🇮🇱🇵🇸 La guerre Israël-Hamas est aussi dans le cyberespace

Salut 👋, voici ton digest du digital et de la cyber pour cette semaine.

À la une :

🇮🇱🇵🇸 Le conflit israélo-palestinien a aussi des répercussions dans le cyberespace,

Décode l’actu :

🕵 “Predator Files” : les coulisses du logiciel espion Predator,

📺 Des milliers de propriétaires de boîtiers de streaming TV Android infectés par un vaste réseau de fraude,

😰 Aux USA, la FTC révèlent les inquiétudes des consommateurs concernant l’IA,

On t’explique tout ça plus bas.

Retrouve le mag :

💸 2,7 milliards de dollars perdus à cause d'escroqueries sur les réseaux sociaux depuis 2021,

🍋 Et des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau.

〰️ La reco du barman 〰️

🇮🇱🇵🇸 La guerre Israël-Hamas est aussi dans le cyberespace

Alors que le monde entier retient son souffle face à l'escalade du conflit entre Israël et le Hamas, déclenchée par l'attaque surprise du Hamas contre Israël samedi dernier, une guerre parallèle, la cyberguerre, moins médiatisée mais tout aussi cruciale, se déroule silencieusement dans le cyberespace. Des groupes d'hacktivistes pro-palestiniens et pro-israéliens se sont affrontés et s’affrontent toujours en ligne pour déstabiliser les infrastructures de leurs ennemis respectifs.

L’application Red alert attaquée par des pirates informatiques palestiniens

En parallèle du conflit physique en cours entre Israël et le Hamas, le groupe de pirates informatiques pro-palestiniens “AnonGhost”, a lancé une cyberattaque contre l'application RedAlert. Une application destinée à diffuser des alertes en temps réel lorsque des roquettes, des mortiers ou des missiles sont tirés sur Israël depuis la région de Gaza. L’information a été confirmée dans un tweet de la société de cybersécurité Group-IB, basée à Singapour.

De plus, l'impact de cette attaque ne s'est pas limité aux fausses alertes de missiles. Selon les informations des analystes de Group-IB, AnonGhost a également diffusé de faux messages concernant une prétendue “attaque à la bombe nucléaire” contre Israël, ajoutant ainsi une dimension encore plus alarmante à la situation déjà chaotique dans le pays.

De nombreux groupes de menace se joignent au conflit

Depuis le début du conflit le 7 octobre dernier, plus d'une douzaine de groupes de menace ont annoncé leur intention de lancer des attaques perturbatrices visant Israël, la Palestine et leurs partisans. Parmi ces groupes figurent des noms tels que Killnet, Anonymous Sudan, Team Insane, Mysterious Team Bangladesh et Indian Cyber Force. Des acteurs en partie liés à la Russie.

Les conséquences de ces attaques sont déjà palpables. Anonymous Sudan a rapidement réagi aux premiers tirs de roquettes du Hamas en ciblant également les systèmes d'alerte d'urgence en Israël, désactivant ainsi des applications d'alerte. Le groupe a également visé le Jerusalem Post, principal quotidien anglophone d'Israël.

D’autre part, le Sylhet Gang a visé le centre médical Sourasky de Tel Aviv, provoquant des perturbations opérationnelles, un groupe pro-Hamas nommé Cyber Av3ngers a revendiqué une intrusion réussie dans l'infrastructure du réseau électrique israélien, tandis que le groupe Killnet, lié à la Russie, a pris pour cible des sites web gouvernementaux israéliens.

Des groupes palestiniens tels que Ghosts of Palestine et Libyan Ghosts ont quant à eux appelé des pirates du monde entier à attaquer des infrastructures en Israël et aux États-Unis, tandis que ThreatSec, un groupe pro-israélien, prétend avoir compromis l'infrastructure du fournisseur d'accès Internet basé à Gaza, AlfaNet.

Bien que dans la plupart des cas, ces hacktivistes ont recours à des attaques par déni de service distribué (DDoS) pour provoquer des perturbations, “considérer ces groupes comme de simples symboles serait une erreur” selon Callie Guenther, responsable principal de la recherche sur les menaces pour Critical Start. Dans un contexte de guerre moderne, où “les domaines physique et numérique sont profondément imbriqués […] leurs opérations peuvent apporter des avantages tactiques, servir de distraction ou même être utilisées pour la collecte de renseignements stratégiques”, ajoute Callie Guenther.

〰️ En image 〰️

💸 2,7 milliards de dollars perdus à cause d'escroqueries sur les réseaux sociaux depuis 2021

Dans son rapport intitulé “Social media: a golden goose for scammers” la Federal Trade Commission (FTC), organisme américain de protection du consommateur, indique que les victimes de fraudes sur les plateformes de médias sociaux ont perdu la somme astronomique de 2,7 milliards de dollars entre janvier 2021 et juin 2023. Ce montant dépasse de loin les pertes signalées sur les autres canaux de contact.

〰️ Vos shots 〰️

🕵 “Predator Files” : les coulisses du logiciel espion Predator

Moins connu que Pegasus, le très célèbre logiciel espion de NSO, d’ailleurs basé en Israël, le logiciel espion Predator n'en est pas moins redoutable. Une enquête mené par le laboratoire de sécurité d’Amnesty International, utilisant des données du réseau European Investigative Collaboration (EIC), a révélé une envergure industrielle derrière le logiciel espion Predator Mobile.

Ces révélations mettent en lumière la manière dont les acteurs à l'origine du logiciel espion Predator, le diffusent pour cibler les appareils Android et iOS. L'analyse, détaillée dans le rapport “Predator Files”, se concentre principalement sur l’alliance Intellexa, reconnue comme le principal fournisseur de Predator.

À l’image de son concurrent Pegasus, Predator permet des attaques intrusives en ayant un accès complet au micro, à la caméra et aux données de l'appareil infecté. Entre février et juin 2023, au moins 50 comptes de 27 personnes et 23 institutions ont été ciblés sur les réseaux sociaux. Les cibles comprennent des personnalités politiques, des journalistes, et des membres de la société civile dans plusieurs pays, dont l'Union européenne, les États-Unis et l'Asie.

L'alliance Intellexa, prétendant être soumise à la réglementation européenne, a été impliquée dans la vente de ce logiciel espion dans au moins 25 pays, avec des conséquences préjudiciables pour les droits de l'homme, la liberté de la presse et les mouvements sociaux. Amnesty International appelle à une interdiction mondiale des logiciels espions hautement intrusifs et demande aux États de révoquer les autorisations de commercialisation de l'alliance Intellexa.

📺 Des milliers de propriétaires de boîtiers de streaming TV Android infectés par un vaste réseau de fraude

En janvier dernier, l’analyste en sécurité Daniel Milisic découvrait qu'un boîtier de streaming Android TV bon marché était infecté par un logiciel malveillant dès son déballage. Alors qu’on pouvait s’attendre à un cas isolé, cette découverte n’est en réalité que la partie immergée de l’iceberg.

Cette semaine, des chercheurs en sécurité de Human Security ont identifié au moins huit nouveaux modèles de ces appareils corrompus, tandis que plus de 200 autres appareils Android pourraient également être touchés. Ces boîtiers bon-marché sont vendus en ligne et dans des magasins non identifiés, principalement aux États-Unis.

Dans leur rapport, les chercheurs indiquent avoir découvert que ces boîtiers étaient fabriqués en Chine, où des portes dérobées étaient ajoutées avant leur commercialisation. Une fois connectés, ces appareils se mettaient alors en contact avec des serveurs en Chine et téléchargeaient des instructions pour des activités frauduleuses (fraude publicitaire, vente d'accès à des réseaux résidentiels, création de comptes Gmail et WhatsApp frauduleux, et l'installation de code à distance).

Bien que des mesures aient été prises pour enrayer certaines de ces activités frauduleuses, les boîtiers infectés sont toujours présents dans de nombreux foyers et réseaux d’entreprises et d’écoles. Pour se prémunir contre ce type d’infection, quel que soit l’appareil, les consommateurs sont invités à toujours se tourner vers des marques de confiance.

😰 La FTC révèlent les inquiétudes des consommateurs concernant l’IA

Le 3 octobre, la Federal Trade Commission (FTC) a publié un article intitulé “Consumer Worries Regarding AI”, dans lequel elle explore les préoccupations des consommateurs liées à l'intelligence artificielle (IA) signalées via son réseau Consumer Sentinel Network. Ces inquiétudes peuvent être regroupées en trois catégories principales.

Comment l’IA est conçue. En raison des quantités massives de données nécessaires pour entraîner les modèles, l’IA soulève des préoccupations concernant la protection des consommateurs et la concurrence. Notamment en matière de droits d'auteur, de protection intellectuelle et de données biométriques.

Comment l’IA travaille et interagit avec les utilisateurs. Comme la précision des modèles d'IA dépend d'un certain nombre de facteurs, tels que les données d'entrée, les techniques d'entraînement et le contexte de déploiement, certains résultats présentent des biais, des erreurs, et même parfois des "hallucinations" (fausses informations). Certains utilisateurs se plaignent même de l'absence de mécanismes de recours contre les décisions prises par des produits basés sur l'IA et l’impossibilité de faire appel à un humain (ex : bannissement d’un service par une IA, incapacité à contacter un service clientèle avec un humain).

Comment l’IA est appliquée dans le monde réel. Bien que l’IA peut être un formidable outil au service de causes nobles, celle-ci est malheureusement de plus en plus utilisée à des fins malveillantes pour des escroqueries sophistiquées, dont des e-mails de phishing, des fraudes sentimentales et financières, ainsi que des escroqueries basées sur le clonage de voix.

Ces préoccupations reflètent les défis croissants liés à l'IA et à son impact sur la vie quotidienne des consommateurs.

〰️ Dégustation 〰️

📉 Forte diminution du délai d’infection des rançongiciels : le délai médian est désormais inférieur à 24 heures

La 7ème édition du rapport “State of the Threat” de Secureworks, offre un examen approfondi des changements survenus dans le paysage mondial des menaces de cybersécurité au cours de l'année écoulée. Le rapport est basé sur les observations de l'unité de lutte contre les menaces (CTU) de Secureworks concernant les outils et les comportements des acteurs de la menace, y compris les incidents réels.

À retenir :

• Les rançongiciels restent la principale menace pour les organisations.

  • Le nombre d'attaques a dépassé les normes historiques, en particulier après un ralentissement temporaire suite à l'invasion de l'Ukraine.

  • Le temps qui s'écoule entre l'accès initial et la livraison d'une charge utile de ransomware a considérablement diminué pour atteindre une moyenne de seulement 24 heures contre 4,5 jours l'année précédente et 5,5 jours l'année d'avant.

  • L’année 2023 pourrait devenir une année record pour les attaques de ransomware, avec une fréquence et une vitesse de déploiement accrues.

• Les attaques de la chaîne d'approvisionnement contre les fournisseurs offrent aux acteurs de la menace un impact important avec un effort relativement minime.

  • Cette année, de nombreux acteurs, dont des groupes parrainés par l'État nord-coréen et des opérateurs de rançongiciel, ont mené d'importantes attaques contre la chaîne d'approvisionnement.

• L'activité des Infostealer (logiciels malveillants voleurs d’informations) a connu une augmentation notable, principalement en raison de son adoption par les affiliés des gangs de rançongiciels.

  • Les informations d'identification volées sont devenues tout aussi importantes que les méthodes de balayage et d'exploitation pour préparer le terrain aux attaques de rançongiciels.

  • Selon les auteurs du rapport, cela souligne l'importance pour les organisations de surveiller activement les forums clandestins à la recherche de données volées.

• L'utilisation des téléchargements "drive-by" comme méthode de diffusion de logiciels malveillants est également en augmentation.

  • Gootloader et SocGholish, deux souches importantes de logiciels malveillants, sont souvent distribuées à l'aide de cette méthode par l'intermédiaire de sites web compromis.

• La désactivation par défaut, par Microsoft, des macros dans les documents provenant d'Internet a poussé les acteurs de la menace à se renouveler pour diffuser leurs logiciels malveillants.

  • Pour compenser, ils se sont de plus en plus tournés vers des fichiers Microsoft OneNote malveillants et des types de fichiers conteneurs tels que ISO.

• L'IA reste pour l’instant un outil de soutien aux acteurs de la menace plutôt qu’une catégorie de menace entièrement nouvelle.

  • Les preuves concrètes de l'utilisation de l'IA par les acteurs de la menace se trouvent principalement dans le Phishing et les robots Telegram.

  • Toutefois, l'intérêt croissant des acteurs de la menace suggère qu'ils pourraient bientôt développer des applications plus sophistiquées et plus dangereuses.

• Il est essentiel d’appliquer les correctifs des logiciels.

  • L’exploitation des vulnérabilités reste l’une des principales méthodes d’accès initiales utilisée par les groupes de menace parrainés par des États et les cybercriminels.

• Les activités de menace soutenues par des États continuent d'être motivées par des objectifs politiques.

  • En synthèse, la Russie se focalise sur la guerre en Ukraine, la Corée du Nord se concentre sur le vol de devises, l'Iran vise à supprimer l'opposition et la Chine est principalement engagée dans le cyberespionnage.

〰️ À La carte 〰️

🧨 Cyberattaque - Le groupe de pirates informatiques connu sous le nom de "Scattered Spider", notoirement connu pour avoir ciblé de grandes sociétés de casinos lors de brèches récentes, est maintenant soupçonné d'avoir mené une cyberattaque contre The Clorox Company, une entreprise américaine de produits d'entretien. Cette attaque a entraîné une pénurie nationale des produits de nettoyage de la société. Ce groupe a également été associé à des cyberattaques récentes contre Caesars Entertainment Inc. et MGM Resorts International, dont nous avons parlé.

⚠️ Zero-Day - Une vulnérabilité Zero-Day (CVE-2022-48505) a été identifiée dans les systèmes macOS d'Apple, permettant à des acteurs malveillants d'exécuter du code au nom d'une application Apple légitime. Bien qu'Apple ait attribué un score de gravité moyenne (5,5), l’analyste a souligné que le problème n'était toujours pas résolu dans macOS et qu'il nécessitait davantage d'attention.

⛑️ Droit de la guerre - Le Comité international de la Croix-Rouge (CICR) a émis pour la première fois des directives à l'intention des pirates informatiques actifs dans les zones de guerre, rapporte de la BBC. Le comité y rappelle notamment l'interdiction des attaques contre les hôpitaux.

🧒 Enquête - Une enquête menée par la National Cybersecurity Alliance (NCA) et CybSafe auprès de plus de 6 000 personnes aux États-Unis, Royaume-Uni, Canada, Allemagne, France et Nouvelle-Zélande, révèle que “Les natifs du numérique sont deux fois moins susceptibles que les générations plus anciennes de penser que la cybersécurité en vaille la peine […] Si elles ont le plus accès à la cyberformation (56 % de la génération Z et 50 % des milléniaux), les jeunes générations sont plus susceptibles d'être victimes de cybercriminalité”. De la à dire que l’effort sur les formations et sensibilisations est généralement inefficace, il n’y a qu’un pas…

🔥 Licenciements - La société Brave, reconnue pour son navigateur web axé sur la protection de la vie privée, a annoncé le licenciement d’environ 9 % de ses effectifs. Bien que le nombre de personnes concernées n’a pas été précisé, l’entreprise a motivé sa décision le climat économique difficile.

Cette annonce fait echo à celle de la licorne française, Ledger, spécialiste de la sécurisation des actifs numériques (blockchain), qui a annoncé, il y a quelques jours, se séparer de 12% de ses effectifs en raison des conditions de marché difficiles.

🫵 Menace - Thierry Breton, le Commissaire européen au numérique a menacé ce mardi 10 octobre, Elon Musk, PDG de Twitter/X, de sanctions, si celui-ci ne lui fournissait pas des explications dans les 24 heures concernant la propagation de fausses informations et de contenus violents liés au conflit en Israël. Le milliardaire s’est contenté de lui répondre à sa façon, bravache, dans un tweet/X “Notre politique est que tout soit ouvert et transparent, une approche que je sais soutenue par l’UE. Merci de dresser la liste des violations auxquelles vous faites allusion sur X, afin que le public puisse les voir. Merci beaucoup”.

🎣 Phishing - L’exploitation de la fonction Smart Links de Linkedin Sales Navigator par les cybercriminels revient à la mode selon l’entreprise spécialisée dans la sécurité des emails, Cofense. Le 11 octobre, l’entreprise a publié un rapport concernant une récente campagne qui s'est déroulée entre juillet et août 2023, et lors de laquelle les cybercriminels ont employé pas moins de 80 Smart Links et 800 objets d'emails différents pour tenter de prendre le contrôle de comptes Microsoft.

〰️ Digestif 〰️

🤕 Prenez des nouvelles de vos proches !

En cyber comme pour bien d’autres domaines, les apparences peuvent être trompeuses.

Ce mardi 10 octobre avait lieu la Journée mondiale de la santé mentale. À cette occasion, le club de football anglais Norwich City a publié une vidéo très puissante qu’on vous conseille de regarder. 🫶

Votre Shake de l'actu cyber et digitale vous attend chaque samedi !

Vous avez un avis ou une question ? Répondez simplement à cet e-mail, nous serons ravis de vous lire !

Aidez-nous à faire grandir la culture numérique responsable. Partagez avec vos proches.

Un ami vous a transféré cette édition ? Pour nous soutenir, vous pouvez-vous abonner 👇👇👇

“Shake it, share it”