💊 Fin de l'Amazon de la drogue sur le dark web, son cerveau arrêté

Salut 👋, j'espère que ta semaine se passe bien ! Prépare-toi à savourer THE cocktail d'actus cyber et digitales, ça va pulser !

Au programme :

La Suggestion du Barman : 💊 Fin de l'Amazon de la drogue sur le dark web, son cerveau arrêté,
En Image : 🤿 Plongée dans les marchés illégaux du dark web,
Vos Shots :
💦 États-Unis : la sécurité du secteur de l'eau sous surveillance,
🇰🇵 La justice américaine frappe un réseau nord-coréen de faux freelances IT,
⛈️ Une vulnérabilité critique menace les plateformes cloud,
En Vidéo : 🎙 Entretien avec Jean-Paul Paloméros, Général d'armée aérienne,
Pétillant : ⏭️ La majorité des grands modèles de langage (LLM) vulnérables aux techniques de jailbreak,
Digestif : 🎸 “UnCrush” : la réponse cinglante de Samsung.

💊 Fin de l'Amazon de la drogue sur le dark web, son cerveau arrêté

Les autorités fédérales américaines ont arrêté Rui-Siang Lin, un Taïwanais de 23 ans, à l'aéroport John F. Kennedy de New-York le 18 mai. Lin est accusé d'avoir dirigé "Incognito Market", un marché en ligne sur le dark web, ayant facilité la vente de stupéfiants pour une valeur de 100 millions de dollars.

Un marché en ligne sur le dark web bien organisé

Depuis octobre 2020, et jusqu’à sa fermeture en mars 2024, Incognito Market permettait aux utilisateurs du monde entier d'acheter et de vendre des drogues illégales, via le navigateur Tor. Le site fonctionnait comme une plateforme d’e-commerce, avec des inscriptions d'utilisateurs, de la publicité et un service client. En bref, l’équivalent d’Amazon, mais pour des substances illégales.

Le marché utilisait un système bancaire interne où les utilisateurs déposaient de la cryptomonnaie. Les informations financières des vendeurs et des acheteurs étaient séparées. Après chaque transaction, les fonds des acheteurs étaient transférés aux vendeurs, moyennant une commission de 5% pour Incognito Market. Cette configuration permettait de maintenir l'anonymat des utilisateurs selon une plainte déposée par un agent du FBI en janvier 2024.

Fermeture soudaine et escroquerie

En mars, Lin a brusquement fermé le site, essayant au passage d'extorquer des frais de 100 à 2000 dollars aux utilisateurs en échange de ne pas révéler leurs informations. Un procédé quelque peu semblable aux techniques de double extorsion employées par de nombreux gangs de rançongiciels.

Pendant ses 41 mois d'activité, Incognito Market a généré des ventes de plus de 100 millions de dollars, rapportant à Lin et ses complices environ 4,2 millions de dollars en commissions.

Qui est Rui-Siang Lin ?

Ce jeune Taïwanais de 23 ans, aussi connu sous le pseudonyme "Pharaoh", supervisait tous les aspects de son site, y compris la gestion des employés et des plus de 1 000 vendeurs et 200 000 clients.

Il se présente sur son compte GitHub comme étant un “Ingénieur Backend & Blockchain, passionné de Monero”. Il possède une expertise notable en sécurité et en cryptomonnaie, avec des projets incluant des outils pour atténuer les attaques DDoS et des programmes pour accepter les paiements avec la cryptomonnaie Monero. La gestion d’une plateforme d’e-commerce telle qu’Incognito Market suggère aussi qu’il a des connaissances importantes en informatique et administration de site. Un sacré bagage technique pour un jeune cybercriminel de seulement 23 ans.

Et maintenant ?

S’il est reconnu coupable, Lin risque une peine minimale obligatoire de réclusion à perpétuité pour exploitation d'une entreprise criminelle et/ou association de malfaiteurs dans le trafic de stupéfiants, 20 ans pour blanchiment d'argent, et 5 ans pour vente de médicaments altérés et falsifiés.

L'arrestation de Lin marque une victoire majeure pour les forces de l'ordre internationales contre le trafic de drogues sur le dark web. Cette victoire est d’autant plus belle compte tenu des des compétences techniques de Lin. Elle prouve une nouvelle fois, que même les individus les plus habiles ou les plus haut placés au sein d’une organisation cybercriminelle, ne sont pas à l'abri de la justice. (cf : Dmitri Khoroshev, le patron du gang LockBit).

🤿 Plongée dans les marchés illégaux du dark web

💦 États-Unis : la sécurité du secteur de l'eau potable sous haute surveillance

Ce lundi 20 mai, l’Agence de protection de l’environnement des États-Unis (EPA) a annoncé qu’elle allait intensifier ses inspections axées sur la cybersécurité dans le secteur de l'eau. Cette déclaration fait suite à une montée alarmante des cybermenaces qui touchent les infrastructures critiques américaines depuis quelques mois (ex : VoltTyphoon, CyberAv3ngers, etc.).

Pourquoi les infrastructures américaines du secteur de l’eau représentent-elles une cible idéale pour les pirates ? D’une part, pour le caractère indispensable et vital de l’eau. Provoquer des perturbations d’approvisionnement en eau ou faire planer le risque d’empoisonnement pourrait créer la panique chez un adversaire.

D’autre part, car c’est un secteur particulièrement vulnérable aux États-Unis, où de nombreux acteurs, parfois de très petites taille, “manquent souvent de moyens et de capacités techniques pour adopter des pratiques de cybersécurités rigoureuses” comme l’écrivent Michael Regan administrateur de l’Agence de protection de l’environnement (EPA) et Jake Sullivan, conseiller à la sécurité nationale, dans une lettre adressée le 18 mars 2024 aux gouverneurs américains.

De plus, les récentes inspections de l’EPA ont en effet constaté que plus de 70% des systèmes de d'approvisionnement en eau ne respectaient pas pleinement les normes de sécurité de la loi sur la salubrité de l'eau potable (Safe Drinking Water Act, SDWA). Pire encore, certains de ces systèmes présentent même des vulnérabilités critiques en matière de cybersécurité (ie. mots de passe par défaut inchangés, connexions faciles à pirater, etc.).

🇰🇵 La Justice américaine frappe un réseau nord-coréen de faux freelances IT

Les États-Unis ont récemment démantelé une vaste opération de fraude menée par la Corée du Nord. Le 16 mai, le Département de la Justice (DoJ) a annoncé l'inculpation de 5 individus pour avoir aidé des travailleurs IT nord-coréens à usurper des identités d’américains et accéder à des emplois à distance. Ces travailleurs, envoyés dans des pays non sanctionnés comme la Chine, la Russie et des pays d’Europe de l’Est, se faisaient passer pour des citoyens d'autres pays grâce à des documents falsifiés ou des comptes achetés sur des plateformes de freelances.

Parmi les inculpés : une femme dans l’Arizona aidait les travailleurs nord-coréens en validant leurs identités volées et en hébergeant des ordinateurs portables fournis par des sociétés américaines, pour faire croire que les travailleurs se trouvaient aux États-Unis. Une fois en place, les travailleurs IT nord-coréens, souvent contraints et surveillés, profitaient de leurs accès privilégiés pour insérer des vulnérabilités ou lancer des cyberattaques contre des entreprises américaines.

Ce schéma aurait permis de rapporter des millions de dollars de salaires sous des dizaines d'identités différentes et aurait affecté plus de 300 entreprises différentes. Comme à l’habitude pour ce type d’opérations du régime, les revenus générés via ce réseau ont sans nul doute contribuer à financer les priorités du régime nord-coréen, dont ses programme balistiques et nucléaires.

⛈️ Une vulnérabilité critique menace les plateformes cloud

Une vulnérabilité critique de corruption de mémoire nommée "Linguistic Lumberjack" (CVE-2024-4323), a été découverte dans le serveur HTTP de Fluent Bit, un logiciel open source qui permet de collecter et gérer de grands volumes de données.

Cet outil très populaire, qui a notamment dépassé les 13 milliards de téléchargements sur DockerHub en mars dernier, est particulièrement privilégié dans dans des environnements basés sur le cloud pour sa capacité à collecter et traiter les données de journaux et d’événements. Fluent Bit est largement utilisé par les principaux fournisseurs de services cloud comme AWS, Google GCP et Microsoft Azure, ainsi que par des entreprises de cybersécurité telles que Trend Micro et CrowdStrike.

La vulnérabilité de corruption de mémoire découverte par les chercheurs de Tenable peut entraîner des attaques par déni de service, des fuites d'informations et potentiellement l'exécution de code à distance. Autant dire, la cata.

La vulnérabilité a été introduite dans la version 2.0.7 et persiste jusqu'à la version 3.0.3. Un correctif est disponible dans la branche principale du code source de Fluent Bit et sera officiellement disponible dans la version 3.0.4. En attendant, il est recommandé aux utilisateurs de restreindre l'accès à l'API de surveillance de Fluent Bit ou de la désactiver si elle n'est pas utilisée, et de contacter leurs fournisseurs cloud pour s'assurer que des mesures de mitigation sont en place.

🎙 Entretien avec Jean-Paul Paloméros, Général d'armée aérienne

Shakerz te fais rencontrer des experts de la cybersécurité, de l’IA et du numérique. Pour mieux comprendre.

Voici Jean-Paul Paloméros, Général d'armée aérienne. Il nous parle du cyberespace et de ses enjeux géopolitiques à l’occasion du Forum InCyber Europe à Lille.

⏭️ La majorité des grands modèles de langage (LLM) vulnérables aux techniques de jailbreak

Dans une mise à jour de mai 2024, l'Institut de Sécurité en IA britannique (AISI) a partagé les résultats d'une série de tests effectués sur 5 des principaux LLMs. Ces tests visent à tester les capacités et l’efficacité des mesures de protection de ces modèles en matière de cybersécurité, chimie et biologie.

À retenir :

👉 Garde-fous des LLM contournés dans 90% à 100% des cas.

Les 4 modèles testés se sont tous révélés être extrêmement vulnérables aux techniques de contournement de base (jailbreak).

👉 Des outils limités pour les cyberattaquants.

D'autres tests partagés dans cette mise à jour de l'AISI britannique ont montré que 4 modèles, disponibles publiquement, peuvent résoudre des défis simples de capture du drapeau (niveau lycéen), 2 modèles sont capables de résoudre de manière autonome certaines tâches à court terme (ex: problèmes d'ingénierie logicielle), mais aucun n'est actuellement capable de planifier et d'exécuter des séquences d'actions pour des tâches plus complexes.

Ces résultats suggèrent que les LLMs ne sont probablement pas, pour le moment, et pris individuellement, des outils significativement utiles pour les cyberattaquants.

Cependant, l’étude ne détaille pas le pipeline d’IA qui a été mis en place. En effet, ceux-ci peuvent combiner plusieurs LLM et les organiser en agents capables de coopérer entre eux. C’est d’ailleurs l’une des pistes pour de prochaines études de l’AISI.

🎸 “UnCrush” : la réponse cinglante de Samsung

Quand l’expression “Tirer sur l’ambulance” prend tout son sens. La semaine dernière, nous vous parlions de “Crush!”, la publicité du nouvel iPad d’Apple, qui s’est attiré les foudres des internautes, créatifs et artistes.

Face à ce tollé, Samsung et l'agence BBH ont saisi l'opportunité pour répondre en vidéo, ou plutôt se moquer d’Apple, tout en promouvant leur propre tablette, la Samsung Galaxy Tab S9 Ultra.

Intitulée "UnCrush", cette courte publicité publiée le 15 mai sur le compte X de la marque sud-coréenne, est un clin d'œil évident à la publicité d'Apple.

Pour diffuser la culture cyber et digitale, partage ce Shake autour de toi 👐

À dimanche pour la Carte Cyber ! ✌️