🔥 Microsoft sous le feu des critiques

Salut 👋, voici ton digest du digital et de la cyber pour cette semaine.

À la une :

🔥 Microsoft est sous le feu des critiques suite à des allégations de négligences en matière de cybersécurité,

Décode l’actu :

🗳 Historique : près de 40 millions de Britanniques touchés par une vaste cyberattaque,

🍏 Apple : MacOS de plus en plus ciblé,

💔 Faux-amis : des pirates nord-coréens ont espionné un fabriquant de missiles russe,

🇬🇧 Le registre des risques britannique reconnait pour la première fois qu'une attaque contre le réseau énergétique constitue un risque majeur,

🎣 Microsoft Teams victime d’attaques de phishing,

On t’explique tout ça plus bas.

Retrouve le mag :

🩸 Depuis 2018, les attaques de rançongiciel ont coûté 46 milliards de dollars au secteur manufacturier,

🇺🇸 La CISA annonce son nouveau plan stratégique de cybersécurité,

🍋 Des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, devine quoi… la question de la semaine.

Shake it!

〰️ La reco du barman 〰️

🔥 Microsoft est sous le feu des critiques suite à des allégations de négligences en matière de cybersécurité

Que s’est-il passé ?

Le 12 juillet dernier, Microsoft a révélé l'existence d’une cyberattaque majeure permise grâce à l’exploitation d’une vulnérabilité de sécurité au sein de sa plateforme cloud Azure.

L’attaque, attribuée au groupe de pirates chinois connu sous le nom de Storm-0558, a touché environ 25 organisations différentes et occasionné le vol d’emails sensibles appartenant à plusieurs hauts fonctionnaires du gouvernement américain.

La gravité de cette faille est extrêmement préoccupante puisqu’elle a permis aux pirates de pénétrer le coeur des systèmes d’information d’Azure, l’un des trois opérateurs de cloud public majeurs (aux côtés de GCP de Google et AWS d’Amazon).

Microsoft face aux critiques et accusations de négligence

La semaine dernière, le sénateur Ron Wyden (D-OR) a envoyé une lettre à l’agence de cybersécurité américaine (CISA), au Département de la Justice (DoJ) et à la Commission Fédérale du Commerce (FTC), demandant de tenir Microsoft pour responsable de “pratiques négligentes en matière de cybersécurité”.

Ces accusations ont été complétées par Amit Yoran, président-directeur général du géant de la sécurité des réseaux Tenable, qui s’est rendu sur LinkedIn pour exprimer des critiques à l’égard des pratiques de sécurité de Microsoft.

Il dénonce notamment un “schéma répété de pratiques négligentes en matière de cybersécurité” de la part de Microsoft et révèle également la mauvaise prise en charge d'une autre faille de cybersécurité dans Microsoft Azure, qui aurait pu permettre à des acteurs malveillants d'accéder à des données sensibles d'entreprises, y compris d'une banque.

Découverte par Tenable en mars dernier, M. Yoran a accusé Microsoft d'avoir pris plus de 90 jours pour mettre en place un correctif partiel après avoir été alerté par Tenable. De plus, il a souligné que ce correctif ne concernait que les nouvelles applications chargées dans le service, laissant toujours exposées à la faille des organisations utilisant le service avant la correction.

La rapidité de réaction de Microsoft a également été mise en question. Initialement prévue pour la fin du mois de septembre, la résolution du problème a finalement été publiée peu après la publication de l'article de M. Yoran. Microsoft a reconnu que la vulnérabilité aurait pu entraîner une “divulgation involontaire d'informations”, mais a souligné que seuls les chercheurs de Tenable avaient pu exploiter la faille.

Enfin, pour porter l’estocade, M. Yoran s’est permis de préciser que “les produits Microsoft ont représenté un total de 42,5 % de tous les zero-day découverts depuis 2014”. Une statistique qui soulève effectivement des préoccupations quant à la sécurité des produits Microsoft.

Face à ces accusations graves, Microsoft devra répondre de manière approfondie aux inquiétudes concernant ses pratiques en matière de cybersécurité, notamment en ce qui concerne l'espionnage potentiel par des acteurs malveillants. Les regards sont désormais tournés vers l'entreprise pour voir comment elle abordera cette situation délicate et quelles mesures elle prendra pour renforcer sa posture en matière de sécurité informatique.

〰️ En image 〰️

🩸 Depuis 2018, les attaques de rançongiciel ont coûté 46 milliards de dollars au secteur manufacturier

À partir des données collectées depuis son outil mondial de suivi des rançongiciels, Comparitech, un site web pro-consommateur qui fournit des informations visant à améliorer la cybersécurité et la vie privée en ligne des consommateurs, a analysé en détail les données de 478 attaques de rançongiciel menées entre 2018 et juillet 2023 et qui ont ciblé l’industrie manufacturière (de production). L’objectif étant d’évaluer l'ampleur de ce type d'attaques dans le secteur manufacturier et d'en connaître le coût réel.

Depuis 2018, ces attaques de rançongiciel contre le secteur manufacturier ont coûté à l'économie mondiale 46 milliards de dollars et ce rien qu'en temps d'arrêt de l’activité de production.

〰️ Vos shots 〰️

🗳 Historique : près de 40 millions de britanniques touchés par une vaste cyberattaque

Ce mardi 10 août, La Commission électorale du Royaume-Uni a révélé avoir été victime d’une “cyberattaque complexe” touchant près de 40 millions d’électeurs britanniques. Cette cyberattaque constitue l’une des plus importantes cyberattaques de l’histoire du Royaume-Uni.

L’attaque qui a débuté en août 2021 et qui n’a été détectée qu’en octobre 2022, a permis aux cybercriminels d’accéder aux listes électorales, incluant noms et adresses de citoyens britanniques inscrits entre 2014 et 2022, ainsi qu'aux données d'électeurs à l'étranger. La commission a également rapporté une intrusion dans son système de messagerie électronique, ayant pu compromettre des informations sensibles. Des signes de ransomware ont également été détectés, laissant craindre un blocage potentiel des registres électoraux avant une élection.

Toutefois, la commission se veut rassurante et affirme que les données concernées étaient majoritairement déjà publiques et ne présenteraient pas de risque élevé pour les individus.

D’après les services de renseignement britanniques, des preuves indiquent que la cyberattaque aurait été perpétrée par des cybercriminels Russes. C’est également l’avis de deux anciens chefs du renseignement britannique qui pointent la Russie comme principal suspect en raison de son ingérence passée dans des élections occidentales.

🍏 Apple : MacOS de plus en plus menacé

L'unité de renseignement sur les menaces d'Accenture a observé au cours des dernières années, une hausse significative des acteurs de la menace ciblant les ordinateurs Apple. Selon les chercheurs, le nombre d’acteurs ciblant MacOS a été multiplié par 10 depuis 2019, dont une grande partie au cours des 18 derniers mois.

Historiquement, les acteurs de la menace ont toujours privilégié Windows et Linux car moins complexes à cibler et surtout plus lucratif. Mais les temps changent. Aujourd’hui, de plus en plus d’attaquants qualifiés jettent leur dévolu sur les Macs pour plusieurs raisons.

La première est purement financière. Les chercheurs d’ACTI ont notamment observé des exploits pour Mac se vendant plus cher que ceux concernant des ordinateurs Windows. Par exemple, ACTI a identifié un acteur de menace qui a offert en décembre 2022, 500 000 dollars pour un contournement ou des exploits macOS Gatekeeper.

Selon Jason Dettbarn, PDG d'Addigy, qui fournit une plateforme de gestion pour macOS et iOS, la seconde raison concernerait des politiques d'accès pour les Macs en entreprise, plus clémentes que celles imposées aux ordinateurs Windows, rendant ainsi les Macs plus vulnérables. Par ailleurs, les entreprises auraient également du mal à mettre à jour les appareils Apple en suivant le même processus que pour les PC Windows. Les CISO rechigneraient à appliquer les correctifs Apple (comme les nouveaux Rapid Security Response) sans avoir eu connaissance publiquement de ce dont il s’agit.

💔 Faux-amis : des pirates nord-coréens ont espionné un fabriquant de missiles russe

Selon l'entreprise de cybersécurité américaine SentinelOne, deux groupes de pirates nord-coréens ont pénétré pendant plusieurs mois, les systèmes internes du fabricant russe de missiles et de satellites NPO Mashinostoyeniya. Cette campagne de cyberespionnage contre un pays plutôt “amical”, démontre la volonté de la Corée du Nord pour accélérer le développement de ses missiles et technologies militaires.

SentinelOne rapporte que deux incidents de compromission ont été identifiés au sein de l'organisation russe de défense, dont une atteinte au serveur de messagerie, attribuée au groupe de pirates étatique ScarCruft, et l'utilisation d'une porte dérobée Windows baptisée OpenCarrot, associée au groupe Lazarus. Le fabricant de missiles aurait détecté l’attaque en mai 2022, après avoir repéré des communications suspectes entre des processus et une infrastructure externe. Bien que l'intrusion ait été stoppée dès sa détection, les pirates ont eu le temps d'accéder à des communications sensibles et de naviguer dans les réseaux depuis au moins novembre 2021.

Cet incident soulève plusieurs interrogations. Compte-tenu de la nature stratégique de la cible, ces deux groupes ont-ils collaborés ? Alors que la Russie s’apprête à acheter plus de munitions à la Corée du Nord dans le cadre de la guerre en Ukraine, quels impacts ces révélations vont-elle avoir sur les relations entre les deux pays ?

🇬🇧 Le registre des risques britannique reconnait pour la première fois qu'une attaque contre le réseau énergétique constitue un risque majeur

Le gouvernement britannique a publié une mise à jour de son registre des risques, déclassifiant certaines menaces majeures. Le document actualisé pour la première fois en trois ans énumère 89 menaces pesant sur le Royaume-Uni, dont trois risques majeurs, auparavant tenus secrets.

En tête de liste des risques majeurs déjà connus : la probabilité d’une pandémie "catastrophique" évaluée entre 5 et 25% sur 5 ans. Une hausse significative par rapport à l'évaluation antérieure de 1 à 5 %.

Le registre signale également pour la première fois une probabilité de 5 % à 25 %, qu'une attaque contre les infrastructures clés du Royaume-Uni, notamment son réseau énergétique, puisse avoir un impact “significatif” sur deux ans. Parmi les autres risques majeurs désormais publiques, l’on retrouve également les attaques de drones malveillants et les dommages causés aux câbles sous-marins de communication.

Ces révélations surviennent à la suite des critiques émises par une commission de la Chambre des Lords concernant le manque de transparence entourant le registre des risques.

🎣 Microsoft Teams victime d’attaques de phishing

Microsoft Threat Intelligence a mis en évidence des attaques d'ingénierie sociale hautement ciblées utilisant des leurres d'hameçonnage envoyés sous forme de chats Microsoft Teams. Ces attaques, attribuées à l'acteur de menace baptisé Midnight Blizzard (auparavant connu sous le nom de NOBELIUM), démontrent une évolution des tactiques employées.

Dans cette dernière attaque, Midnight Blizzard a utilisé des locataires Microsoft 365 compromis appartenant à des petites entreprises pour créer de nouveaux domaines, donnant ainsi l'apparence de support technique légitime. Les messages Teams ont ensuite été utilisés comme leurres pour dérober des informations d'identification et des approbations d'authentification multifactorielle (MFA) auprès des utilisateurs ciblés.

Bien que moins de 40 organisations mondiales aient été touchées par cette campagne, celle-ci semble avoir ciblé spécifiquement “les gouvernements, les organisations non gouvernementales, les services informatiques, la technologie, l'industrie de composants et les secteurs des médias”.

Dans le cadre de sa réponse, Microsoft a bloqué les domaines utilisés par Midnight Blizzard. Les clients affectés ont également été directement informés et des recommandations essentielles pour renforcer la sécurité de leurs environnements informatiques ont été fournies.

〰️ Dégustation 〰️

🇺🇸 La CISA lance son plan stratégique de cybersécurité

L’agence de cybersécurité américaine (CISA) a publié le 4 août dernier son plan stratégique de cybersécurité pour l'exercice 2024-2026. Ce plan stratégique, aligné sur la stratégie nationale de cybersécurité et intégré au plan stratégique 2023-2025 de la CISA, vise à poursuivre une nouvelle vision de la cybersécurité fondée sur la collaboration, l’innovation et la responsabilité.

Le plan stratégique repose sur 3 piliers fondamentaux :

1 〰️ Lutter contre les menaces immédiates 

La CISA collaborera avec ses partenaires pour améliorer la compréhension des menaces émergentes et accélérer la résolution des vulnérabilités récurrentes exploitées rendant ainsi aux adversaires, la tâche plus difficile d'atteindre leurs objectifs en ciblant les réseaux américains et alliés.

2 〰️ Renforcer le terrain.

La CISA apportera son soutien, ses conseils et son orientation aux organisations pour prioriser des investissements en sécurité efficaces, réduisant de manière mesurable la probabilité d'intrusions préjudiciables.

3 〰️ Promouvoir une sécurité à grande échelle 

La CISA se fixe comme objectif d’élever la cybersécurité au rang de préoccupation sécuritaire essentielle, et en exhortant les fournisseurs de technologies à intégrer la sécurité à chaque étape du cycle de vie de leurs produits. L’objectif étant de réduire les risques et d'exploiter pleinement les avantages de l'intelligence artificielle.

〰️ Cul sec - La question 〰️

👂 Quelle méthode originale un attaquant peut-il utiliser pour voler vos données ?

Propositions de réponses :

A - L'application de techniques d'hypnose à distance via des vidéos en ligne

B - L'analyse de la lumière émise par votre écran d'ordinateur pour reconstituer les images que vous regardez

C - L'enregistrement audio d'une personne en train de taper au clavier

D - L'exploitation des ondes Wi-Fi pour collecter les vibrations sonores de votre environnement et reconstituer vos conversations.

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

⚖️ Justice - Dans un communiqué de presse publié le 02 août, l’AFP a annoncé avoir assigné X (anciennement Twitter) en justice car l'entreprise refuse d'entrer en discussion pour mettre en œuvre le droit voisin de la presse.

🆕 Fonctionnalité - Google a introduit un nouveau service qui vous informe lorsque vos informations personnelles, comme votre adresse, numéro de téléphone ou e-mail, sont exposées dans les résultats de recherche. Cette nouvelle fonctionnalité est pour le moment disponible uniquement aux États-Unis. Cependant, Google prévoit d'étendre cette fonctionnalité à d'autres pays et langues à l'avenir.

📑 Réglementation - En préparation de l’entrée en vigueur du Digital Services Act (règlement européen sur les services numériques) pour les principales plateformes et en particulier celles des GAFAM, à partir du 28 août, TikTok a annoncé des ajustements pour se conformer au règlement européen. Le réseau social a introduit notamment un nouvel outil permettant de signaler les contenus potentiellement illégaux, qu'ils soient générés par d'autres utilisateurs ou qu'ils relèvent de la publicité.

🔍 Recherche - Après plusieurs mois de développement, le navigateur web Brave lance sa propre recherche d'images et de vidéos et vient completer son moteur de recherche pour les textes. Les utilisateurs n'auront plus besoin de quitter Brave Search pour obtenir des résultats de recherche d'images et de vidéos. Cette nouvelle fonctionnalité marque une étape supplémentaire dans l’émancipation du navigateur vis à vis des moteurs de recherche des grandes entreprises.

📣 Publicité - Des experts ont découvert 43 applications Android dans Google Play comptabilisant 2,5 millions d'installations qui affichaient des publicités alors que l'écran du téléphone était éteint. Cela affectait notamment les annonceurs qui dépensaient pour des publicités jamais visionnées, tout en créant des inconvénients pour les utilisateurs en drainant la batterie du téléphone, en consommant des données et en les exposant à divers risques.

💰 Rançongiciel - Le groupe de rançongiciels Mallox renforce ses attaques ciblées envers les organisations disposant de serveurs SQL vulnérables. Récemment, il est apparu avec une nouvelle variante et plusieurs autres outils malveillants pour maintenir sa présence et éviter la détection.

🛠️ Guide - Le principal guide mondial en matière de cybersécurité (Cybersecurity Framework (CSF) 2.0) a subi sa première refonte complète depuis sa publication en 2014. Le NIST a effectué cette mise à jour faciliter la mise en pratique du CSF pour toutes les organisations. A ce stade, le guide n’est pas définitif et reste ouvert à commentaires.

🇮🇪 Bourde - Le Service de police d'Irlande du Nord vient de faire fuiter par erreur les données personnelles de l’ensemble de ses 10 000 effectifs. Cette fuite a provoqué le choc et la peur parmi les policiers qui craignent pour leur sécurité. Des cabinets d'avocats ont dores et déjà fait savoir qu'ils représenteraient les officiers affectés. Avec plus de 10 000 personnes touchées, la facture potentielle des compensations pourraient être très salée.

🏢 Condamnation illico presto - Un homme a volé 10 ordinateurs au quartier général d’Interpol à Lyon, le 15 juillet dernier. Interpelé grâce à la vidéosurveillance, il vient d’être condamné à huit mois de prison ferme.

💸 Amende - Ce mardi 8 août, plusieurs banques, dont la Société Générale et BNP Paribas ont été condamnées par le gendarme boursier américain (SEC), à payer 549 millions de dollars d'amende pour n'avoir pas correctement contrôlé l'utilisation par leurs employés de services de messagerie tels que WhatsApp, iMessage et Signal.

〰️ Cul sec - Réponse 〰️

Réponse C - L'enregistrement audio d'une personne en train de taper au clavier

Des chercheurs britanniques ont publié une nouvelle étude décrivant une cyberattaque hypothétique exploitant l'enregistrement audio d'une personne en train de taper sur un clavier pour dérober ses données personnelles. Cette technique novatrice repose sur un algorithme personnalisé basé sur l'apprentissage en profondeur, capable d'analyser les sons de frappe du clavier et de les décoder automatiquement en texte. Les résultats de la recherche ont révélé que cette méthode permettait de déchiffrer avec précision les frappes dans 95 % des cas.

De tels enregistrements pourraient être facilement effectués à l'aide du micro d'un téléphone portable ou d'une application de vidéo-conférence comme Zoom. 

Si les attaques acoustiques ne sont pas nouvelles, les chercheurs craignent que l'intégration de l'intelligence artificielle dans ce type d’attaques amplifie leur efficacité en matière de vol de données.

〰️ Digestif 〰️

🐼 “Protect our wildlife, before it’s too late.”

Le WWF allemand a collaboré avec l’agence de publicité McCann Germany pour créer une illustration représentant l’évolution du logo Twitter depuis sa création en 2006, soulignant ainsi l'importance de la protection de la faune et de la flore. Brillant ! ✨

Votre Shake de l'actu cyber et digitale vous attend chaque samedi ! Aidez-nous à toucher plus de personnes en partageant cette newsletter avec vos proches.

Vous avez un avis ou une question ? Répondez simplement à cet e-mail, nous serons ravis de vous lire !

Abonnez-vous, recommandez, et faisons grandir ensemble la culture numérique ! 👇👇👇

“Shake it, share it”