🇮🇩 Indonésie : paradis des logiciels espions ?

Salut 👋, j’espère que tu as passé une bonne semaine. C’est l’heure de se plonger dans l’actu cyber et digitale, et ça remue !

Au programme :

• À la une : 🇮🇩 Indonésie : paradis des logiciels espions ?

• 👮1️0 millions pour attraper le chef du gang LockBit,

• ⛔ Fin de carrière pour Aleksanteri Kivimaki après 11 ans de cybercrimes,

• 🫵 Berlin et Prague accusent Moscou de cyberattaques,

• 🇰🇵 Espionnage Nord-Coréen : des pirates usurpent l'identité de journalistes,

• En Image : 📩 SPF, DKIM, DMARC, on fait le point !

• Interview : 🎙 Entretien avec David Grout, Directeur Technique Europe chez Google Cloud Security,

• Rapport : 📈 L’année 2023 marquée par un nombre record de violations de données.

🇮🇩 Indonésie : paradis des logiciels espions ?

L'Indonésie est-elle en train de devenir un centre névralgique pour logiciels espions et technologies de surveillance ? C’est ce qu’affirme Amnesty International dans une enquête menée en collaboration avec des médias internationaux.

Un phénomène inquiétant

Le Security Lab d'Amnesty International a découvert que des logiciels espions et d’autres technologies de surveillance provenant de divers pays, dont Israël, la Grèce, Singapour et la Malaisie, ont été vendus et déployés auprès d’entreprises et d’organismes publics en Indonésie de 2017 à 2023. La police nationale et l'agence de cybersécurité indonésienne font partie des clients.

L’enquête a permis de mettre en lumière un écosystème complexe de fournisseurs étrangers et d'intermédiaires et revendeurs basés à Singapour et en Indonésie. Parmi les fournisseurs figurent des sociétés en apparence anodines comme Cyber Technologies (liée au tristement célèbre groupe NSO, auteur de Pegasus) basé au Luxembourg, le consortium d’entreprises Intellexa, connu pour avoir développé le logiciel espion Predator ou encore Wintego Systems Ltd et Saito Tech (alias Candiru) basées en Israël.

Répercussions sur les droits humains

Amnesty International s'inquiète du commerce secret de ces logiciels espions, d'autant plus que la liberté d'expression, le droit de réunion pacifique et d'association sont déjà en danger en Indonésie.

En effet, bien que l’Indonésie ait ratifié le Pacte international relatif aux droits civils et politiques (PIDCP) et reconnaisse les droits cités ci-dessus, elle ne s’est pas dotée pour autant, de lois qui encadrent spécifiquement l’utilisation des logiciels espions et autres technologies de surveillance. Par conséquent, ces technologies prolifèrent rapidement dans le pays pour cibler la société civile et les journalistes.

Amnesty International appelle à une interdiction permanente des logiciels espions hautement intrusifs et à un moratoire sur leur vente, leur transfert et leur utilisation, jusqu'à ce qu'un cadre réglementaire adéquat soit en place pour protéger les droits fondamentaux.

👮 10 millions pour attraper le chef du gang LockBit

Ce serait lui : Dimitry Yuryevich Khorosev. Le ressortissant russe serait le principal développeur et administrateur du groupe de ransomware Lockbit. Il encourt une peine maximale de 185 ans de prison et une amende de 250 000 dollars. Une récompense de 10 millions est promise par le FBI pour les informations pouvent mener à sa capture.

Khorosev fait désormais l’objet de sanctions de la part des autorités de Grande-Bretagne, des Etats-Unis et d’Australie : saisies d’avoirs financiers et interdiction de voyager. Selon Europol, le groupe a fourni l’infrastructure pour mener 7 000 attaques entre juin 2022 et février 2024. Les 5 pays les plus touchés ont été les Etats-Unis, la Grande-bretagne, la France, et la Chine. Ces attaques ont été menées par 194 affiliés qui ont bénéficié des services de Lockbit. Une liste des noms d’utilisateur de 68 affiliés a été diffusée.

Après des mois d’inativité apparente, le célèbre groupe de rançongiciel LockBit venait de faire son grand retour. Parmi la masse d’informations divulguées, plus de 60 Go de données médicales et personnelles volées lors de la cyberattaque du centre hospitalier “Simone Veil” de Cannes le 16 avril dernier, ont été publiées la semaine dernière. Car l’établissement a refusé de payer la rançon. Cet hopital rejoignait la centaine d’hopitaux et d’établissements de santé victimes du gang. Cette violation de données fait craindre de nouveaux risques d’usurpation d’identité et de phishing ciblé à partir des données divulguées.

Pour l’heure, LockBit serait donc toujours en activité suite au coup porté par les autorités en début d’année. En effet, en février, une opération policière nommée "opération Cronos” avait perturbé les activités du groupe de rançongiciel LockBit. Les forces de l’ordre de plusieurs pays, dont la France, avait réussi entre autres, à fermer son site principal ainsi que 34 serveurs. 

Cependant, l’expert en cybersécurité animateur du compte X (ex. twitter) VX-underground aurait pu s’entretenir avec des membres du groupe LockBit concernant le retour de l'ancien domaine. Le gang affirme que les forces de l'ordre mentent. Le groupe a publié un article le 9 mai, affirmant que le FBI se trompe et que Dimitry Khorosev ne fait pas partie du groupe. Une probable tentative pour brouiller les pistes.🫵 Berlin et Prague accusent Moscou de cyberattaques

L’Allemagne et la République Tchèque ont récemment accusé des pirates russes, soutenus par Moscou, d’être responsables de cyberattaques ayant ciblé des institutions européennes ou des élus, notamment le parti du chancelier allemand Olaf Scholz, entre 2022 et 2023​.

Le groupe de pirates russes connu sous le nom de “Fancy Bear” (ou APT28), affilié au service de renseignement militaire russe, aurait ciblé des gouvernements, des infrastructures critiques et des organisations géopolitiques, en exploitant des vulnérabilités dans des logiciels populaires comme WinRAR​ et Microsoft Outlook, pour mener des attaques de phishing contre des cibles de haute valeur en Allemagne, en République tchèque, et dans d'autres pays européens​.

Le ton monte. L'Union européenne et l'OTAN ont réagi rapidement en condamnant fermement ces cyberattaques. Elles se sont également toutes les deux déclarées “déterminées” à prendre des mesures pour prévenir et dissuader de telles activités malveillantes. En particulier celles qui ciblent les infrastructures critiques, sapent la cohésion sociale et influencent les processus démocratiques. Le chef de la diplomatie européenne.

Le chef de la diplomatie européenne, Josep Borrell, a averti que de tels comportements ne seront pas tolérés, en particulier à la veille des élections européennes et dans plus de 60 pays dans le monde. De son côté, Moscou s’est contenté de démentir ces accusations par la voix de son chargé d’affaires de l’ambassade de Russie à Berlin.

⛔ Fin de carrière pour Aleksanteri Kivimaki après 11 ans de cybercrimes

L'un des cybercriminels les plus recherchés d'Europe, Aleksanteri Kivimaki, alias “Zeekill”, a récemment été condamné à plus de 6 ans de prison pour le piratage en 2020 de dizaines de milliers de dossiers de patients suivis dans le centre de psychothérapie finlandais Vastaamo. Il a été reconnu coupable de ”violation de données aggravé” et de ”tentative d’extorsion aggravée”.

Cette affaire, qualifiée de “la plus importante” jamais vue en Finlande par la cour, avait entrainé la divulgation publique des données et des dossiers d’environ 33 000 patients. Outre la rançon exigée auprès de l’entreprise, Kivimaki était même allé jusqu’à envoyer des e-mails de chantage à de nombreux patients pour tenter de les extorquer.

L'emprisonnement de Aleksanteri Kivimaki vient mettre un terme à 11 ans de cybercrimes qui ont commencé lorsqu’il n’avait seulement que 13 ans. Membre dès son plus jeune âge des groupes de pirates Lizard Squad et Hack the Planet, Kivimaki a réalisé des dizaines de cyberattaques (Playstation Network, Xbox Live, etc.) jusqu'à ce qu'il soit arrêté à l'âge de 17 ans en 2014 et jugé coupable de 50 700 infractions de piratage. Il ne sera cependant pas emprisonné.

Après son attaque contre Vastaamo, il aura fallu près de deux ans à la police finlandaise pour recueillir les preuves nécessaires à la délivrance d’un avis de recherche d'Interpol. Alors considéré comme l'un des criminels les plus recherchés d'Europe, il sera finalement arrêté par hasard à Paris en février 2023, puis extradé vers la Finlande.

🇰🇵 Espionnage Nord-Coréen : des pirates usurpent l'identité de journalistes

Dans un avis de sécurité conjoint publié la semaine dernière, le FBI, la NSA, et le département d'État des États-Unis mettent en garde contre les activités d’ingénierie sociale du groupe de pirates nord-coréens “Kimsuky” qui usurpent l'identité de journalistes et d'experts en exploitant des failles dans les protocoles de sécurité des e-mails (DMARC).

Ce type de campagne est conçu pour fournir au régime de Pyongyang des renseignements stratégiques sur les événements géopolitiques et les stratégies de politique étrangère de pays perçus comme une menace politique, militaire ou économique, tels que les États-Unis et la Corée du Sud, ont souligné les agences.

💡 DMARC, c’est quoi ? Les protocoles DMARC fournissent des instructions au serveur de messagerie récepteur sur la manière de traiter un e-mail après avoir vérifié les enregistrements SPF et DKIM d'un domaine expéditeur. En fonction du résultat de cette vérification, l’e-mail est alors classé comme spam, bloqué ou livré dans la boîte de réception du destinataire. Cette approche vise à aider les propriétaires de domaines de messagerie électronique à protéger leur domaine contre une utilisation abusive.

Cependant, il arrive souvent que ces protocoles soient mal configurés offrant ainsi des opportunités aux attaquants. C’est ce qu’il s’est passé dans cette campagne. Certains e-mails frauduleux envoyés par des acteurs nord-coréens ont réussi à se faire passer comme légitimes en contournant ces politiques DMARC, qui étaient soit trop faibles, soit trop permissives, plutôt que d'être strictes.

📩 SPF, DKIM, DMARC, on fait le point !

Nota: la mise en oeuvre de ce schéma de principe peut varier selon les configurations des serveurs d’email.

🎙 Entretien avec David Grout, Directeur Technique Europe chez Google Cloud Security

Le 26, 27 et 28 mars dernier, Shakerz était présent au Forum InCyber Europe à Lille pour donner la parole aux experts de la cybersécurité, de l’IA et du numérique. Pour mieux comprendre l’essentiel.

On continue cette série de portraits avec David Grout, Directeur Technique Europe chez Google Cloud Security qui nous parle du concret des menaces.

📈 L’année 2023 marquée par un nombre record de violations de données

La 17ème édition du rapport annuel sur les violations de données de Verizon est sorti. Il fait partie des rapports à ne pas manquer en cybersécurité. L’année 2023 a été marquée par un nombre record de violations, plus de 10 000, avec des victimes dans 94 pays. Avec ce rapport, Verizon souhaite identifier les tendances dans les schémas d'attaque et fournir des informations pour aider les lecteurs dans le paysage des cybermenaces.

À retenir :

😄 Commençons par la bonne nouvelle. Selon Verizon, le taux de signalement des e-mails de phishing par les utilisateurs continue d’augmenter cette année encore, qu'ils aient ou non cliqué sur un lien potentiellement malveillant. Cela suggère que de moins en moins d’utilisateurs appréhendent de signaler au risque de se tromper et c’est plutôt positif.

😩 La mauvaise nouvelle maintenant. Parmi ceux qui n'ont pas cliqué sur le lien, 80% d'entre eux ne l'ont pas signalé. Parmi ceux qui ont cliqué sur le lien, 89% d'entre eux ne l'ont pas signalé après coup ! La route est encore longue avant que ce réflexe soit adopté par une majorité d’utilisateurs.

👉 L'exploit de vulnérabilités comme vecteur d'accès initial à une violation a augmenté de 180% en 2023. Soit presque que 3 fois plus qu’en 2022. Cette activité a été en partie alimentée par la vulnérabilité MOVEit et plusieurs autres exploits zero-day utilisés par les acteurs de rançongiciel.

👉 En analysant le catalogue des vulnérabilités exploitées connues de la CISA, Verizon a identifié qu’il fallait environ 55 jours pour remédier à 50% de ces vulnérabilités critiques une fois que leurs correctifs sont disponibles. Un retard dangereux qui indique que les défenseurs doivent réagir plus rapidement.

👉 68% de toutes les violations ont impliqué un élément humain non malveillant, qui a été victime d'une attaque d'ingénierie sociale ou a commis une erreur. Cela suggère t-il qu’il faille sensibiliser davantage, que les formations de sensibilisation existantes sont inefficaces ou finalement que la manière de gérer le facteur humain doit être complètement repensée ?

👉 Sans surprise, 15% des violations ont impliqué un tiers en 2023. Soit une augmentation de 68 % par rapport à 2022. Ces violations pourraient potentiellement être atténuées si les organisations sélectionnaient des fournisseurs ayant de meilleurs antécédents en matière de sécurité.

🥳 Le Nokia 3210 s’offre une nouvelle jeunesse

C’est une information qui devrait ravir les nostalgiques. 25 ans après sa sortie, HMD Global, la société détentrice de la marque Nokia pour les téléphones et les tablettes, préparerait un "remake" du très emblématique téléphone Nokia 3210.

Le distributeur finlandais Giganti a confirmé cette information, indiquant que le téléphone serait dévoilé le 8 mai prochain et commercialisé le 15. Voici un aperçu de son nouveau design :

Comme toujours, merci de nous avoir lu. Si tu souhaites nous soutenir, partage le Shake autour de toi 👐

Passe un bon week-end et à la semaine prochaine ! ✌️