🏭 Les alertes sur des vulnérabilités d’infrastructures critiques se multiplient

Salut 👋, voici ce qu’on te propose de retenir du digital et de la cyber cette semaine.

À la une :

🏭 Les alertes sur des vulnérabilités d’infrastructures critiques se multiplient,

Décode l’actu :

📱 T-Mobile, à nouveau victime d’une violation de données,

🇺🇸 Les États-Unis toujours dépendants à la surveillance numérique,

🍏 Apple vient de publier son premier patch de sécurité rapide,

✔️ La CISA demande d’exclure certains fournisseurs étrangers,

On t’explique tout ça plus bas.

Retrouve le mag :

☁️ 92% des entreprises ont connu au moins un incident de sécurité lié à des API,

📈 Le nombre d'attaques de phishing a augmenté de plus de 47 % en 2022,

🍋 Des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture !

Signé - Aurélien, Sylvan et toute la Shakerz core team

〰️ La reco du barman 〰️

🏭 Les alertes sur des vulnérabilités d’infrastructure se multiplient

Le 2 mai, c’était le tour de l’équipementier Mitsubishi Electric. Son produit “MELIPC” permet la collecte et l’analyse des grandes quantités de données produites par les unités de production industrielle.

La vulnérabilité identifiée peut causer le déni de service de cet équipement de sa gamme de “Factory Automation Products”. Utilisé par exemple dans les usines de production automobile. Et cette vulnérabilité peut être exploitée par un attaquant peu expérimenté.

Mais il y a plus grave

Aqueducs, pipelines, postes de transformation d’électricité, postes d’aiguillage, tunnels routiers, stations de traitement de l’eau. Ce sont les cas d’application de l’unité de contrôle industrielle fabriquée par le Slovène INEA. Autant dire beaucoup d’infrastructures critiques.

Voici à quoi ressemble la bête. Elle permet de contrôler à distance un processus industriel. C’est pratique : par le réseau mobile, par cable réseau ethernet, et par USB.

Le problème ?

C’est encore une alerte de la CISA. Un attaquant serait en mesure, à distance, d’exécuter le code de son choix sur ces équipements critiques. Que ce soit un activiste ou un hacker affilié à la Russie, personne ne le souhaite.

Cela ne s’arrête pas là, en avril, 28 vulnérabilités ont été identifiées par la CISA, touchant particulièrement l’équipementier allemand Siemens.

En Europe, la directive NIS2 vise à réhausser le niveau de sécurité des activités classées comme essentielles et importantes. Nos sociétés humaines reposent sur ces entités, publiques et privées, qui interviennent sur ces secteurs tels que l’eau, le traitement des eaux usées, l’énergie, les transports.

Autant de secteurs qui utilisent justement l’équipement de la société INEA, ou d’autres équipements encore trop souvent vulnérables.

☁️ 92% des entreprises ont connu au moins un incident de sécurité lié à des API

〰️ Vos shots 〰️

📱 L’opérateur T-Mobile “Oops, I did it again”

T-Mobile a révélé ce lundi 1er mai avoir été victime d'une deuxième violation de donnée cette année. Les pirates ont réussi à accéder aux codes PIN des comptes et à d'autres données affectant 836 clients entre le 24 février et le 30 mars.

Les informations exposées comprenaient des noms, des numéros de téléphone, des numéros de compte, des numéros de sécurité sociale, des ID gouvernementaux et des dates de naissance. Les codes PIN ont été réinitialisés lorsque l'entreprise a découvert la faille le 27 mars.

Bien que l’attaque puisse sembler dérisoire en nombre de clients affectés, c’est tout de même grave. Car n’est pas la première fois que T-Mobile est victime d’une violation de données. Et c’est là le cœur du problème. Cet incident est le neuvième depuis 2018 selon un décompte de TechCrunch, et le second cette année.

En janvier dernier, T-Mobile a signalé qu'une intrusion s'était produite en novembre 2022, permettant à des “mauvais acteurs” d'accéder aux données de 37 millions de clients. L'entreprise n'a découvert cette faille que le 5 janvier, selon TechCrunch.

🇺🇸 Les États-Unis toujours dépendants à la surveillance numérique

Le dernier rapport annuel du bureau du directeur du renseignement national américain (ODNI) sur la transparence statistique montre une augmentation continue de l'utilisation de la surveillance de la sécurité nationale en vertu de la section 702 de la FISA, ainsi qu'un non-respect continu des garanties demandées par le Congrès.

Pour rappel, la section 702 de la loi Foreign Intelligence Surveillance Act (FISA) autorise le gouvernement américain à effectuer une surveillance ciblée de personnes étrangères situées hors des États-Unis, avec l'aide obligatoire des fournisseurs de services de communication électronique.

En Europe, c’est l’existence de la FISA américaine qui justifie notamment l’arrêt Schrems II de la Cour de Justice de l’Union Européenne (16 juillet 2020). Celui-ci invalide le régime de transfert de données personnelles entre l’UE et les USA.

Selon le rapport, en 2022, le FBI aurait continué d'interroger les bases de données de la section 702 environ 119 000 fois et de faire fi de l'obligation d'obtenir une ordonnance d'un tribunal avant certaines requêtes. La communauté du renseignement des USA continue également d'obtenir des documents commerciaux en vertu de la loi PATRIOT, bien qu'elle soit caduque depuis 2020. Le nombre d'identifiants uniques (email, numéro de téléphone, etc.) collectés grâce à cette disposition a doublé en 2022.

🍏 Apple vient de publier son premier patch de sécurité “rapide”

Auparavant, lorsqu’une vulnérabilité était détectée dans l’un des produits de la marque à la pomme, il fallait attendre la sortie d’une mise à jour logicielle pour voir cette vulnérabilité être corrigée.

Depuis quelques semaines, la politique de fonctionnement des patchs de sécurité d’Apple a été modifiée et permet désormais d’appliquer des patchs de sécurité rapides, également appelés “Rapid Security Response”, indépendamment des mises à jour logicielles.

Le premier “RSR” vient d’être déployé, sous le nom de baptème “iOS 16.4.1 (a)”. Il vient corriger une ou plusieurs failles critiques sur tous les iPhones compatibles avec iOS 16.4.1. Cela inclut tous les smartphone depuis l’iPhone 8, jusqu’à l’iPhone 14 Pro Max. Comme à son habitude, Apple n’a pas dévoilé de détails concernant la ou les failles en question pour ne pas laisser l’opportunité à des acteurs malveillants d’exploiter la vulnérabilité avant que tous les appareils soient protégés.

Contrairement aux mises à jour logicielles, ces patchs de sécurité n’apportent (normalement) pas de problèmes d’instabilité. Il est donc recommandé de ne pas désactiver l’installation automatique de ce type de mise à jour.

✔️ La CISA demande d’exclure des fournisseurs étrangers sur liste noire

Alors que le mois national de l'intégrité de la chaîne d'approvisionnement touche à sa fin, la CISA, agence de cybersécurité américaine, rappelle aux propriétaires et aux opérateurs d'infrastructures critiques de prendre les mesures nécessaires pour sécuriser les chaînes d'approvisionnement les plus importantes du pays.

La Commission fédérale des communications tient à jour une liste des équipements et services de communication présentant un risque pour la sécurité nationale, et la CISA invite les organisations à intégrer cette liste dans leurs efforts de gestion des risques liés à la chaîne d'approvisionnement. À ce jour, cette liste contient majoritairement des équipements ou services chinois tels que ceux de Huawei, mais aussi la société russe Kaspersky.

En outre, les entreprises sont également encouragées à suivre les recommandations fournies dans la ressource conjointe de la CISA et du NIST, Defending Against Software Supply Chain Attacks, qui fournit des conseils sur l'identification et l'atténuation des risques à l'aide du cadre de gestion des risques de la chaîne d'approvisionnement cyber du NIST.

Dans cet effort de maîtrise des risques sur la chaîne d’approvisionnement logicielle, la CISA vient aussi de publier un appel à commentaires pour un formulaire d’attestation de sécurité des logiciels.

〰️ Dégustation 〰️

📈 Le nombre d'attaques de phishing a augmenté de plus de 47 % en 2022

Déjà le vecteur d’attaque le plus populaire, le phishing a continué son ascension en 2022 avec une augmentation du nombre d’attaques de 47% par rapport à 2021. C’est ce qu’indique un nouveau rapport de Zscaler ThreatLabz, basé sur l’analyse de 280 milliards de transactions quotidiennes et 8 milliards d’attaques bloquées.

Alors que les attaques liées au Covid19 déclinent, les attaquants cherchent maintenant à exploiter de nouvelles opportunités, telles que les programmes de remboursement de dettes, le marché de l'emploi et l’intelligence artificielle.

À retenir :

• Les attaques de phishing ont connu une hausse de 47,2 % en 2022 par rapport à 2021.

• Les outils d'IA ont considérablement contribué à cette croissance en réduisant les obstacles techniques et en permettant aux cybercriminels de gagner du temps et des ressources.

• L'éducation est le secteur le plus ciblé, avec une augmentation de 576 % des attaques, tandis que le commerce de détail et de gros, la cible principale de l'année précédente, a vu une baisse de 67 %.

• Les attaquants ont développé leur champ d'action en utilisant désormais l'hameçonnage par messagerie vocale (Vishing) et l'hameçonnage par SMS (SMiShing).

• Les États-Unis, le Royaume-Uni, les Pays-Bas, la Russie et le Canada sont les cinq pays les plus ciblés. La France occupe la 8ème position.

• Les marques de Microsoft telles que OneDrive et SharePoint, la plateforme d’échange de cryptomonnaies Binance et les services de streaming illégaux ont été les plus visés en 2022.

• Les attaques liées au COVID représentaient 7,2 % des escroqueries de phishing en 2021, contre seulement 3,7 % en 2022.

• Les attaques sophistiquées de type Adversary-in-Middle (AiTM) permettent aux attaquants de contourner les mesures de sécurité de l'authentification multifactorielle (MFA).

• Les escroqueries de recrutement visant les demandeurs d'emploi sont de plus en plus fréquentes.

〰️ Cul sec - La question 〰️

🕴 Quelle est la principale responsabilité du FBI en matière de cybersécurité ?

A - Enquêter et lutter contre la cybercriminalité

B - Organiser des tournois annuels de CTF (Capture The Flag)

C - Fournir une expertise technique et des capacités pour suivre et neutraliser les menaces cyber

D - Développer des partenariats public-privé pour partager les ressources de cybersécurité.

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

🏆 Succès - Depuis l'acquisition d'Android en 2005, Google a déclaré avoir bloqué la publication de 1,43 million d'applications violant les règles sur le Google Play Store. De plus, Google a également mis fin à l'activité de plusieurs développeurs malveillants et a suspendu plus de 173 000 comptes, empêchant ainsi des transactions frauduleuses ou abusives pour un montant total de 2 milliards de dollars.

🔙 Comeback - ChatGPT est de nouveau disponible en Italie depuis le vendredi 28 avril. Selon Reuters, OpenAI aurait répondu aux exigences de la “CNIL italienne” en matière de confidentialité et protection des données.

🐝 Ça pique ! - Le géant de l'assurance santé Medibank a annoncé ce mardi 2 mai qu'il prévoyait de subir une perte de 45 millions de dollars en raison de la cyberattaque ayant entraîné le vol de données personnelles de plus de 10 millions de citoyens australiens en octobre dernier.

🥉Troisième place - Selon l’outil de mesure statistique de StatCounter, Microsoft Edge vient d’être relégué à la troisième place des navigateurs web les plus utilisés au monde, derrière Safari d’Apple. Google Chrome, qui occupe la première place, est encore et toujours très loin devant. En France, c’est Firefox qui occupe la deuxième place, suivi de près par Edge.

🤪 Humiliation - Le 26 mars dernier, Western Digital, un fabricant de dispositifs de stockage numérique, signalait que ses systèmes avaient été compromis par le rançongiciel BlackCat. Depuis, la relation entre les acteurs du rançongiciel et l’équipe d’intervention en cas de cyber incident de Western Digital est devenue extrêmement personnelle. Il y a quelques jours, BlackCat a piraté la vidéoconférence de l’équipe d’intervention destinée à discuter de la récente attaque de rançongiciel contre l'entreprise. Le groupe de rançongiciel a ensuite publié une image de la réunion de l'équipe avec pour légende “les meilleurs chasseurs de menaces que Western Digital a à offrir”.

🤝 Coopération - Google et Apple ont présenté conjointement une proposition de spécification industrielle visant à lutter contre l'utilisation abusive des dispositifs de géolocalisation Bluetooth à des fins de suivi non désiré. Cette spécification devrait permettre aux appareils de géolocalisation Bluetooth d'être compatibles avec la détection et les alertes de suivi non autorisé sur les plateformes Android et iOS.

🔄 Mise à jour - Google a annoncé ce mardi 2 mai, le déploiement dans les jours et semaines à venir de la version stable de Chrome 113 sur Mac, Windows et Linux. Outre des mises à jour de sécurité, cette nouvelle version de chrome actuellement en beta intègrera le WebGPU, censé donné un énorme coup de boost aux performances graphiques du navigateur web.

🚗 Sens interdit. Joseph Sullivan, ancien responsable de la sécurité d'Uber. Il a été condamné cette semaine à trois ans de probation et 50 000 dollars d'amende pour avoir dissimulé une violation de données en 2016. L'attaque avait compromis les informations de 57 millions d'utilisateurs et de chauffeurs Uber. Sullivan avait payé les pirates et rédigé de faux contrats de non-divulgation pour étouffer l'affaire. Il a également menti à la nouvelle direction d'Uber lorsqu'elle a enquêté sur l'incident en 2017. La vérité a finalement été signalée à la Federal Trade Commission. Le FBI a mené l'enquête aboutissant à la condamnation de Sullivan.

〰️ Cul sec - Réponse 〰️

Réponse A - Enquêter et lutter contre la cybercriminalité

La principale mission cyber du FBI est d’enquêter sur diverses formes de cybercriminalité, notamment les intrusions informatiques, les rançongiciels, les attaques par déni de service distribué (DDoS), les violations de données, le cyberharcèlement et le vol de propriété intellectuelle.

Les réponses C & D sont également justes mais moins importantes. Bien évidemment le champ d’action du FBI sur les sujets cyber ne s’arrête pas à ces 3 propositions. Ils peuvent également être amenés entre autres à analyser et diffuser des renseignements sur les cybermenaces, à neutraliser les cyber-menaces, à sensibiliser à la cybersécurité et à assister les victimes de cyberattaques.

〰️ Digestif 〰️

Pourquoi les robots battront toujours les humains au jeu du Morpion ✖️⭕

Les robots ont visiblement bien assimilé l’expression “Thinking outside the box”…

Merci d’être passé ! Rendez-vous samedi prochain pour ton nouveau Shake de l’actu cyber et digitale ! 👋

L’équipe travaille dur. 👉 On a besoin de ton soutien pour diffuser à tous la culture de sécurité et responsabilité digitale.

Rejoins Shakerz, abonne-toi pour recevoir la newsletter hebdo. Tu aimes les Shake et tu veux en faire profiter tes potos ? Alors… 👇👇👇

Des questions ou un avis à partager ? C’est simple, il suffit de répondre à cet email et d’envoyer tes quelques lignes.

“Shake it, don’t fake it”