🔒💰 LockBit, touché et coulé ? 🍸

Salut 👋, j’espère que tu as passé une bonne semaine. C’est l’heure de se plonger dans l’actu cyber et digitale, et ça remue !

Au programme :

• À la une : 🚫 LockBit, touché mais probablement pas coulé

• 🇮🇱🇵🇸 Le conflit israélo-palestinien sous influence

• 📲 Le groupe NSO nous révèle encore de “belles” surprises

• 🚨 28 500 serveurs Microsoft Exchange sous la menace d’un zero-day

• ✈️ Cyberattaque en plein vol

• 🇨🇳 I-Soon, la fuite qui révèle que Pékin a les yeux partout

• En Image : 🎵 TikTok au cœur de toutes les attentions

• Rapport : ⏳️ Rançongiciels : la majorité des entreprises ne parviennent pas à s’en remettre en moins de trois jours

🚫 LockBit, touché mais vraiment coulé ?

Dans le paysage des rançongiciels, LockBit occupe la première place. Considéré comme le groupe le plus prolifique et destructeur de ces deux dernières années, LockBit vient de subit un coup majeur.

Ce mardi 20 février, dans un effort de lutte contre la cybercriminalité à l'échelle mondiale, Europol a annoncé qu’une opération policière internationale baptisée “Cronos” et engageant les forces de l'ordre de dix pays, dont la France, a infligé un coup sévère à l'organisation criminelle LockBit.

Cette opération d'envergure qui a durée plusieurs mois, a été dirigée par l'Agence Nationale de Criminalité du Royaume-Uni et coordonnée par Europol et Eurojust au niveau européen. Elle a abouti à la saisie de la plateforme principale de LockBit et de 34 serveurs disséminés en Europe et aux États-Unis. En outre, l’opération a également permis l’arrestation de deux membres de LockBit et le gel de plus de 200 comptes de cryptomonnaie liés à l'organisation criminelle.

Dans une interview accordée à France Inter, Jean-Philippe Lecouffe, le directeur exécutif adjoint des opérations d’Europol, est revenu sur l’opération :

Le succès de cette opération souligne une nouvelle fois l’importance de la collaboration internationale pour combattre la cybercriminalité. Cependant, bien que la nouvelle soit réjouissante, la question de l'impact réel de cette intervention sur le groupe et sa capacité à se rétablir demeure ouverte.

🎵 TikTok au cœur de toutes les attentions

La loi européenne la plus redoutée de la Big Tech, le Digital Services Act, est entré en vigueur le 16 février. La Commission Européenne peut désormais appliquer des sanctions très dissuasives aux opérateurs et plateformes en ligne trop laxistes en matière de désinformation et protection des données.

3 jours seulement après l’entrée en application de la loi, TikTok fait déjà les frais d’une procédure autour de la protection des mineurs. L’application est en effet jugée trop addictive et pas assez regardante concernant la vérification de l’âge de ses utilisateurs.

🇮🇱🇵🇸 Le conflit israël-hamas sous influence

Selon un rapport récent basé sur l'analyse des menaces du Groupe d'analyse des menaces (TAG) de Google sur les cyberattaques dans le contexte du conflit Israël-Hamas, l'Iran, le Hezbollah et le Hamas ont orchestré une campagne de cyberattaques et d'opérations d'influence contre Israël.

Dans son rapport, Google révèle une escalade significative et un changement de tactique notable dans l'usage du cyberespace en période de conflit.

Contrairement à ce qui a pu être observé lors de l'invasion russe en Ukraine, où les cyberattaques étaient étroitement liées aux actions militaires, le conflit Israël-Hamas a vu quant à lui, une utilisation différente et plus concentrée des cyberopérations, notamment sur les réseaux sociaux, pour saper le soutien de l’opinion publique à Israël et propager de fausses informations.

Ce rapport illustre clairement que les opérations cyber sont devenues des outils de premier choix dans les conflits armés contemporains, offrant un moyen moins risqué et plus économique de soutenir la guerre, sans confrontation directe.

📲 Le groupe NSO nous révèle encore de “belles” surprises…

NSO Group, mondialement connu pour son logiciel espion Pegasus et l’affaire du même nom, a récemment été associé à une méthode d’espionnage jusqu'alors inconnue dénommée "Empreinte MMS" (“MMS Fingerprinting” en anglais). Cette méthode aurait notamment été utilisée par NSO pour infiltrer, avec Pegasus, les appareils mobiles des personnes ciblées.

Cette méthode, révélée par un chercheur de l'entreprise suédoise de télécommunications et de cybersécurité Enea, permet d'extraire au nez et à la barbe de l’utilisateur, des informations critiques sur son appareil mobile et son système. Et ce, sans aucune interaction de sa part, et sans que celui-ci ne s’en rende compte.

La découverte a été faite lors de l'analyse de documents judiciaires d'un litige datant de 2019, entre l'autorité ghanéenne de régulation des télécommunications d’un côté et WhatsApp et NSO Group de l’autre. C’était dans un contrat, et le chercheur a mené des tests pour en vérifier la faisabilité.

Bien qu'aucune preuve d'exploitation active de cette technique n'ait été trouvée jusqu'à présent (en dehors de sa mention dans des contrats clients de NSO group), sa mise en évidence soulève de sérieuses préoccupations quant à la sécurité des communications mobiles. Cette nouvelle méthode ouvre également la porte à des exploitations ciblées, adaptant les attaques aux spécificités de chaque appareil.

🚨 28 500 serveurs Microsoft Exchange sous la menace d’un zero-day

Une vulnérabilité zero-day (CVE-2024-21410) susceptible d'affecter jusqu'à 97 000 serveurs Microsoft Exchange, est actuellement activement exploitée par des pirates. Cette vulnérabilité, a été corrigée par Microsoft le 13 février, dans son Patch Tuesday mensuel.

Les serveurs Exchange, essentiels pour la communication et la collaboration en milieu professionnel, offrent des services de messagerie, de calendrier, de gestion des contacts et des tâches. La vulnérabilité en question permet à des acteurs non authentifiés d'exécuter des attaques de relais NTLM (attaque de type Man In The Middle) sur les serveurs Exchange et d’élever leurs privilèges sur le système.

Selon le service de surveillance des menaces “Shadowserver”, environ 97 000 serveurs pourraient être vulnérables. Parmi eux, 68 500 pourraient être protégés si les administrateurs ont appliqué les mesures de mitigation, tandis que 28 500 sont confirmés comme vulnérables. L'Allemagne, les États-Unis, le Royaume-Uni, la France, l'Autriche, la Russie, le Canada et la Suisse sont les pays les plus touchés. La mise à jour “Microsoft Exchange Server 2019 Cumulative Update 14”, publiée lors du Patch Tuesday, est vivement recommandée pour se protéger.

Signe supplémentaire que la vulnérabilité présente un véritable danger, l'agence américaine de cybersécurité (CISA) l’a également inclus dans son “Catalogue des Vulnérabilités Exploitées Connues”, exigeant des agences fédérales qu'elles appliquent les mises à jour ou mesures de mitigation ou cessent d'utiliser Microsoft Exchange. Au moment où l’on écrit ces lignes, le catalogue de la CISA rapporte 1082 vulnérabilités exploitées connues.

✈️ Cyberattaque en plein vol ?

La semaine dernière, dans une série d'événements qui semblent tout droit sortis d'un film d’action, la compagnie aérienne nationale israélienne, El Al, a été la cible de tentatives de piratage en plein vol. Des pirates ont tenté à deux reprises, de prendre le contrôle des réseaux de communication de vols en partance de Phuket en Thaïlande, se dirigeant vers Israël, pour en prendre le contrôle en plein vol. Une tentative de piratage audacieuse qui aurait pu avoir des conséquences désastreuses.

Les pilotes d’El Al, formés pour reconnaître et contrer les menaces en vol, ont rapidement identifié la supercherie. Ils ont ignoré les instructions malveillantes et ont basculé sur un canal de communication alternatif pour vérifier leur itinéraire avec les contrôleurs aériens, permettant ainsi de poursuivre le vol sans incident.

Ces événements ont eu lieu au-dessus d’une zone contrôlée par les Houthis soutenus par l’Iran. Bien qu’aucune revendication n’ait été faite et que les motivations précises restent floues, les pirates non identifiés sont soupçonnés d’être affiliés à un groupe basé en Somalie.

Ces tentatives de piratage ne sont pas isolées dans le contexte actuel de cybersécurité aérienne et s’inscrivent dans une série d’alertes récentes. En septembre 2022, des vulnérabilités critiques ont été découvertes dans les dispositifs LAN sans fil de Flexlan, utilisés pour le WiFi à bord, par les chercheurs de Necrum Security Labs. Plus récemment, en janvier 2024, une faille majeure a été identifiée dans la suite Flysmart+ Manager d’Airbus.

L’Agence de la sécurité aérienne de l’Union européenne (EASA) a quant à elle réagi en publiant en octobre 2023 les premières Règles d'Accès Facile pour la Sécurité de l'Information, visant à imposer des pratiques de sécurité optimales à travers le secteur. Cette série d’événements nous rappelle que, dans le ciel comme sur terre, la sécurité informatique reste un enjeu majeur et ne doit pas être négligée.

🇨🇳 I-Soon, la fuite qui révèle que Pékin a les yeux partout

Une importante fuite de données provenant d'I-Soon, une entreprise chinoise spécialisée en sécurité informatique a mis en lumière des activités de piratage et d’espionnage liées à Pékin.

Les documents divulgués le 16 février sur GitHub révèlent, entre autres, des méthodes utilisées par ce sous-traitant des autorités chinoises pour surveiller les dissidents à l'étranger, espionner des gouvernements étrangers et promouvoir des narratifs pro-Pékin sur les réseaux sociaux.

Dans un rapport publié mercredi 21 février, l’entreprise américaine SentinelLabs déclare que "la fuite fournit certains des détails les plus concrets rendus publics à ce jour" au sujet des capacités d’espionnage de la Chine et révèle sa "maturité". Même son de cloche de la part de Jon Condra, analyste chez Recorded Future, autre entreprise de cybersécurité, qui qualifie la fuite de données comme “la plus importante liée à une entreprise soupçonnée de fournir des services de cyberespionnage et d’intrusion ciblée aux services de sécurité chinois”. Selon lui, ces documents témoignent “qu’I-Soon est probablement un entrepreneur privé opérant pour le compte des services de renseignement chinois.”.

Sans surprise, le ministère chinois des Affaires étrangères est resté discret et a affirmé jeudi lors d’un point presse régulier “ne pas être au courant” de cette affaire. La source de la fuite est pour l’heure encore inconnue.

⏳️ Rançongiciels : la majorité des entreprises ne parviennent pas à s’en remettre en moins de trois jours

Cohesity, leader de la sécurité et de la gestion des données basées sur l'IA révèle dans une nouvelle étude menée auprès de plus de 900 décideurs dans le domaine des technologies de l'information et de la sécurité, les tendances comportementales des entreprises face aux cyberattaques, et plus particulièrement les rançongiciels.

👉 La cyber résilience et la continuité d’activité constituent un enjeu majeur.

• Tous les répondants s’accordent à dire qu’ils ont besoin à minima de 24 heures pour récupérer les données et rétablir les processus opérationnels.

• L’immense majorité des répondants (92%) déclare avoir besoin de plus de 3 jours.

• 🚩 1 entreprise sur 4 (23%) a besoin de plus de trois semaines.

• 🚩 Seuls 12% déclarent que leur entreprise a procédé à un test de cyber résilience au cours des 6 derniers mois.

• 🚩 94% déclarent que leur entreprise paiera la rançon.

👉 La direction doit s’investir davantage.

La sensibilisation et la responsabilité des dirigeants en matière de sécurité des données ressortent en haut des domaines prioritaires dans lesquels les entreprises doivent s’améliorer. Seuls 35 % des sondés déclarent que leurs cadres supérieurs et dirigeants comprennent pleinement les “risques”.

👉 Les réglementations et la législation ont un impact, mais ce n’est pas suffisant.

Presque la moitié des personnes interrogées (46%) considère que les réglementations des gouvernements et des institutions publiques impulse un changement et des initiatives au sein de leur organisation.

Les réglementations doivent être davantage considérées comme un plancher et non comme un plafond. Les entreprises doivent aller plus loin. Pour leur propre survie.

🛟 Du succès à la chute - La descente aux enfers de la start-up 23andMe, le plus connu des sites de tests génétiques, continue. Suite à la fuite de données ayant touché près de 7 millions d'utilisateurs en fin d'année dernière, et à une défense hasardeuse rejetant la faute sur ses clients, l’entreprise autrefois valorisée à 6 milliards de dollars, est désormais menacée d’exclusion par la Bourse américaine.

🧑‍⚖️ Coupable - Vyacheslav Igorevich Penchukov, un ressortissant ukrainien, arrêté en Suisse en 2022 et extradé vers les États-Unis l'année dernière, a plaidé coupable devant un tribunal fédéral américain d'accusations de racket et de fraude électronique. Penchukov, qui a notamment participé à diriger les célèbres gangs de logiciels malveillants JabberZeus et IcedID, a figuré pendant près de dix ans sur la liste des fugitifs les plus recherchés par le FBI.

🐴 Trojan - Selon les nouvelles données fournies par les chercheurs de ThreatFabric, le cheval de Troie bancaire Android connu sous le nom d'Anatsa (ou TeaBot et Toddler), réputé pour être distribué sous la forme d'applications apparemment inoffensives sur le Google Play Store, ciblerait de plus en plus les banques européennes depuis sa réapparition en novembre 2023. Après le Royaume-Uni, l'Allemagne et l'Espagne, le Trojan touche désormais la Slovaquie, la Slovénie et à la République Tchèque.

🚨 Zero-day - Microsoft a publié une mise à jour de sécurite urgente visant à corriger des vulnérabilités zero-day touchant ses systèmes d'exploitation Windows 10 et Windows 11. Ces vulnérabilités (CVE-2024-21412 et CVE-2024-21351), sont activement exploitées et permettent aux attaquants de contourner les fonctions de sécurité intégrées du système d'exploitation.

🔹 Insolite - Une vulnérabilié dans les caméras Wyze a permis à 13 000 clients d’accéder à l’intimité d’autres propriétaires du même appareil. La société avait initialement déclaré que cette grave atteinte à la vie privée et à la sécurité n'avait concerné que 14 personnes… Après tout, c’est presque le même chiffre, x 1000…

🔁 Rebelote - SolarWinds apprend-il de ses erreurs ? L’entreprise vient de corriger plusieurs vulnérabilités d’exécution de codes à distance (RCE) dans son outil de sécurité “Access Rights Manager (ARM)”, une solution logicielle conçue pour aider les organisations à gérer et à surveiller… les droits d’accès.

🇷🇺 Cyberespionnage - Le groupe Insikt de Recorded Future a identifié des pirates probablement liés à la Russie ou la Biélorussie, connu sous le nom de Winter Vivern (ou TA473 et UAC0114), à la manœuvre d’une nouvelle campagne de cyberespionnage qui a probablement exploité les vulnérabilités des scripts intersites (XSS) dans les serveurs du client de messagerie Roundcube Webmail. La campagne a ciblé plus de 80 organisations gouvernementales et militaires européennes, principalement situées en Géorgie, en Pologne et en Ukraine.

🪪 Le fail du Community Manager de l’Elysée

Mardi 20 février, croyant probablement bien faire, le président de la république (ou son community manager) a publié sur son compte X une photo de sa carte d’identité et de sa version numérique pour promouvoir la simplification des démarches avec la nouvelle plateforme France Identité.

Au-delà des moqueries prévisibles de la part des internautes, la publication de la carte d'identité du président de la République a soulevé des préoccupations en matière de protection des données.

En effet, bien que le chef de l’État ait pris la précaution de masquer son numéro d’identité sur la photo, “Publier sa carte d'identité sur les réseaux sociaux est une mauvaise pratique qui ne devrait pas être incitée” a rappelé le spécialiste en cybersécurité et hacker éthique, Baptiste Robert.

Comme toujours, merci de nous avoir lu. Si tu souhaites nous soutenir, partage le shake autour de toi 👐

Passe un bon week-end et à la semaine prochaine ! ✌️