💰 Meta doit payer 1,2 milliard d'euros en Europe

Salut 👋, voici ce qu’on te propose de retenir du digital et de la cyber cette semaine.

À la une :

💰 Meta reçoit une amende record de 1,2 milliard pour violation de données personnelles en Europe.

Décode l’actu :

🇨🇳 Des pirates chinois ont infiltré des réseaux d'infrastructures américaines critiques,

🏢 Fraude iSpoof : 13 ans de prison pour son administrateur britannique,

🇬🇧 UK : Les systèmes obsolètes du ministère menacent la qualité de l’air et de l’alimentation,

📢 La CISA alerte sur les attaques de rançongiciels du groupe BianLian,

🍏 La France s’attaque à Apple et à son modèle d’obsolescence programmée,

On t’explique tout ça plus bas.

Retrouve le mag :

♾️ Meta, entreprise multi-sanctionnée sur la protection des données,

🥇 La cyber résilience : priorité numéro une des organisations en 2023,

🍋 Des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture !

〰️ La reco du barman 〰️

💰 Données personnelles : Meta reçoit une amende record de 1,2 milliard d'euros en Europe

Ce lundi 22 mai, la Commission irlandaise de protection des données a infligé à Meta une amende record de 1,2 milliard d'euros (1,3 milliard de dollars) et a ordonné à l'entreprise de cesser de transférer des données d'utilisateurs européens vers les États-Unis.

Un long cheminement

Jamais une entreprise n’avait été condamnée à une si lourde sanction depuis l’adoption il y a 5 ans par l’Union Européenne, de la loi historique sur la protection des données, connue sous le nom de “Règlement Général sur la Protection des Données” (RGPD).

À l’origine de la procédure contre Meta, Max Schrems, un juriste et militant autrichien pour la protection de la vie privée, qui en 2015, avait porté plainte contre Facebook, estimant que ses données recueillies par Facebook Ireland étaient transférées à Facebook Inc. aux États-Unis. Schrems estimait que, une fois aux États-Unis, ses données se retrouvaient alors à la merci des lois locales en vigueur, dont le Cloud Act, qui donne de larges pouvoirs à l'Agence nationale de la sécurité américaine (NSA). D’ailleurs, en 2013, le lanceur d'alertes Edward Snowden avait révélé au monde l'ampleur du programme de surveillance de cette agence, pouvant accéder aux informations personnelles des utilisateurs d’entreprises telles que Facebook et Google.

En 2015, la justice européenne avait invalidé un premier accord régissant les transferts de données entre l'Europe et les États-Unis (le "Safe Harbor"), ce qui avait conduit à la proposition d'un nouveau mécanisme, le "Privacy Shield", également rejeté par la Cour de justice de l'Union européenne en 2020.

En mars 2022, l'Union européenne et les États-Unis ont annoncé un nouvel accord sur les transferts de données, mais le cadre juridique n'a pas encore été formellement adopté. Meta a déclaré que si le nouvel accord entrait en vigueur avant la date limite fixée (5 mois) par la Commission irlandaise de protection des données (DPC), leurs services pourraient continuer comme d'habitude. Cependant, l'incertitude demeure quant à l'avenir des utilisateurs européens des services Facebook si l'accord n'est pas conclu à temps. La Commission européenne espère finaliser un accord sur les transferts de données avec les États-Unis d'ici l'été, selon l'un de ses porte-paroles.

Ne pas crier victoire trop vite

Bien que cette décision est encourageante et porte un “sérieux coup” à Meta, selon NOYB, l'association de défense de la vie privée de Max Schrems, celle-ci met également “en lumière les lacunes du projet de loi sur la protection des données et l'information numérique” du Royaume-Uni (DBPI) selon Abigail Burke, responsable politique de l'Open Rights Group.

En effet, bien que les transfert de données entre l’UE et les États-Unis aient été suspendus, Meta dispose de cinq moi pour se conformer. Cependant, si le projet de loi DPDI est adopté au Royaume-Uni, il pourrait créer une brèche permettant le transfert de données de l'UE vers les États-Unis via le Royaume-Uni. Abigail Burke souligne que cela pourrait entraîner le blanchiment des données des citoyens de l'UE à travers le Royaume-Uni, mettant ainsi en péril l'accord d'adéquation actuel entre le Royaume-Uni et l'UE.

Le projet de loi DPDI affaiblirait également la protection des transferts de données personnelles, en donnant au secrétaire d'État le pouvoir d'approuver les transferts vers des pays à faible protection des données, sans exigences suffisantes en termes de droits exécutoires ou de recours juridiques. Cela créerait un scénario où les données des citoyens de l'UE pourraient être blanchies à travers le Royaume-Uni vers des pays sans accord avec l'UE, y compris les États-Unis, permettant ainsi aux entreprises comme Meta de contourner les lois strictes de l’UE sur la protection des données.

♾️ Meta, entreprise multi-sanctionnée sur la protection des données

〰️ Vos shots 〰️

🇨🇳 Des pirates chinois démasqués dans des réseaux d'infrastructures américaines critiques

Les États-Unis et plusieurs autorités internationales chargées de la cybersécurité ont publié ce mercredi 24 mai, un avis conjoint visant à alerter d’activités d’espionnage menées par des pirates chinois parrainé par l'État à l’encontre d’infrastructures critiques américaines. Des activités similaires pourraient également avoir lieu à l’échelle internationale.

Dans une déclaration distincte, Microsoft attribue ces activités à Volt Typhoon, un groupe de pirates parrainé par la Chine. Volt Typhoon ciblerait discrètement depuis le milieu de l’année 2021, les organisations d’infrastructures critiques aux États-Unis et en particulier à Guam, une île du pacifique américaine au rôle géostratégique majeur dans le déploiement du dispositif militaire naval et aérien des États-Unis en Asie-Pacifique.

Les secteurs touchés comprennent les communications, l'industrie, les services publics, les transports, la construction, le maritime, le gouvernement, les technologies de l'information et l'éducation.

L'acteur de la menace cherche à maintenir son accès de manière furtive et durable, avec une intention potentielle de perturber les infrastructures de communication critiques entre les États-Unis et la région asiatique lors de crises futures.

Bien que les pirates chinois soient connus pour leurs campagnes de cyberespionnage contre des cibles occidentales, celle-ci constitue à ce jour, l'une des plus grandes campagnes de cyberespionnage contre les infrastructures critiques américaines.

🏢 Fraude iSpoof : 13 ans de prison pour son administrateur

Tejay Fletcher, un Britannique de 35 ans, a été condamné le 18 mai à une peine de 13 ans et 4 mois de prison pour son rôle d'administrateur du service d'usurpation de numéros de téléphone en ligne iSpoof.

Le service iSpoof, désormais fermé, a permis à des fraudeurs, moyennant une certaine somme en Bitcoin, de se faire passer pour des représentants de banques et d'autres organismes officiels dans le but d’inciter les victimes à divulguer des informations financières sensibles ou à transférer de l'argent vers des comptes contrôlés par les escrocs.

Les pertes au Royaume-Uni de cette “fraude à l’échelle industrielle” s’élèveraient à plus de 48 millions de livres sterling (59,8 millions de dollars), tandis que les pertes mondiales sont estimées à au moins 124,6 millions de dollars. 

Plus de 10 millions d’appels frauduleux ont été effectués à l’aide d’iSpoof. Au plus fort de son activité, le service aurait atteint 69 000 utilisateurs actifs. L’arrestation de Fletcher en 2019 constitue encore à ce jour la plus grande opération de lutte contre la fraude menée au Royaume-Uni.

🇬🇧 UK : Les systèmes obsolètes du ministère menacent la qualité de l’air et de l’alimentation

Selon une commission parlementaire, des systèmes informatiques obsolètes au sein du ministère britannique de l'environnement, de l'alimentation et des affaires rurales (DEFRA) mettent en péril la sécurité alimentaire et la qualité de l'air.

Le rapport de la commission des comptes publics (PAC) a révélé que certains systèmes ne sont pas protégés contre les cyberattaques et les fonctionnaires doivent encore utiliser des formulaires papier pour suivre les maladies animales et garantir la sécurité des aliments, de l'air et de l'eau. Au total, ce sont environ 14 millions de transactions papiers traitées chaque année.

Le Defra a été critiqué pour son manque de stratégie visant à réduire la dépendance aux formulaires papier et à rendre les applications largement accessibles sur les téléphones portables. De plus, le recrutement de personnel dans le domaine du numérique et de la technologie pose également problème et conduit à une dépendance excessive à l'égard des sous-traitants.

Le Defra estime qu'il devra dépenser 726 millions de livres pour moderniser ses services existants, mais la commission des comptes publics a souligné le manque de vision globale et a mis en garde contre des dépenses inappropriées à long terme.

📢 La CISA alerte sur les attaques de rançongiciels du groupe BianLian

L'agence américaine de cybersécurité (CISA), le FBI et d'autres organismes ont émis une alerte conjointe visant à sensibiliser les organisations aux attaques de rançongiciels du groupe BianLian et les informer des mesures à prendre pour se protéger. Depuis juin 2022, BianLian cible principalement les entreprises en développant et déployant des rançongiciels qui extorquent et chiffrent les données.

Depuis quelques mois, le groupe de cybercriminels a fait évoluer son approche et se contente désormais de voler principalement les données tout en laissant les systèmes intacts et les données non chiffrées. Cette évolution est peut être liée, en partie, à la publication d’un outil gratuit de déchiffrement du rançongiciel BianLian par les chercheurs en cybersécurité d’Avast en janvier 2023.

Pour mener leurs attaques, la CISA indique que les attaquants de BianLian pénètrent d'abord dans les réseaux de leurs cibles en exploitant des informations d'identification compromise du protocole Remote Desktop (RDP). Ces informations pourraient avoir été préalablement obtenues auprès d'autres pirates ou collectées via des attaques de phishing. Une fois l’accès obtenu, les pirates installent un code de porte dérobée spécifique à chaque victime, ainsi qu'un logiciel de gestion et d'accès à distance pour maintenir leur accès aux systèmes.

Les organisations sont invitées entre autres, à renforcer la sécurité du RDP, de désactiver certaines fonctionnalités, de restreindre l'utilisation de PowerShell et d'implémenter des mesures de sauvegarde et de récupération des données. La CISA rappelle également aux entreprises victimes de ne pas céder aux demandes de rançons car rien ne garantit que les données volées ne seront pas publiées ou vendues.

🍏 la France s’attaque à Apple et à son modèle d’obsolescence programmée

Le 15 mai dernier, suite à la découverte d'une pratique préoccupante dans la conception des iPhones, un procureur français a ouvert une enquête à l’encontre d’Apple et de son modèle commercial présumé d'obsolescence programmée.

Depuis 3 ans, une équipe d’experts indépendants basés à Toulouse (France) travaille à examiner, dès leur sortie, chaque nouvel iPhone. Ils ont ainsi constaté que les derniers modèles d'iPhone sont de plus en plus difficiles à réparer en raison de pièces verrouillées et d'un appariement spécifique à Apple.

Selon Alexandre Isaac, PDG de l’entreprise toulousaine The Repair Academy, au départ, seule une puce sur la carte mère était concernée, mais la liste des pièces restreintes s'est progressivement étendue pour inclure le Touch ID, le Face ID, la batterie, l'écran et l'appareil photo.

Cette situation pousse les consommateurs à se tourner vers les techniciens agréés Apple qui facturent deux fois plus cher que les ateliers de réparation indépendants. En procédant ainsi et en obligeant les consommateurs à payer l’équivalent du prix d’un iPhone d’occasion en coût de réparation, Apple les incite à remplacer leurs appareils plutôt que de les réparer, ce qui soulève des préoccupations environnementales.

Depuis des années, la France est à l'avant-garde du mouvement en faveur du droit à la réparation. Elle est même à l’initiative du premier système européen d’évaluation de la réparabilité. Cette nouvelle affaire vient conforter la France dans sa position de leader dans sa lutte contre l’obsolescence programmée.

〰️ Dégustation 〰️

🥇 La cyber-résilience : priorité numéro une des organisations en 2023

Pour répondre à un environnement de plus en plus menaçant, et à un paysage de la menace en constante évolution, de plus en plus d’organisations ont recours à des programmes de cyber-résilience axés sur le long terme. Pour en savoir plus sur l'état de la cyber résilience au sein des organisations, Immersive Labs & Osterman Research ont interrogé des responsables de la sécurité et des risques. Ils livrent les résultats dans un nouveau rapport.

À retenir :

• La cyber-résilience est la priorité stratégique numéro un pour les organisations, ainsi que la principale dépense en 2023.

• Les cyberattaques et les vulnérabilités sont à l'origine de ces priorités. Les responsables de la sécurité sont particulièrement préoccupés par les rançongiciels, les risques liés à la chaîne d'approvisionnement et les vulnérabilités.

• Les programmes de cyber-résilience actuels ne sont pas à la hauteur. Malgré l'existence de ces programmes dédiés, la moitié des organisations manquent de visibilité sur divers indicateurs de cybersécurité.

• Les organisations se méfient des certifications professionnelles, des formations en salle et des parcours d'apprentissage ad hoc.

  • Bien qu’encouragées par presque toutes les organisations, seulement 32 % des organisations jugent les certifications professionnelles efficaces pour lutter contre les cybermenaces.

  • Les formations en classe sont peu fréquentes et ne produisent pas les résultats escomptés.

  • De nombreuses organisations improvisent des parcours d'apprentissage ad hoc pour tenir leur équipe de cybersécurité informée des dernières vulnérabilités. Aucune de ces approches ne suit le rythme effréné de la cyber.

• La plupart des organisations ne disposent pas d'un cadre de mesure des capacités en cybersécurité. Elles essaient de “bricoler” des évaluations en utilisant des indicateurs, des tests et des mesures qui ne sont pas liés à la résilience.

• Les organisations ont besoin de meilleurs moyens pour évaluer, renforcer et prouver leur cyber-résilience, mais elles progressent lentement.

〰️ Cul sec - La question 〰️

📞 Comment “Jeanne”, attaquante, peut-elle se faire passer pour une autre personne “Marc” au téléphone ?

A - En imitant la voix de Marc, grâce à des talents d’imitateur

B - En “clonant” la voix de Marc avec une IA spécialisée, à partir d’enregistrements de la voix, publics ou privés

C - En se présentant sous le numéro de téléphone de Marc, grâce à du “spoofing” de l’identifiant appelant (caller id)

D - En prenant le contrôle du téléphone de Marc, avec une vulnérabilité du téléphone

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

🤖 Nouveauté- OpenAI lance son application mobile ChatGPT pour iOS. Disponible uniquement aux États-Unis pour le moment, l’application ChatGPT sera bientôt déployée dans d’autres pays. Une version Android est également prévue.

🚨 Vulnérabilités - Une vulnérabilité (CVE-2023-32784) dans le gestionnaire de mots de passe KeePass permet d’extraire la clé maîtresse et ce même lorsque le coffre-fort est verrouillé. La vulnérabilité concerne toutes les versions 2.X de KeePass pour Windows, Linux et macOS. Un correctif a été publié le 7 mai 2023 et une nouvelle version de KeePass (2.54) est attendue pour juin 2023.

🔄 Mise à jour - Tor Browser 12.0.6 est maintenant disponible pour Linux, Windows et macOS, mais aussi en version Android depuis la page de téléchargement de Tor Browser.

🤫 Shhhh - Instagram, propriété de Meta, travaillerait actuellement secrètement sur le développement d’une application basée sur du texte pour concurrencer Twitter selon Bloomberg.

🖊 Enfin - WhatsApp est actuellement en train de déployer dans le monde entier une nouvelle fonctionnalité permettant l’édition de messages envoyés. L’option sera disponible uniquement dans les 15 minutes suivant l’envoi du message, qui comportera après coup la mention “Édité”.

🏥 Santé mentale - le Dr Vivek Murthy, médecin-chef des États-Unis, a publié ce mardi 23 mai un nouvel avis de santé publique sur la santé mentale des enfants aux États-Unis face aux réseaux sociaux. Les résultats sont alarmants. Des conseils sont présentés.

〰️ Cul sec - Réponse 〰️

Toutes les réponses sont justes

La réponse “A - En imitant la voix de Marc, grâce à des talents d’imitateur”. C’est l’une des spécialités de Gilbert Chikli, escroc Franco-Israélien, condamné pour des fraudes aux président. Lors d’échanges en visio, il allait même jusqu’à modifier son apparence physique avec un masque en silicone devant un décor. Mais cette méthode devient “old school”.

La combinaison des réponses “B - En “clonant” la voix de Marc avec une IA spécialisée, à partir d’enregistrements de la voix, publics ou privés” et “C - En se présentant sous le numéro de téléphone de Marc, grâce à du “spoofing” de l’identifiant appelant”. C’est le plus simple à mettre en oeuvre. Découvrez à travers cette vidéo, comment l’IA peut être utilisée pour cloner la voix de quelqu’un afin de réaliser des fraudes de manière extrêmement simple. Et le spoofing de l’appelant, c’est justement à quoi servait le site iSpoof du britannique Tejay Fletcher, récemment condamné (cf. news plus haut).

La réponse “D - En prenant le contrôle du téléphone de Marc, avec une vulnérabilité du téléphone”. Cette situation est arrivée en 2020 au dirigeant du cabinet de comptabilité CDER, basé en région champenoise. Résultat ? 15 millions d’euros volés. C’est toutefois la méthode la plus complexe à mettre en oeuvre.

〰️ Digestif 〰️

Y’a encore du boulot ! 🤓

La mesure de devrait pas être trop compliquée à mettre en oeuvre étant donné que ChatGPT ne génère pas d’images…

Merci d’être passé ! Rendez-vous samedi prochain pour ton nouveau Shake de l’actu cyber et digitale ! 👋

L’équipe travaille dur. 👉 On a besoin de ton soutien pour diffuser à tous la culture de sécurité et responsabilité digitale.

Rejoins Shakerz, abonne-toi pour recevoir la newsletter hebdo. Tu aimes les Shake et tu veux en faire profiter tes potos ? Alors… 👇👇👇

Des questions ou un avis à partager ? C’est simple, il suffit de répondre à cet email et d’envoyer tes quelques lignes.

“Shake it, don’t fake it”