), Jen Easterly.

Le rôle de Microsoft dans la récente intrusion également étudié

Cette publication survient à la suite de la demande du sénateur Ron Wyden à la Commission fédérale du commerce, à l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) ainsi qu'au ministère de la justice, exhortant à des mesures à l'encontre de Microsoft suite à l'incident.

Microsoft est soumis à un examen de plus en plus rigoureux depuis que des pirates informatiques, possiblement liés à Pékin, ont obtenu l'une de ses clés cryptographiques et exploité une vulnérabilité pour accéder sans restriction à la plateforme de messagerie cloud de l'entreprise.

L’attaque a touché au moins 25 organisations différentes et occasionné le vol d’emails sensibles appartenant à plusieurs hauts fonctionnaires du gouvernement américain.

〰️ En image 〰️

📊 Les cyberattaques au deuxième trimestre 2023

Les statistiques issues des cyberattaques publiées dans la presse durant le deuxième trimestre de 2023 ont été rassemblées par Hackmageddon. Au total, cela représente 1040 événements, soit 9,8 % de plus qu’au trimestre précédent. Dans le détail, la cybercriminalité reste en tête des motivations avec 76,8 % malgré une légère baisse au profit du cyberespionnage qui passe à 10,2 % contre 8,4 % au trimestre précédent.

Tous les secteurs d’activité sont concernés par une grande variété de menaces.

〰️ Vos shots 〰️

🍏 Background Task Manager : l’efficacité de l’outil de détection de logiciels malveillants d’Apple remise en question

Lors de la conférence Defcon à Las Vegas, le chercheur en sécurité Mac, Patrick Wardle, a mis en lumière des vulnérabilités préoccupantes dans Background Task Manager, l'outil de gestion des tâches en arrière-plan de macOS d'Apple. Cet outil, conçu pour détecter la “persistance” de logiciels potentiellement malveillants sur les ordinateurs, c'est-à-dire leur capacité à demeurer actifs sur un système même après un redémarrage, pourrait être contourné de manière “trivial” et continuer à causer des dommages selon Wardle.

Lancé en octobre 2022 dans macOS Ventura, Background Task Manager n’aurait donc apporté aucune solution à ces problèmes de persistance. En réponse à ces découvertes, Apple n'a pas encore émis de commentaire. Patrick Wardle, qui dirige la Fondation Objective-See, propose depuis plusieurs années un outil similaire de notification d'événement de persistance appelé BlockBlock. Il souligne également que la persistance des logiciels malveillants demeure un défi complexe à relever et nécessite une approche plus robuste pour protéger les utilisateurs de macOS contre ces menaces.

A partir de ce point, il reste plus de 50% de contenu à découvrir. Voici ce que les membres de Shakerz ont encore en plus : 3 articles, 1 synthèse de rapport, la question et sa réponse, 9 brèves d’actu, un meme… Pour soutenir notre travail, vous pouvez choisir de vous abonner ici.

🚫 INTERPOL démantèle la plateforme de phishing as-a-service “16shop”

Une opération de collaboration internationale menée par INTERPOL a conduit au démantèlement de la plateforme de Phishing as-a-service “16shop” et à l'arrestation de son opérateur et de deux facilitateurs.

La plateforme de phishing as-a-service “16shop” proposait des “kits de phishing” à des pirates informatiques souhaitant exploiter des utilisateurs crédules grâce à des escroqueries par e-mail. La plateforme, de part les outils malveillants qu’elle vendait, aurait permis de compromettre plus de 70 000 utilisateurs dans 43 pays.

D’après le communiqué d'INTERPOL, le succès de cette opération a été rendu possible par la remarquable collaboration internationale entre les autorités indonésiennes, japonaises, américaines et des partenaires privés tels que le Cyber Defense Institute, Group-IB, Palo Alto Networks Unit 42, Trend Micro et Cybertoolbelt. Cette action conjointe démontre une nouvelle fois l’efficacité du partage de renseignements dans la lutte mondiale contre la cybercriminalité.

🇬🇧 Royaume-uni : un site d’inscription électorale officiel sème le doute

Le gouvernement britannique est en train de faire face à une vague de scepticisme concernant la légitimité de son site web d'inscription des électeurs, HouseholdResponse.com. Malgré les assurances répétées du gouvernement selon lesquelles le site n'est en aucun cas une escroquerie, de nombreux citoyens restent méfiants.

Chaque année, les administrations locales et les conseils du Royaume-Uni lancent à travers tout le pays, une campagne visant à mettre à jour les coordonnées des électeurs en vue des prochaines élections. Le hic ? un nom de domaine qui n’a rien d’officiel avec une extension ne se terminant pas par “.gov”, une campagne menée entre autres par email incitant à cliquer sur un lien, et des sanctions punitives pouvant aller jusqu'à 1 000 livres sterling d’amende créant ainsi un sentiment d'urgence et d'anxiété chez de nombreux citoyens. En bref, un cocktail explosif de mauvais choix. Et il n’y a pas que les citoyens qui sont méfiants, même les conseils admettent que la campagne est douteuse. Pourtant, rien ne change.

De plus, ce climat de défiance à l’égard du système électoral doit être particulièrement exacerbé cette année à cause des récentes révélations de la commission électorale du Royaume-uni concernant la cyberattaque ayant touché près 40 millions d’électeurs britanniques entre 2021 et 2022.

👀 Des ambassades étrangères en espionnées en Biélorussie

Des chercheurs d’ESET Research ont révélé une série d'attaques de cyberespionnage s'étalant sur plusieurs années, ciblant des ambassades étrangères situées en Biélorussie. L'acteur de menace nouvellement identifié, surnommé MoustachedBouncer, aurait été actif depuis au moins 2014.

Selon Matthieu Faou, chercheur en sécurité chez ESET, MoustachedBouncer a probablement utilisé des techniques d'attaques “Adversary-in-the-middle” (AitM) au niveau des fournisseurs d'accès Internet biélorusses depuis 2020 pour compromettre ses cibles. Les experts le considèrent comme un groupe sophistiqué et aligné avec les intérêts de la Biélorussie.

Les cibles de MoustachedBouncer incluent le personnel de diverses ambassades, provenant de quatre pays distincts, depuis juin 2017. Bien que les noms des pays n'aient pas été divulgués, l'ampleur de ces attaques est notable. Certaines cibles ont même été compromises à plusieurs reprises.

Une collaboration étroite entre MoustachedBouncer et un autre acteur bien connu des menaces persistantes avancées (APT), Winter Vivern (également connu sous les noms TA473 ou UAC-0114), a également été identifiée. Winter Vivern est réputé pour ses attaques contre des responsables gouvernementaux en Europe et aux États-Unis.

〰️ Dégustation 〰️

📬 Les menaces BEC représentent près de 99% des menaces signalées dans les messageries email

Dans ce nouveau rapport, Fortra a examiné les campagnes, tactiques et infrastructure utilisées dans les récentes attaques de “Business Email Compromise” (BEC) et d'usurpation d'identité par email afin d’aider les organisations à mieux se défendre contre ces menaces.

À retenir :

• Les menaces dans les messageries emails des entreprises ont atteint de nouveaux sommets en 2023. Un quart des email signalés sont classés comme malveillants ou considérés comme indignes de confiance.

  • Ce n'est pas la complexité des attaques qui les rend redoutables, mais leur nature simple et trompeuse.

• Les attaques de vishing hybrides dépassent les escroqueries BEC (fraude au président) et la fraude 4-1-9 et représentent plus de 45 % du volume d'attaques.

  • La fraude 4-1-9 (ou arnaque nigériane) est escroquerie consistant à promettre l'obtention d'une grosse somme d'argent dans le futur, en échange d’un paiement ou d’un partage d’informations d’identité bancaire en amont.

  • Le vishing hybride peut être monétisé de multiples façons, notamment par le vol d'informations personnelles, d'identifiants de cartes, etc. Une attaque de vishing peut également entraîner la diffusion de logiciels malveillants.

• Le volume des attaques de phishing ciblant des informations d'identification Microsoft Office 365 a doublé au premier trimestre.

• Les menaces d'usurpation d'identité par email sont de loin les plus difficiles à bloquer

• La mise en œuvre de protocoles stricts pour les transactions financières, y compris des mécanismes de double approbation, constitue une mesure efficace pour lutter contre ce phénomène.

• Les collaborateurs doivent être encouragés à confirmer des demandes de leur hiérarchie par un canal de communication secondaire, hors bande, tel qu'un appel téléphonique.

• La mise en œuvre de mesures telles que la double approbation des transactions, des audits réguliers et la confirmation par des communications hors bande ou canaux distincts peut contribuer grandement à contrecarrer les attaques BEC (fraude au président).

〰️ Cul sec - La question 〰️

☁️ Quel service de stockage cloud peut être utilisé comme ransomware pour crypter vos données ?

Propositions de réponses :

A - DropBox

B - OneDrive

C - Google Drive

D - NordLocker

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

🍏 Obsolescence programmée - Aux États-Unis, après 5 ans de procédure juridique et 3 millions de réclamations, un juge ouvre enfin la voie au versement de 500 millions de dollars de dédommagement de la part d’Apple aux propriétaires d’iPhones à la durée de vie douteuse.

🚨 Avertissement - Le samedi 12 août, lors de la conférence Def Con hacker à Las Vegas, la directrice de l'Agence américaine de cybersécurité et d'infrastructure, Jen Easterly, a averti l’audience de possibles cyberattaques chinoises destructrices sur les infrastructures critiques américaines en cas de conflit dans le détroit de Taïwan.

👮 Clé sous la porte - Une opération conjointe menée par les Européens et Américains a permis de démanteler Lolek Hosted, un service d’hébergement peu regardant, facilitant les activités criminelles (notamment les attaques de ransomware Netwalker). Cette opération a conduit à l'arrestation de cinq administrateurs par les autorités polonaises.

🇮🇳 Protection des données - Après plus de 5 ans d’élaboration, le président indien Droupadi Murmu a donné vendredi son accord au projet de loi sur la protection des données personnelles numériques (DPDPB). Ce projet de loi vise à “reconnaître à la fois les droits des individus à protéger leurs données personnelles et la nécessité de traiter ces données personnelles à des fins légales”.

⚠️ Vigilance - Des informations indiquent qu’une campagne en cours (probablement d’origine russe) inciterait les victimes à installer un outil d'administration à distance nommé “NetSupport Manager” avec de fausses mises à jour du navigateur Chrome. Ce logiciel d'administration à distance serait ensuite utilisé pour voler des informations et prendre le contrôle des ordinateurs des victimes.

✊ Négociation - Les délégations des États membres ainsi que des observateurs de la société civile se réuniront le 21 août au siège des Nations unies à New York pour une session de négociation de deux semaines sur le “projet zéro” de la convention des Nations unies sur la cybercriminalité. Ce traité est largement décrié par les ONG internationales de protection des libertés telles que Electronic Frontier Foundation (EFF) pour les risques qu’il fait peser sur la sécurité des militants politiques et activistes, journalistes, chercheurs en sécurité, lanceurs d'alerte et à des millions d'autres personnes dans le monde.

🇬🇧 Déclaration - Selon le vice-premier ministre britannique, Oliver Dowden, l'impact potentiel de l'intelligence artificielle sur le Royaume-uni pourrait dépasser celui de la révolution industrielle. Toutefois, il a également mis en garde contre la possibilité que des pirates informatiques utilisent cette technologie pour accéder à des données sensibles du gouvernement.

🎓 Éducation - L'Agence nationale de sécurité des États-Unis (NSA) souhaite attirer les étudiants vers la cybersécurité et vers ses propres postes à pourvoir (3 000 nouveaux emplois cette année), grâce, entre autres à son “Codebreaker Challenge”, un événement conçu pour fournir aux participants des défis réalistes en matière de cybersécurité (gestion des ransomwares, rétro-ingénierie, etc.).

♟️ Stratégie - Kathy Hochul, gouverneur de l'État de New York, a dévoilé une ambitieuse (et toute première) stratégie de cybersécurité qui alloue 600 millions de dollars à la protection des infrastructures numériques et essentielles de l'État contre les menaces cyber. Dans le secteur financier, l’Etat menait déjà la danse avec le NYDFS 23 CRR 500 entré en vigueur en février 2018.

〰️ Cul sec - Réponse 〰️

Réponse B - OneDrive

La nouvelle nous vient d’Or Yair, un chercheur de SafeBreach, qui a présenté sa découverte à la conférence Black Hat, qui s'est tenue le 10 août dernier.

Lors de sa présentation, Yair a démontré que le programme de partage de fichiers OneDrive, que Microsoft présente comme une sécurité contre les rançongiciels et dont ils recommandent aux utilisateurs d’y stocker leurs fichiers importants, pouvait être utilisé comme rançongiciel pour crypter la plupart des fichiers d'une machine cible sans possibilité de récupération. Selon le chercheur, cela est du en partie parce que le programme est intrinsèquement fiable pour Windows et les programmes de détection et de réponse aux points finaux (EDR).

Dans sa démonstration Yair a commencé par localiser et extraire manuellement le jeton d'accès à OneDrive sur une machine virtuelle cible. Il a ensuite utilisé un outil automatisé nommé DoubleDrive pour chiffrer l'intégralité des fichiers contenus dans le répertoire OneDrive de la machine cible. Ce processus incluait également la suppression des éléments du dossier cloud, le vidage de la corbeille et l'élimination des copies d'ombre, laissant ainsi à la victime uniquement les fichiers chiffrés sur sa machine.

Depuis, la plupart des solutions EDR ont été contactées par le chercheur et ont été mises à jour. Microsoft a également corrigé OneDrive de sorte que cette attaque ne fonctionne plus sur les versions 23.061.0319.0003, 23.101.0514.0001 et ultérieures du client OneDrive.

S’il ne fallait retenir qu’une seule chose de cette découverte, “c'est qu'aucun processus ne doit être intrinsèquement fiable” a déclaré M. Yair.

〰️ Digestif 〰️

🖼 IA : générateurs de préjugés ?

Alors que les générateurs d'images d'IA tels que MidJourney, Stable Diffusion et Dall-E gagnent en popularité, il est important de rester vigilants quant aux formes de préjugés que ces technologies peuvent alimenter.

Votre Shake de l'actu cyber et digitale vous attend chaque samedi !

Vous avez un avis ou une question ? Répondez simplement à cet e-mail, nous serons ravis de vous lire !

Aidez-nous à faire grandir la culture numérique responsable. Partagez avec vos proches.

Un ami vous a transféré cette édition ? Pour nous soutenir, vous pouvez vous abonner 👇👇👇

“Shake it, share it”