Salut 👋, voici ton digest du digital et de la cyber pour cette semaine.

À la une :

🕷 Scattered Spider : le groupe de cybercriminels continue d’agir en toute impunité,

Décode l’actu :

🚀 La CISA lance un service de cybersécurité pour protéger les infrastructures critiques américaines,

⚖️ Les cybercriminels franchissent une nouvelle étape en dénonçant leurs victimes auprès des autorités,

🚨 La vulnérabilité Citrix Bleed exploitée par LockBit 3.0 suscite l'inquiétude mondiale,

👹 Quand le défenseur se trouve être aussi l’attaquant,

On t’explique tout ça plus bas.

Retrouve le mag :

🛡 Infographie : Qu’est-ce que MITRE D3FEND ?

🎯 Les PME : moins protégées et plus ciblées que les grandes entreprises,

🌎 Le monde en 2024 selon les prédictions de The Economist,

🍋 Et des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau.

〰️ La reco du barman 〰️

🕷 Scattered Spider : le groupe de cybercriminels agit en toute impunité

Mais que fait le FBI ?

Malgré l’identification, réalisée par les services de renseignements, les équipes d’investigation informatique et les autorités fédérales, des membres du groupe de pirates Scattered Spider, ce gang persiste à attaquer des entreprises américaines. En toute impunité.

D’autant plus que des rapports récents confirment que les autorités fédérales américaines connaissent l'identité du groupe depuis plus de six mois sans qu’aucune arrestation n’ait eu lieu. Il est aussi connu sous de multiples noms tels que The Com, Muddled Libra, UNC3944, Starfraud ou encore Octo Tempest.

Cette situation soulève des interrogations concernant l’efficacité du FBI a mettre un terme aux activités du groupe à l’origine des piratages récents de MGM Resorts et Caesars Entertainment, complexes de casinos et d’hôtels. Certains experts, dont Michael Sentonas, président de CrowdStrike, considère même que cette inaction provoque des “ravages” et reflète un échec évident des forces de police.

D’autres experts du secteur de la cybersécurité, tel que Casey Ellis, fondateur de Bugcrowd, soupçonnent que les services de police traditionnels, comme le FBI, ont du mal à s'adapter aux “acteurs de la menace plus chaotiques et moins structurés" dont Scattered Spider fait partie.

Pour l’heure, les autorités fédérales (FBI et CISA) se sont contentées de publier le 16 novembre, un avis conjoint sur Scattered Spider, fournissant des indicateurs de compromission (IoC) et des informations supplémentaires pour donner aux équipes de sécurité des entreprises les moyens de se défendre. Un réponse visiblement insuffisante.

Comment Scattered Spider procède t-il ?

Au fil du temps, les membres du groupe Scattered Spider ont perfectionné leurs compétences en ingénierie sociale. Ils appellent désormais les services d'assistance informatique pour réinitialiser les identifiants et s'emparer de comptes vérifiés leur permettant d'infiltrer les environnements ciblés.

Cette méthode a été récemment exploitée avec succès pour compromettre MGM Resorts, provoquant une paralysie des opérations pendant plus d’une semaine, occasionnant des pertes de plusieurs centaines de millions de dollars. De plus, le groupe est également parvenu à pénétrer dans le casino Caesars et a rapidement obtenu le paiement d'une rançon de 15 millions de dollars.

Les analystes de Microsoft, ont de leur côté, révélé que Scattered Spider (ou “Octo Tempest” selon la convention de nommage de Microsoft) n’hésitait pas à utiliser la peur et l’intimidation comme moyen de pression supplémentaire pour inciter les victimes à payer. Les chercheurs soulignent que ces cybercriminels utilisent des informations personnelles, telles que l'adresse du domicile et le nom de famille, ainsi que des menaces physiques pour forcer les victimes à divulguer leurs informations d'identification et accéder aux systèmes de l'entreprise.

Pas à leur premier coup d’essai

Repéré pour la première fois en 2022 lors de l'utilisation du kit d'hameçonnage Oktapus, conçu pour voler des informations d'identification, Scattered Spider a ensuite évolué en effectuant avec succès des attaques d’échanges de cartes SIM, et ainsi prendre le contrôle de lignes téléphoniques mobiles.

Cependant, son apogée semble avoir été atteinte en ce milieu de l'année 2023, moment où il a pris une tournure inattendue en devenant un franchisé du fournisseur de rançongiciel as-a-service (RaaS) BlackCat, également connu sous le nom d'ALPHV.

〰️ En image 〰️

🛡 Qu’est-ce que MITRE DEFEND ?

La semaine dernière nous vous présentions la matrice MITRE ATT&CK qui répertorie les tactiques, les techniques et les procédures utilisées par les attaquants à chaque étape d'une cyberattaque. Cette semaine, on passe du côté des défenseurs avec MITRE D3FEND.

〰️ Vos shots 〰️

🚀 La CISA lance un service de cybersécurité pour protéger les infrastructures critiques

L’agence de cybersécurité américaine (CISA) a récemment dévoilé un programme pilote visant à offrir des services de cybersécurité aux entités d'infrastructures critiques. Le directeur adjoint exécutif pour la cybersécurité, Eric Goldstein, a souligné dans un billet de blog, l'urgence de contrer les cyberattaques qui ont considérablement affecté les opérations des organisations critiques.

Le programme pilote, déjà opérationnel, inclut le déploiement dans les organisations, du système de protection des noms de domaine de la CISA, autrefois uniquement accessible aux agences civiles fédérales. Ce système est '“une solution éprouvée et rentable qui utilise les renseignements sur les menaces du gouvernement américain et des entreprises pour empêcher les systèmes de se connecter à des domaines malveillants connus ou présumés”. Il aurait, depuis 2022, permis de bloquer près de 700 millions de tentatives de connexion d'agences fédérales à des domaines malveillants dans le monde entier.

La CISA prévoit d'étendre ce programme à 100 entités différentes au cours de la première année, couvrant des secteurs tels que les soins, la santé, l'eau et l'éducation.

Au Danemark, la récente annonce d’une cyberattaque, attribuée à la Russie, d’un grand nombre des acteurs des infrastructures critiques du pays, a permis de mettre en lumière le service de supervision qui est réalisé, pour le compte de l’Etat, par le Sektor-Cert. Celui-ci supervise près de 270 sondes de cybersécurité réparties dans les infrastructures critiques du pays. Et il s’est avéré efficace. Un modèle que le CISA semble vouloir suivre, mais bien tardivement.

En France, pour le moment on n’y est pas. Même si des sondes réseau, opérées par l’Etat, sont prévues dans le cadre de la LPM, loi qui impose des règles de sécurité sur les infrastructures critiques, les grandes entreprises refuseraient leur installation.

⚖️ Les cybercriminels franchissent une nouvelle étape en dénonçant leurs victimes auprès des autorités

Le groupe de rançongiciel BlackCat aussi connu sous le nom d’ALPHV, a franchi une nouvelle étape en déposant pour la première fois une plainte auprès de la Securities and Exchange Commission (SEC) des États-Unis.

Cette démarche inhabituelle vise à dénoncer les entreprises refusant de coopérer avec les cybercriminels. La cible récente, MeridianLink, société de prêts basée en Californie, a refusé de payer la rançon après avoir subi une attaque le 7 novembre dernier. En représailles, les pirates ont divulgué des données sensibles et ont déposé une plainte à la SEC pour non-divulgation de la violation.

Alors que la SEC examine la plainte, l'incident soulève des préoccupations quant à la sécurité des entreprises refusant de se plier aux demandes de rançon et à l'utilisation abusive des processus légaux par les cybercriminels. Les experts avertissent que le retard actuel dans la notification des incidents de cybersécurité pourrait favoriser les pirates et soulignent l’urgence de mettre en oeuvre une réglementation plus stricte en matière de notification des incidents de cybersécurité. Ce que, à son niveau, le Department of Financial Services, à New York City, vient de faire avec la récente mise à jour, début novembre, de sa réglementation “NY DFS CRR 500”.

🚨 La vulnérabilité Citrix Bleed exploitée par LockBit 3.0 suscite l'inquiétude mondiale

Ces derniers jours, les chercheurs, fournisseurs et agences de sécurité multiplient les alertes à l'échelle mondiale concernant l'exploitation par le ransomware LockBit 3.0 de la faille Citrix Bleed (CVE-2023-4966), pourtant corrigée par Citrix le mois dernier.

Les entreprises qui manquent de réactivité dans leur processus de mise à jour et qui n’ont, par conséquent, pas encore actualisé leurs systèmes “NetScaler ADC” et “Gateway”, sont des cibles privilégiées de LockBit 3.0, qui exploite activement la vulnérabilité.

La dernière victime notable en date n’est autre que le géant de l’aéronautique et de l’aérospatial Boeing, dont 43 Go de données (principalement des sauvegardes d’une de ses business units) ont été rendues publiques par LockBit suite au refus de payer la rançon il y a une dizaine de jours.

Le 21 novembre, le CISA, le FBI, le MS-ISAC et l'ASD ACSC ont publié conjointement des informations détaillées sur les techniques utilisées par LockBit 3.0 pour exploiter cette vulnérabilité. En France, le CERT-FR alerte depuis le 23 octobre les entreprises françaises détentrices de “Netscaler ADC” et “Gateway”, et a confirmé ce mercredi 22 novembre, que des campagnes d'exploitation massives sont en cours pour déployer le rançongiciel. Les entreprises sont exhortées à appliquer rapidement les correctifs de Citrix.

👹 Quand un défenseur passe du côté noir de la force

Vikas Singla, PDG de la société de cybersécurité Securolytics d'Atlanta, a plaidé coupable pour avoir orchestré une série d'attaques ayant causé un préjudice financier d’environ 800 000 dollars au Gwinnett Medical Center en Géorgie. Sa condamnation doit être annoncée le 15 février 2024 prochain.

Les attaques, menées en septembre 2018, avaient entraîné des dommages sur 10 ordinateurs, la mise hors ligne de plus de 200 téléphones, le vol d’informations de santé de 300 patients et l’envoi de commandes à plus de 200 imprimantes réseau pour qu'elles impriment les données des patients obtenues accompagnées du message “We Own You” (ou “nous vous possédons”).

L’orchestration de cette série d’attaques a été uniquement motivée par le gain financier et dans l’unique but d’obtenir de nouveaux contrats. Quelques jours après l’incident, Singla s’était servi de la publicité autour de la cyberattaque pour envoyer des emails à plusieurs clients potentiels pour leur proposer les services de Securolytics.

〰️ Dégustation 〰️

🎯 Les PME : moins protégées et plus ciblées que les grandes entreprises

Le présent rapport “Mission PME & Cybersécurité” de Campus Cyber dresse un état des lieux de la situation actuelle en matière de cybersécurité des PME françaises. Il explore les diverses dimensions de cette problématique, des implications économiques et sociales aux mesures législatives et politiques en place. Ce document vise à éclairer les décideurs, les responsables de la sécurité informatique et les acteurs du domaine sur les meilleures pratiques et stratégies à adopter pour renforcer la résilience des PME dans un paysage numérique en constante évolution.

À retenir :

1. Augmentation des risques de cybersécurité dû à la pandémie : La pandémie de COVID a considérablement augmenté notre dépendance aux outils numériques, entraînant une augmentation des risques cyber. À titre d’exemple, les attaques par rançongiciel ont quadruplé entre 2019 et 2020​​.

2. Impact des cyberattaques : Les cyberattaques ont des conséquences variées, notamment économiques, sociales et humaines. Elles peuvent coûter de dizaines de milliers à plusieurs millions d'euros et perturber gravement la vie quotidienne, comme l'interruption des opérations d'un hôpital ou la perte de données personnelles​​.

3. Vulnérabilité des petites entreprises : Selon le rapport, les petites et moyennes entreprises (PME), fortement dépendantes de la technologie numérique mais souvent mal préparées aux risques cyber, sont particulièrement vulnérables. 56 % des PME ont subi au moins un cyber-incident, et 50 % de celles qui sont touchées font faillite dans les 18 mois suivant une attaque​​.

4. Le ciblage bascule, des grandes entreprises vers les PME : On note un changement notable dans les attaques vers les PME moins protégées. Cela est dû à leurs ressources financières limitées, à un manque de sensibilisation sur l'étendue des menaces, et à la difficulté de naviguer dans des solutions de cybersécurité complexes​​.

5. Renforcement de la législation pour la protection des PME : Les législations française et européenne sont renforcées pour encourager et imposer des mesures de cybersécurité dans les PME. D'ici octobre 2024, la directive européenne NIS2 sera intégrée dans le droit français, renforçant la cybersécurité des acteurs les plus faibles et de la chaîne d'approvisionnement​​.

6. Politiques françaises axées sur les acteurs sensibles et publics : Les politiques de cybersécurité françaises se sont principalement concentrées sur la protection des entités sensibles et publiques. Le développement des CSIRT régionaux et l'initiative GIP ACYMA sont des étapes vers l'offre d'un soutien spécialisé aux PME en cas de cyberattaques.

7. Besoin de coordination dans les solutions de cybersécurité : Bien que de nombreux acteurs se soient organisés pour répondre aux enjeux de la cybersécurité, la pléthore de solutions disponibles est souvent désorganisée et complexe, en particulier pour les PME inexpérimentées. Une meilleure coordination est nécessaire pour passer de la prise de conscience du risque à la mise en œuvre effective d'outils de sécurité numérique​​.

8. Risque de crise majeure : Une réponse collective est urgente car un risque de crise majeure existe. Une attaque massive des PME pourrait provoquer une perturbation sans précédent des activités économiques et sociales du pays​​.

9. Plan pour une sécurité renforcée des entreprises françaises : Michel Van den Berghe, président du Campus Cyber, a été chargé en décembre 2022 par le ministre Jean-Noël Barrot de développer un plan pour une meilleure sécurité des TPE, PME et ETI françaises. Ce plan s'est appuyé sur des consultations avec des acteurs des secteurs public et privé et une analyse de modèles de sept pays​​.

10. Recommandations pour l'amélioration de la cybersécurité : Parmi les recommandations, il y a la nécessité de rendre plus compréhensibles les premières étapes vers la sécurisation des PME, d'étendre l'initiative "MonAideCyber" de l'ANSSI pour les PME moins matures, et de créer un marché national de prévention du risque cyber pour les PME. Ce marché centraliserait des outils et des services adaptés à la taille, à la localisation et au secteur d'activité de chaque PME, et proposerait des diagnostics, des systèmes de notation, des services de sensibilisation et de réaction, des formations en ligne et des formations à la gestion de crise.

〰️ À La carte 〰️

🎶 Ça s’en va et ça revient - Après avoir été licencié par son conseil d’administration le vendredi 17 novembre de son poste de CEO d’Open AI, Sam Altman, a finalement réintégré la tête de l’entreprise ce mercredi 22 novembre, suite aux pressions exercées par les investisseurs, et, ce qui est nouveau, les collaborateurs. En effet, dans la foulée de son éviction, le co-fondateur et président d'OpenAI, Greg Brockman, avait annoncé sa démission. Tous deux devait rejoindre Microsoft pour diriger une nouvelle équipe de recherche sur l’intelligence artificielle. Mais ce n’est pas tout. Dans une lettre publiée lundi, plus de 730 des 770 employés de la start-up, avaient également menacé de démissionner et de rejoindre Microsoft si Sam Altman ne réintégrait pas son poste.

🇫🇷 Assemblée nationale - Le 18 novembre, le collectif d'hacktivistes “KromSec” a mené une cyberattaque contre l'Assemblée nationale française, ne réussissant qu'à extraire des données limitées telles qu'une liste de visiteurs officiels et des adresses e-mail. L'étendue exacte de la fuite n'est pas encore évaluée, et les motivations précises de “KromSec”, un groupe actif contre plusieurs régimes autoritaires, restent floues.

🆕 Fonctionnalité - Google Chrome teste une nouvelle fonctionnalité permettant de partager des mot de passe à sa famille. Cette fonctionnalité, actuellement en test sur la dernière version Canary de Chrome, où sont déployées les nouveautés en avant première, soulève des inquiétudes en matière de sécurité. Car pour le moment, une fois partagés, les accès ne peuvent être révoqués qu'en changeant le mot de passe.

📚 Rançongiciel - La British Library a confirmé que la panne majeure subit au début du mois a été causée par une attaque de rançongiciel. Après l’attaque, la bibliothèque s'est retrouvée privée entre autres, de son site web, de son catalogue numérique, de son wifi. Trois semaines après l'attaque, le site web de la bibliothèque est toujours hors ligne et il faudra encore compter quelques semaines pour restaurer de nombreux services. Les auteurs de la variante du rançongiciel Rhysida, ont revendiqué l’attaque et ont déclaré détenir des “données uniques et impressionnantes”, dont les enchères débutent à 20 bitcoins, soit environ 677 000 euros au cours actuel.

🏥 Guide - La CISA a récemment publié un Guide d'atténuation pour le secteur des soins de santé et de la santé publique, offrant des recommandations de stratégies défensives et de bonnes pratiques pour contrer les cybermenaces dans ce secteur particulièrement critique.

🚨 Vulnérabilité - Intel a publié en urgence un correctif pour la vulnérabilité “Reptar” récemment découverte dans la plupart de ses processeurs modernes. La faille présente un risque élevé d'escalade des privilèges, permettant à un attaquant authentifié d'accéder à des informations sensibles ou de déclencher un crash du système. Intel recommande une mise à jour immédiate des systèmes vulnérables.

📏 Trigonométrie - L'équipe de renseignements sur les menaces KrakenLabs d'Outpost24, fournisseur de plateforme d'évaluation de la sécurité, a découvert une nouvelle technique avancée, présente dans l’infostealer “LummaC2 v4.0”, utilisant la trigonométrie pour distinguer les utilisateurs humains des outils d'analyse automatisés et ainsi échapper à la détection dans les environnements de bac à sable.

〰️ Digestif 〰️

🌎 Le monde en 2024 selon les prédictions de The Economist

The Economist a lancé The World Ahead, son traditionnel numéro spécial annuel de fin d'année qui explore les thèmes, les tendances et les événements importants qui façonneront l'année 2024. La version papier sera disponible dans les kiosques du monde entier à partir du 29 novembre

En attendant, les dix principaux thèmes de l'éditeur pour l’année à venir et les articles qui les accompagnent sont en ligne.

Votre Shake de l'actu cyber et digitale vous attend chaque samedi !

Vous avez un avis ou une question ? Répondez simplement à cet e-mail, nous serons ravis de vous lire !

Aidez-nous à faire grandir la culture numérique responsable. Partagez avec vos proches.

Un ami vous a transféré cette édition ? Pour nous soutenir, vous pouvez-vous abonner 👇👇👇

“Shake it, share it”