💥 Le gang LockBit est déjà de retour 💰

Salut 👋, j’espère que tu as passé une bonne semaine. C’est l’heure de se plonger dans l’actu cyber et digitale, et ça move !

Au programme :

• À la une : 👋 LockBit déjà de retour,

• 🇷🇺 Les “KremlinLeaks” mettent au jour la machine de propagande informationnelle russe,

• 🤝 Alliance mondiale contre la désinformation,

• 🔄 Dans sa dernière mise à jour, le NIST adresse les risques liés à la chaîne d'approvisionnement,

• ☁️ Les pirates russes derrière l’attaque de SolarWinds évoluent,

• En Image : 🪜 TPE/PME : 5 étapes simples pour améliorer sa cybersécurité,

• Rapport : 📈 L’utilisation accrue des API modifie le paysage des menaces.

👋 LockBit déjà de retour

C’était prévisible. Une semaine après sa prétendue chute annoncée par les autorités, LockBit est déjà de retour.

Malgré une offensive mondiale coordonnée, le rançongiciel as-a-service LockBit, a officiellement annoncé son retour dans message publié samedi sur son site “.onion” nouvellement créé sur le dark web. Cette résilience de LockBit pointe l’opération “Cronos” et plus généralement, l’efficacité des efforts internationaux visant à freiner la cybercriminalité.

Un coup porté, mais non fatal.

Pour rappel, Europol a annoncé la semaine dernière qu’une opération mondiale coordonnée entre 10 pays, le FBI, Europol et l'Agence nationale de lutte contre le crime du Royaume-Uni, a conduit à la saisie de la plateforme principale de LockBit et de 34 serveurs, ainsi qu’à l’arrestation de deux membres du groupe et au gel de centaines de comptes de cryptomonnaie liés à l'organisation criminelle.

Le succès de cette opération a été largement relayé par la presse internationale et les autorités. Les déclarations martiales du directeur exécutif adjoint des opérations d’Europol, Jean-Philippe Lecouffe, à l’encontre des affiliés de LockBit, dans une interview accordée à France Inter, témoignent de la confiance (excessive ?) des autorités au coup porté à LockBit.

C’était sans compter sur la résilience de LockBit. En dépit d'une victoire apparente, la structure de secours de LockBit serait restée intacte lors de l’opération et lui a permis une réactivation rapide. Cette résilience met non seulement en lumière l’organisation méticuleuse du groupe et l'existence de systèmes de sauvegarde robustes.

Un champ de bataille complexe.

Le récit tissé par les forces de l'ordre et les communications de LockBit dépeint un champ de bataille complexe.

Bien que les actions répressives des autorités jouent un rôle crucial dans la perturbation des activités cybercriminelles, celles-ci nécessitent d’être complétées par une approche globale incluant la prévention, la sensibilisation, et la coopération internationale.

Les gouvernements, les entreprises et les individus doivent s'unir pour renforcer les défenses collectives et individuelles, comprendre les enjeux et adopter des pratiques de cybersécurité robustes pour réduire les risques d'attaques et leurs conséquences.

🪜 TPE/PME : 5 étapes simples pour améliorer sa cybersécurité

Contrairement aux grandes entreprises, les attaques contre les petites et moyennes entreprises (PME) font rarement la une des journaux. Pourtant elles restent une menace tout autant sérieuse, avec un impact sur l’économie.

Pour adresser ce problème et aider les petites entreprises qui ne disposent pas d’un personnel informatique ou d’une équipe d’assistance, le Centre national de cybersécurité (NCSC) britannique vient de publier un guide pour aider ces acteurs à renforcer leurs défenses en matière de cybersécurité et à atténuer l’impact potentiel des attaques.

🇷🇺 Les “KremlinLeaks” mettent au jour la machine de propagande informationnelle russe

Dans une révélation captivante, les documents confidentiels connus sous le nom de "Kremlin Leaks", obtenus par le site estonien “Delfi” en collaboration avec un consortium de médias internationaux, ont mis au jour la machine de propagande informationnelle mise en place par le Kremlin.

Ces documents dévoilent une campagne massive, dotée d'un budget colossal de plus d'1 milliard d'euros, visant à influencer l'opinion publique en véhiculant une image positive du gouvernement et en glorifiant les valeurs traditionnelles de la Russie via le cinéma, les séries et les émissions de télévision.

Cet investissement massif dans cette stratégie d’influence est censée permettre au Kremlin de garantir la victoire de Vladimir Poutine à la prochaine élection présidentielle qui aura lieu le 17 mars prochain, mais pas seulement. Selon le chercheur Jeff Hawn, cité par France 24, ce plan vise surtout à diminuer la nécessité de manipuler les résultats électoraux pour ne pas risquer de mettre davantage en danger la stabilité du régime déjà échaudé par la guerre en Ukraine et la récente "rébellion" du groupe paramilitaire Wagner.

Pour en savoir plus sur les “KremlinLeaks” et les révélations inédites qu’ils contiennent, le professeur en études russes et géographie Kévin Limonier, a publié sur X un très intéressant Thread pour “comprendre comment le contrôle de l’information est devenu un enjeu de survie pour le régime Russe. Et comment cet enjeu dépend d’infrastructures cyber très spécifiques”.

🤝 Alliance mondiale contre la désinformation

Dans une démarche pionnière, les États-Unis, avec le Royaume-Uni et le Canada, ont signé un accord visant à contrer les campagnes de désinformation orchestrées par des gouvernements étrangers et espèrent que d’autres pays se joindront à leur lutte.

L'initiative vise à établir des "définitions claires" pour distinguer la manipulation de l'information des simples opinions, ce qui permettra une meilleure identification et étiquetage des opérations de désinformation. L'accord entend adresser la désinformation comme une menace à la sécurité nationale, nécessitant une réponse coordonnée des gouvernements et de la société civile.

Ce projet soulève néanmoins questions aux États-Unis, où la liberté d'expression est inscrite dans la constitution. De plus, contrairement à l'Union Européenne, qui a adopté le 17 février dernier, le Digital Services Act (DSA) et a déjà lancé des enquêtes sur les pratiques des réseaux sociaux, les États-Unis doivent naviguer dans en eaux troubles sans législation stricte régissant les entreprises de médias sociaux.

En forgeant cette alliance, les États-Unis et leurs partenaires cherchent à renforcer la résilience globale contre la désinformation, tout en respectant les principes fondamentaux de la liberté d'expression et de la presse.

🔄 Dans sa mise à jour 2.0, le NIST adresse les risques liés à la chaîne d'approvisionnement

Ce lundi 26 février, le NIST a finalisé la première grande mise à jour de son cadre de cybersécurité (CSF) depuis sa création en 2014. Cette nouvelle édition 2.0 ne concerne plus seulement les infrastructures critiques, son public cible d’origine, mais vise désormais explicitement tous les publics, les secteurs de l'industrie et les types d'organisation, indépendamment de leur degré de maturité en matière de cybersécurité.

Dans cette mise à jour, le NIST fournit une série de ressources pour aider toutes les organisations à atteindre leurs objectifs de cybersécurité, en mettant davantage l'accent sur la gouvernance et la sécurité des chaînes d'approvisionnement (”Supply Chain” en anglais).

Cette mise à jour intervient dans un contexte de multiplication des cas d’attaques de chaîne d’approvisionnement. Ce mois-ci l'aéroport international de Los Angeles a vu sa base de données contenant 2,5 millions d'enregistrements exposée par “IntelBroker” à la suite d'une cyberattaque contre l'un de ses systèmes de gestion de la relation client. Par ailleurs, les pharmacies américaines, les cliniques et les hôpitaux militaires dans le monde entier ont également été affectés par une cyberattaque chez le fournisseur de logiciels de santé “Change Healthcar” le 21 février.

Les attaques de la chaîne d’approvisionnement, autant logicielle que physique, sont monnaie courante et peuvent avoir de graves conséquences. Le fait que le NIST adresse ce problème dans la mise à jour de son cadre témoigne de l’importance de ce sujet.

👉 Infographie Shakerz : Qu’est-ce que le NIST Cybersecurity Framework ?

☁️ Les pirates russes derrière l’attaque de SolarWinds évoluent

La CISA, en partenariat avec le National Cyber Security Centre (NCSC) du Royaume-Uni et d’autres partenaires internationaux tirent la sonnette d’alarme sur l’évolution des tactiques des cyberacteurs du Service de renseignement extérieur russe (SVR), également connus sous les noms d'APT29, The Dukes, CozyBear et NOBELIUM/Midnight Blizzard.

Pour rappel, les acteurs du SVR ont visé des secteurs variés allant de la santé à l'énergie, en passant par l'éducation et la défense. Leur notoriété s'est particulièrement envolée lors du tristement célèbre piratage de la chaîne d'approvisionnement du logiciel SolarWinds en 2020.

Selon l’alerte conjointe intitulée “SVR Cyber Actors Adapt Tactics for Initial Cloud Access” publié par la CISA et le NCSC, le SVR aurait récemment adapté ses méthodes pour faire face à la modernisation et à la migration des systèmes vers le cloud.

Celui-ci ciblerait désormais les infrastructures cloud des gouvernements et des entreprises en utilisant des techniques de "password spraying" pour compromettre des comptes souvent non sécurisés par une authentification multifacteur, en exploitant des comptes dormants et contourné également l'authentification multifacteur via des techniques telles que le "MFA bombing".

Face à cette menace croissante, les agences de cybersécurité exhortent les organisations à appliquer les mesures d'atténuation décrites dans l’avis pour défendre efficacement leurs réseaux contre ces intrusions sophistiquées.

📈 L’utilisation accrue des API modifient considérablement le paysage des menaces

Basé sur les données des laboratoires de recherche et sur l'expertise d'Imperva (une filiale du groupe français Thalès) en matière de sécurité des API, ce rapport sur l'état de la sécurité des API en 2024 met en lumière la façon dont les API et leur utilisation accrue modifient considérablement le paysage des menaces.

Ce qu’on retient :

👉 Les API jouent un rôle tellement central dans la modernisation des applications que le trafic lié aux API a représenté plus de 71 % du trafic web l'année dernière.

👉 Les volumes élevés de trafic automatisé non humain sont indéniablement liés à une augmentation des attaques automatisées sur les API et appellent à des mesures de sécurité robustes pour se défendre contre les attaques de robots malveillants, DDoS et les prises de contrôle de comptes (ATO).

👉 La dépendances des entreprises en vers les API (en moyenne 1,5 milliards d’appels API vers des sites d’entreprise), engendre plusieurs défis à relever pour les entreprises : API fantômes, abus de dépendance économique, fuites de données et pénurie préoccupante de compétences en matière de sécurité des API.

👉 Avec une moyenne de 613 API par organisation, la découverte de son écosystème d'API de la part des entreprises apparaît comme une étape initiale cruciale dans la mise en place d'une posture de sécurité API robuste

👉 En raison de leur capacité à se faire passer pour du trafic normal, les attaques automatisées d’API échappent plus facilement à la détection des outils de sécurité traditionnels et représentent un défi en matière de sécurité.

🪙 Cryptomonnaie - Des cybercriminels ont volé près de 10 millions de dollars dans le portefeuille personnel de Jeffray Zirlin (ou “Johoz”), l'un des cofondateurs du jeu vidéo Axie Infinity, qui repose sur des NFT. Immédiatement après le vol, les fonds ont été transféré vers le protocole d’anonymisation Tornado Cash afin de brouiller les pistes.

🤳 Visioplainte - Dans le cadre de la modernisation des forces de l’ordre, il est désormais possible de porter plainte, par visioconférence, sans avoir besoin de se déplacer jusqu’à la police ou la gendarmerie. Le début d’une généralisation en France.

💵 Sanction - La société de cybersécurité Avast, a été condamné à payer 16,5 millions d’euros par la Commission fédérale du commerce des États-Unis (FTC) pour avoir vendu des données de navigation sur le Web à des tiers depuis au moins 2014.

🚨 Vulnérabilité - Une vulnérabilité de sécurité critique permettant à des attaquants de réaliser des injections SQL a été divulguée dans le plugin WordPress Ultimate Member qui compte plus de 200 000 installations actives. Il est conseillé aux utilisateurs de mettre à jour le plugin à la dernière version dès que possible.

🏟 La boulette - Ce lundi 26 février, à 5 mois de l’ouverture des Jeux Olympiques à Paris, un ordinateur et des clés USB appartenant à un ingénieur employé de la Mairie de Paris, contenant des plans de sécurisation des JO, ont été volés dans un train… Ces supports étaient-ils chiffrés ?

🍏 Quantique - Le 21 février, Apple a annoncé un nouveau protocole cryptographique post-quantique, nommé “PQ3”, qui sera intégré à iMessage pour sécuriser la plateforme de messagerie contre les attaques futures ayant recours un ordinateur quantique.

Comme toujours, merci de nous avoir lu. Si tu souhaites nous soutenir, partage le shake autour de toi 👐

Passe un bon week-end et à la semaine prochaine ! ✌️