• Shakerz
  • Posts
  • đŸ‡«đŸ‡· L'inédite cyberattaque contre les ministères français

đŸ‡«đŸ‡· L'inédite cyberattaque contre les ministères français

Réel danger ou emballement médiatique ?

Author

Sylvan Ravinet
March 16, 2024

Nouveau ici ? Bienvenue chez Shakerz, abonne-toi pour recevoir
chaque samedi la dose de culture cyber et digitale.

Salut 👋, j’espĂšre que tu as passĂ© une bonne semaine. C’est l’heure de se plonger dans l’actu cyber et digitale, et ça secoue toujours autant !

Au programme :

  • À la une : đŸ‡«đŸ‡· Cyberattaque contre les ministĂšres français, “intensitĂ© inĂ©dite” ou emballement mĂ©diatique ?

  • đŸ‡·đŸ‡ș Du code source de Microsoft a fuitĂ©,

  • đŸ€Š Microsoft a laissĂ© consciemment une vulnĂ©rabilitĂ© zero-day non corrigĂ©e pendant 6 mois ,

  • đŸ‘č Le marchĂ© du darkweb “Ingognito” n’a aucune limite,

  • đŸ‡ȘđŸ‡ș Commission EuropĂ©enne et RGPD : faites ce que je dis, pas ce que je fais,

  • đŸ‡ș🇾 La CISA victime des vulnĂ©rabilitĂ©s Ivanti dont elle a elle mĂȘme alertĂ©,

  • En Image : 💣 Qu’est-ce qu’une attaque DDoS ?

  • Rapport : 🎯 Les PME et les ETI sont les principales victimes de cyberattaques.

đŸ‡«đŸ‡· Cyberattaque contre la France, “intensitĂ© inĂ©dite” ou emballement mĂ©diatique ?

Que s’est-il passĂ© ?

Depuis dimanche dernier, plusieurs ministĂšre français, ont Ă©tĂ© la cible d’une cyberattaque par dĂ©ni de service distribuĂ© (DDoS) d'une “intensitĂ© inĂ©dite”, selon le bureau du Premier ministre Gabriel Attal. Plusieurs sites web officiels ont cessĂ© de fonctionner durant quelques heures.

Les services du Premier ministre, plusieurs ministĂšres dont l’Économie, la Transition Ă©cologique, la SantĂ© ou la Culture, ainsi qu’une longue sĂ©rie de sites Internet, du Conseil d’Etat jusqu’aux journĂ©es du Patrimoine, ont Ă©tĂ© visĂ©s

Une cellule de crise a Ă©tĂ© activĂ©e pour Ă©valuer les risques et dĂ©ployer des contre-mesures, rĂ©duisant ainsi l'impact pour la plupart des services et restaurant l'accĂšs aux sites internet de l'État.

Qui est derriùre l’attaque ?

Le groupe Anonymous Sudan, apparu pour la premiÚre fois en janvier 2023, a revendiqué la responsabilité de ces attaques ciblant des secteurs numériques gouvernementaux.

Ce groupe, qui n’est pas nĂ©cessairement basĂ© au Soudan, s'est dĂ©jĂ  attaquĂ© Ă  la France, Ă  d'autres pays et serait motivĂ© par des positions prĂ©tendument anti-islam, et anti-russe de la part de ses victimes.

Le ministre de la Défense, Sébastien Lecornu, a récemment souligné la nécessité de renforcer la protection contre les cyberattaques, en anticipation des événements majeurs tels que les Jeux Olympiques de Paris et les élections du Parlement européen.

L’avis de Sylvan Ravinet, fondateur de Shakerz

En dĂ©but de semaine, cette “cyberattaque” par dĂ©ni de service a fait beaucoup de bruit pour pas grand chose. En effet, cette opĂ©ration n’a rien dĂ©truit, ni divulguĂ© aucune donnĂ©e. C’est l’équivalent d’un piquet de grĂšve devant une usine. Une simple nuisance s’elle ne dure pas. Et celle-ci n’a pas durĂ©.

Au contraire du vol des donnĂ©es de 43 millions de bĂ©nĂ©ficiaires, anciens et actuels, des services de France Travail (ex. Pole Emploi) Ă©galement annoncĂ© dans la semaine. Les impacts de ce vol vont ĂȘtre durables pour les personnes, potentiellement futures victimes de phishing. Et ces donnĂ©es seront trĂšs utiles Ă  tout adversaire qui en disposerait, par exemple un adversaire Ă©tatique de la France. On traite ce sujet Ă  la carte.

Parler du dĂ©ni de service sert le narratif du prĂ©sident Poutine : la presse gĂ©nĂ©rale donne une visibilitĂ© mĂ©diatique Ă  quelque chose qui relĂšve plus de l’anecdote. Au mĂȘme titre que l’on sert la cause des groupes extrĂ©mistes Ă  relayer, parfois au-delĂ  du raisonnable, les actes terroristes. Ce n’est pas Ă  proprement parler de la dĂ©information (ce dĂ©ni de service est rĂ©el) mais de la mĂ©sinformation : ce n’est pas le fait majeur de la semaine, mĂȘme s’agissant de cybersĂ©curitĂ©.

De ce fait, le vote Ă  l’AssemblĂ©e nationale pour le soutien Ă  l’Ukraine est passĂ© temporairement en second plan. Avec l’ouverture de ce contre-feu mĂ©diatique, qui dĂ©tourne l’attention du grand public, l’effet recherchĂ© est bien d’éroder un peu plus la confiance des citoyens envers leurs institutions.

A n’en pas douter, les opĂ©rations de dĂ©sinformation vont s’accentuer avec les Ă©lections europĂ©ennes et les JOP de Paris 2024, et les questions cyber vont poursuivre leur incursion dans le quotidien de chaque citoyen.

A nous, à vous, et à toutes les bonnes volontés de décoder les faits.

Sylvan Ravinet, Fondateur de Shakerz

💣 Qu’est-ce qu’une attaque DDoS ?

Qu'as-tu pensé de cette infographie ?

Connexion ou S'abonner pour participer aux sondages.

đŸ‡·đŸ‡ș Du code source de Microsoft a fuitĂ©

En janvier, Microsoft révélait avoir été espionné depuis fin novembre 2023, par Midnight Blizzard. Un groupe de pirates soutenu par service de renseignement extérieur (SVR) de la fédération de Russie, aussi sous les noms APT29, Nobelium ou Cozy Bear. Le groupe était parvenu à infiltrer les messageries électroniques de la direction de l'entreprise, y compris ceux de l'équipe de cybersécurité et d'autres fonctions essentielles.

👉 Voir le Shake du 27 janvier pour plus de dĂ©tails.

Aujourd’hui, nous apprenons dans un billet de blog publiĂ© le 8 mars, que Microsoft est confrontĂ©e depuis plusieurs semaines Ă  de nouvelles attaques Ă©manant de ce mĂȘme groupe. Midnight Blizzard utiliserait les informations volĂ©es lors de son prĂ©cĂ©dent piratage pour tenter d’obtenir des accĂšs non autorisĂ©s Ă  des rĂ©fĂ©rentiels de code source et des systĂšmes internes de l’entreprise. La formulation de Microsoft laisse Ă  penser que certaines tentatives ont Ă©tĂ© fructueuses


⚠ L’exposition de code source est particuliĂšrement dangereuse puisqu’elle peut permettre aux attaquants d’identifier plus facilement de nouvelles vulnĂ©rabilitĂ©s dans les outils de Microsoft, utilisĂ©s dans le monde entier. Affaire Ă  suivre.

đŸ€Š Microsoft a laissĂ© consciemment une vulnĂ©rabilitĂ© zero-day non corrigĂ©e pendant 6 mois

Une faille de sĂ©curitĂ© majeure dans le noyau de Windows est restĂ©e sans correctif pendant six mois, malgrĂ© la connaissance par Microsoft de son exploitation active par des cybercriminels. IdentifiĂ©e sous le nom CVE-2024-21338, cette vulnĂ©rabilitĂ© permettait aux attaquants de passer outre les barriĂšres administrateur-noyau grĂące Ă  Windows AppLocker, et de rĂ©aliser une Ă©lĂ©vation de privilĂšge afin d’obtenir les privilĂšges SYSTEM, soit des droits trĂšs Ă©levĂ©s, mais toutefois moins que des droits d’administrateur.

Cette non-réactivité de la part de Microsoft a permis au groupe Lazarus, déjà connu pour ses cyberattaques sophistiquées, de développer et déployer une version particuliÚrement insidieuse de son malware FudModule, capable d'injecter un rootkit directement dans les systÚmes ciblés.

L’entreprise Avast a mis en Ă©vidence cette faille et son exploitation par le groupe Lazarus dĂšs aoĂ»t 2023, en soumettant Ă  Microsoft une preuve de concept (PoC) dĂ©taillĂ©e. Toutefois, ce n'est qu'en fĂ©vrier 2024 que Microsoft a publiĂ© un correctif. Mieux vaut tard que jamais


đŸ‘č Le marchĂ© du darkweb “Ingognito market” n’a aucune limite

Cette affaire est folle. “Incognito Market”, un important marchĂ© noir de stupĂ©fiants a commencĂ© Ă  extorquer tous ses fournisseurs et acheteurs, en menaçant de publier des transactions en cryptomonnaies et des archives de discussions des utilisateurs refusant de payer des frais variant de 100 Ă  20 000 dollars.

La page d'accueil d'Incognito Market a été mise à jour pour inclure un message de chantage de ses propriétaires, annonçant qu'ils vont bientÎt divulguer les dossiers d'achat des vendeurs refusant de payer pour garder ces informations confidentielles. Le marché Incognito prévoit de publier l'intégralité des données, comprenant 557 000 commandes et 862 000 identifiants de transactions en cryptomonnaies d'ici fin mai.

Cette tentative d’extorsion survient peu aprĂšs que les administrateurs du marchĂ© ont apparemment rĂ©alisĂ© un “exit scam” (escroquerie de sortie en français), qui consiste grossiĂšrement Ă  partir avec la caisse. Les administrateurs on en effet empĂȘcher les utilisateurs de retirer des millions de dollars de fonds de la plateforme.

Ce double coup dur pour les utilisateurs du marchĂ© Incognito est quelque peu semblable aux techniques de double extorsion employĂ©es par de nombreux groupes modernes de rançongiciels et rappelle qu’il ne faut faire confiance Ă  personne, encore moins entre criminels.

Les “utilisateurs” criminels ou apprentis criminels d’Incognito l’ont-il bien cherchĂ© ?

đŸ‡ȘđŸ‡ș Commission EuropĂ©enne et RGPD : faites ce que je dis, pas ce que je fais

Le ContrĂŽleur europĂ©en de la protection des donnĂ©es (CEPD), l’équivalent de la CNIL Ă  l’échelle EuropĂ©enne, vient d'Ă©pingler ce lundi 11 mars, la Commission EuropĂ©enne pour son utilisation non conforme de Microsoft 365. Cela comprend notamment des services comme Word, Excel, PowerPoint, Outlook, OneDrive, Teams, ou encore SharePoint.

Le CEPD reproche Ă  la Commission EuropĂ©enne de ne pas avoir traitĂ© les donnĂ©es personnelles des citoyens europĂ©ens avec les garanties nĂ©cessaires, particuliĂšrement lors des transferts hors Union EuropĂ©enne (arrĂȘt Schrems II), et de ne pas avoir Ă©tĂ© assez explicite concernant le types de donnĂ©es Ă  caractĂšre personnel collectĂ©s et pour quelles finalitĂ©s.

Par ailleurs, ceci introduit un doute dans la robustesse des mesures prises par les services informatiques de la Commission pour protĂ©ger les donnĂ©es sensibles, quelles qu’elles soient (comme les informations clĂ©s des nĂ©gociations internationales !).

Cette mise en cause survient dans un contexte oĂč l'exĂ©cutif europĂ©en est habituellement Ă  l'avant-garde de la rĂ©gulation sur la confidentialitĂ© des donnĂ©es personnelles. La Commission EuropĂ©enne a dĂ©sormais jusqu’au 9 dĂ©cembre 2024, date butoir fixĂ©e par le CEPD, pour suspendre les flux de donnĂ©es Microsoft 365 et se mettre en conformitĂ© avec le rĂšglement.

đŸ‡ș🇾 La CISA victime des vulnĂ©rabilitĂ©s Ivanti dont elle a elle mĂȘme alertĂ©

En fĂ©vrier, des acteurs malveillants ont exploitĂ© plusieurs vulnĂ©rabilitĂ©s affectant les solutions d’Ivanti, une entreprise reconnue pour ses produits de gestion et de sĂ©curitĂ© des systĂšmes informatiques. Consciente du danger reprĂ©sentĂ© par ces failles de sĂ©curitĂ©, la CISA (agence nationale de cybersĂ©curitĂ© des USA) avait alors publiĂ© un avis de sĂ©curitĂ©.

L’information n’a pas du bien circuler en interne, puisque nous apprenons cette semaine que des pirates ont tirĂ© partie des vulnĂ©rabilitĂ©s d’Ivanti pour pirater l’agence de cybersĂ©curitĂ© amĂ©ricaine. L'agence a confirmĂ© que deux de ses systĂšmes avaient Ă©tĂ© affectĂ©s et qu'ils avaient Ă©tĂ© rapidement dĂ©connectĂ©s pour prĂ©venir toute propagation.

Le premier systÚme concernerait l'outil d'évaluation de la Sécurité Chimique, essentiels pour la sécurité des infrastructures et du secteur chimique américains et le second, permettrait aux responsables fédéraux, étatiques et locaux de partager des outils d'évaluation de la cybersécurité et de la sécurité physique.

MalgrĂ© l’attaque, la CISA se veut rassurante et prĂ©cise qu'“il n'y a aucun impact opĂ©rationnel pour le moment”. Cet Ă©vĂ©nement nous rappelle que dans le cyberespace, personne n’est Ă©pargnĂ©, pas mĂȘme les plus avertis ni mĂȘme les mieux pourvus en ressources humaines et financiĂšres.

🎯 PME et ETI : principales victimes de cyberattaques

Stoïk, le premier assureur spécialisé sur le risque cyber en Europe à destination des PME & ETI vient de publier la toute premiÚre édition de son rapport annuel sur la sinistralité cyber chez ses assurés.

À retenir :

👉 Les principales vulnĂ©rabilitĂ©s exploitĂ©es par les attaquants chez les PME et ETI en 2023 sont :

  1. L’absence d’authentification multifactorielle

  2. Les mots de passe faibles

  3. Le retard de mises Ă  jour

👉 3,87% de sinistres (incident ayant dĂ©clenchĂ© l’activation d’au moins l’une des garanties du contrat d’assurance) ont Ă©tĂ© observĂ© sur l’ensemble du portefeuille d’assurĂ©s (le nombre d’assurĂ©s est toutefois non dĂ©voilĂ©).

  • Les compromissions de boĂźtes mails reprĂ©sentent plus de 42,1% des sinistres en volume.

  • Mais ce sont bien les rançongiciels (19,4%) qui ont l’impact financier le plus important.

👉 La sauvegarde des donnĂ©es en premiĂšre ligne des cyberdĂ©fenses contre les rançongiciels

  • Dans 75% des cas de rançongiciels rencontrĂ©s, les Ă©quipes de StoĂŻk ont rĂ©ussi Ă  relancer l’activitĂ© de l’entreprise en moins d’une semaine grĂące Ă  une gestion des sauvegardes opĂ©rationnelles chez l’assurĂ©.

👉 La nĂ©gociation a aussi son rĂŽle Ă  jouer

  • En moyenne, le montant des rançons demandĂ©es aux assurĂ©s de StoĂŻk s’est Ă©levĂ© autour de 700 000 euros en 2023.

  • La nĂ©gociation avec les groupes de rançongiciel permet d’une part, de faire gagner du temps Ă  l’équipe de sĂ©curitĂ© pour intervenir et d’autre part, d’aboutir Ă  une baisse du montant de la rançon (53% du montant initial).

  • Ce qui suggĂšre malgrĂ© tout qu’un certain nombre de sinistres se sont “soldĂ©s” par le versement d’une rançon


Pour davantage d’informations sur l’état de la menace chez les assurĂ©s de StoĂŻk, voir le rapport complet.

đŸŽ” Interdiction - Ce mercredi 13 mars, la Chambre amĂ©ricaine des reprĂ©sentants (soit l’équivalent de l’AssemblĂ©e Nationale) a adoptĂ© une proposition de loi obligeant ByteDance, la maison mĂšre de TikTok, Ă  vendre l'application, faute de quoi elle serait interdite aux États-Unis.

Selon le Wall Street Journal, Bobby Kotick, ex-patron d’Activision Blizzard, serait intĂ©ressĂ© par le rachat de filiale amĂ©ricaine de TikTok qui comptabilise 170 millions d’utilisateurs.

Dans le mĂȘme temps, Donald Trump qui avait signĂ© en 2020 un dĂ©cret, jamais appliquĂ©, pour interdire le rĂ©seau social, s’est opposĂ© Ă  cette proposition de loi pourtant similaire. DerniĂšre Ă©tape avant la promulgation dĂ©finitive de la loi : le SĂ©nat.

đŸ’Ÿ ChaĂźne d’approvisionnement - AprĂšs avoir ciblĂ© rĂ©cemment les dĂ©veloppeurs avec des paquets npm malveillants, les pirates nord-corĂ©ens mĂšnent dĂ©sormais une attaque de la chaĂźne d'approvisionnement visant le dĂ©pĂŽt de logiciels open source PyPI pour les applications Python.

🧠 IA - Daniela Klette, l’une des fugitives les plus recherchĂ©es d’Allemagne depuis 30 ans, a Ă©tĂ© retrouvĂ©e en moins de 30 minutes par des journalistes grĂące au logiciel d’intelligence artificielle et de reconnaissance faciale en ligne, PimEyes.

🛡CyberrĂ©silience - Le mardi 12 mars, le Parlement europĂ©en a adoptĂ© la loi renforçant la sĂ©curitĂ© des produits numĂ©riques. Cette nouvelle rĂ©glementation “vise Ă  garantir que les produits dotĂ©s de fonctionnalitĂ©s numĂ©riques soient sĂ©curisĂ©s Ă  l'usage, rĂ©silients face aux cybermenaces et fournissent suffisamment d'informations sur leurs propriĂ©tĂ©s de sĂ©curitĂ©â€. Cette lĂ©gislation devra maintenant ĂȘtre formellement adoptĂ©e par le Conseil pour entrer en vigueur.

đŸ‡«đŸ‡· Cyberattaque - France Travail (ex-PĂŽle emploi) a annoncĂ© dans un communiquĂ© ce mercredi 13 mars, un â€œrisque de divulgation” de donnĂ©es personnelles touchant "potentiellement" 43 millions de personnes. Toutes les donnĂ©es personnelles, exceptĂ© les mots de passe et coordonnĂ©e bancaires, des personnes actuellement inscrites ou ayant Ă©tĂ© inscrites au cours des 20 derniers annĂ©es auraient Ă©tĂ© volĂ©es. D'aprĂšs Cybermalveillance.gouv.fr, le service d'assistance aux victimes de cybermalveillance, l'attaque a eu lieu entre le 6 fĂ©vrier et le 5 mars 2024. Une fourchette peu rassurante quant aux capacitĂ©s de dĂ©tection et d’investigation en vigueur chez France Travail


🧘 Ne cĂ©dons pas Ă  la panique

Que pensez-vous du format de Shakerz ?

Connexion ou S'abonner pour participer aux sondages.

Comme toujours, merci de nous avoir lu. Si tu souhaites nous soutenir, partage le shake autour de toi 👐

Passe un bon week-end et Ă  la semaine prochaine ! ✌

Reply

or to participate.