🇺🇳 Nations Unies et Cour suprême contre la cybersurveillance

Salut Shaker 👋

C’est vendredi, voici le Shake. Pour toi, voici ce que l’on a retenu du digital et de la cyber cette semaine.

Dans l’actu :

👨🏻‍⚖️ La Court Suprême des États-Unis valide la plainte de Meta contre NSO Group,

☢️ Des laboratoires de recherche nucléaire américains ciblés par des hackers russes,

🏎️ Les grandes marques automobiles sujettes à des vulnérabilités critiques,

🤖 Les cybercriminels s’appuient aussi sur l’Intelligence Artificielle,

🗣️ La liberté d’expression au coeur des négociations du projet de traité des Nations Unies sur la cybercriminalité,

🚨 Une faille de haute gravité découverte dans une implémentation JWT populaire.

On t’explique tout ça plus bas.

Retrouvez le mag : 🧨 les principales techniques de déni de service, des ingrédients à la carte pour partager vos propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture !

La Shakerz core team

〰️ La reco du barman 〰️

👨🏻‍⚖️ La Cour Suprême des États-Unis valide la plainte de Meta contre NSO Group

La Cour suprême des États-Unis vient de rendre ce lundi 9 janvier un jugement clé dans une affaire qui oppose depuis 2019 Meta et sa filiale WhatsApp à l'entreprise israélienne de logiciels espions NSO Group.

Depuis plusieurs années, Meta accuse NSO d'avoir utilisé une vulnérabilité de type zero-day présente dans son application WhatsApp pour installer à distance son logiciel malveillant Pegasus sur environ 1 400 téléphones à travers le monde.

Rappel de l’affaire Pegasus

L’affaire Pegasus est un scandale d’espionnage international mondialement célèbre dans lequel les téléphones de chefs d’état, personnalités politiques, journalistes, opposants ou acteur de la société civile avaient été espionnés dans le monde entier grâce au logiciel espion “Pegasus” développé par l’entreprise israélienne NSO. Ce scandale a vu le jour le 18 juillet 2021 suite aux révélations d’un consortium de journalistes. Depuis, l’entreprise israélienne a sur le dos plusieurs enquêtes judiciaires, parlementaires et procès, dont celui l’opposant à Meta.

NSO s’oppose aux poursuites

Suite aux accusations de Meta, NSO avait tenté de mettre un terme aux poursuites en arguant avoir agi au nom d'un gouvernement étranger pour enquêter sur des activités terroristes au moment du déploiement du logiciel. À ce titre, l’entreprise estime devoir bénéficier de l’immunité souveraine des États étrangers. Sa tentative de justification n’avait pas convaincu le tribunal fédéral de Californie qui avait décidé de valider la plainte de Meta.

Campée sur ses positions, NSO avait donc décidé de faire appel de la décision devant la Cour suprême des États-Unis. Ce lundi 9 janvier, la Cour suprême des États-Unis vient donc confirmer le verdict précédent, le renvoyant ainsi devant la cours d’appel.

Malgré les différents verdicts en faveur de Meta, NSO campe sur ses positions et maintient que l'utilisation de Pegasus était et est toujours tout à fait légale. Suite à la décision de la Cour suprême, un porte parole de NSO est allé jusqu’à déclarer que "Meta a entravé à plusieurs reprises la capacité des forces de l'ordre à enquêter légalement sur l'utilisation de WhatsApp par des criminels pour commettre des crimes graves et des actes de terrorisme" et que l’entreprise est “convaincu que le tribunal déterminera que l'utilisation de Pegasus par ses clients était légale."

Une décision qui ouvre la voie à de futures actions en justice

La décision de la Cour suprême des États-Unis est une très bonne nouvelle pour les journalistes et personnes illégalement ciblées par des logiciels espions.

Selon Carrie DeCell, avocat principal au Knight First Amendment Institute de l'Université de Columbia, "la décision d'aujourd'hui ouvre la voie aux procès intentés par les entreprises technologiques, ainsi qu'aux procès intentés par les journalistes et les défenseurs des droits de l'homme qui ont été victimes d'attaques de logiciels espions. L'utilisation de logiciels espions pour surveiller et intimider les journalistes constitue l'une des menaces les plus urgentes pour la liberté de la presse et la démocratie aujourd'hui."

🧨 Les techniques de déni de service

Une attaque DDoS (Distributed Denial of Service) est une attaque qui vise à rendre inaccessible des systèmes d’information, des dispositifs ou d'autres ressources réseau pour les utilisateurs légitimes en surchargeant la cible de trafic.

Parmi les services touchés, on retrouve généralement les messageries électroniques, les sites web, les comptes en ligne et d'autres services dépendants de l'ordinateur ou du réseau ciblé. Ces attaques entrainent des pertes de temps et d'argent pour les organisations impactées qui ne peuvent plus accéder à leurs ressources et services.

〰️ Vos shots 〰️

☢️ Des laboratoires de recherche nucléaire américains ciblés par des hackers russes

Des documents examinés par Reuters et cinq experts en cybersécurité font état d’une attaque informatique ayant ciblé, entre août et septembre de l'année dernière, des laboratoires de recherche nucléaire aux États-Unis. Les laboratoires américains de Brookhaven (BNL), d'Argonne (ANL) et de Lawrence Livermore (LLNL) ont été visés par un groupe de pirates informatiques russes connu sous le nom de Cold River.

L’attaque informatique aurait eu lieu dans un contexte où la Russie n’hésitait pas à agiter la menace d’avoir recours à l’arme nucléaire dans le cadre du conflit en Ukraine. Selon les informations examinées, les pirates auraient créé de fausses pages de connexion pour chacun des laboratoires et envoyé des emails à des scientifiques pour les inciter à révéler leurs mots de passe. Pour l’heure, les raisons de cette attaque ainsi que l’état de sécurité des laboratoires restent inconnus. Le ministère de l'Énergie américain s'est refusé à tout commentaire à ce sujet.

🏎️ Votre auto de grande marque a des vulnérabilités critiques

Des chercheurs en cybersécurité révèlent dans une étude récente que des millions de véhicules connectés de presque toutes les grandes marques automobiles pourraient être affectés par des vulnérabilités. Les marques concernées sont Mercedes-Benz, BMW, Rolls Royce, Ferrari, Ford, Porsche, Toyota, Jaguar et Land Rover, ainsi que la société de gestion de flotte Spireon et la société de plaques d'immatriculation numériques Reviver. Parmi ces marques, les vulnérabilité les plus inquiétantes, du moins du point de vue de la sécurité publique, ont été découverte chez Spireon. Les chercheurs ont découverts de nombreuses vulnérabilités en matière d'injection SQL et de contournement d'autorisation qui auraient permis a un pirate de prendre le contrôle de n’importe quel véhicule (ambulances et véhicules de police compris) de la marque. De quoi créer un véritable chaos dans les rues.

Concernant Ferrari, les analystes ont pu accéder au code JavaScript de plusieurs applications internes grâce à des contrôles d'accès trop permissifs. Le code contenait des clés d’API et des informations d’identification qui auraient pu être utilisées pour accéder, entre autres, aux dossiers clients, prendre le contrôle des comptes, obtenir des autorisations de super-utilisateur, créer ou supprimer des comptes administrateurs et modifier des sites web officiel de Ferrari.

🤖 Quand les cybercriminels s’appuient sur l’Intelligence Artificielle

L’IA ChatGPT a suscité beaucoup d’enthousiasme depuis sa mise en service en novembre dernier par OpenAI, l’une des entreprises d’Elon Musk. Mais comme tout outil, entre de mauvaises mains, il pourrait être utilisé à des fins malveillantes. C’est, du moins, ce qu’affirment des chercheurs en sécurité de Check Point. Bien que les conditions d'utilisation d'OpenAI interdisent spécifiquement la génération de code malveillants, l’analyse de l’activité de plusieurs grands forums de piratage par les chercheurs suggère que les cybercriminels sont parvenus à contourner les restrictions et utilisent déjà ChatGPT pour développer des logiciels malveillants. Ils avancent même que dans certains cas, ChatGPT permet déjà aux cybercriminels avec de très faibles connaissances techniques en matière de développement informatique, de créer des logiciels malveillants.

Ailleurs, des chercheurs universitaires de l’Université de Cornell sont parvenus à démontrer que de nouvelles attaques pourraient exploiter les modèles Text-to-SQL pour produire un code malveillant. De plus en plus d’applications de base de données utilisent des techniques d’IA pour traduire des questions humaines en requêtes SQL (Text-to-SQL). Les chercheurs ont découvert, qu’en posant certaines questions, il était possible de tromper ces modèles Text-to-SQL pour générer un code malveillant automatiquement exécuté sur la base de données. Les conséquences de ce type d’attaques peuvent être assez dramatiques (violation de données, etc.)

🗣️ La liberté d’expression au coeur des négociations du projet de traité des Nations Unies sur la cybercriminalité

L’EFF participe cette semaine a un nouveau cycle de négociation concernant le projet de traité des Nations Unies sur la cybercriminalité. Electronic Frontier Foundation (EFF) est une organisation à but non lucratif qui défend les libertés civiles dans le monde numérique depuis 1990. L’ONG souhaite faire entendre ses préoccupations sur les projets de dispositions actuellement discutées. Selon l’organisation, les dispositions actuellement sur la table spécifient un bien trop grand nombre de crimes liés au contenu qui mettent en péril la liberté d'expression, la vie privée et les activités légitimes des journalistes, des lanceurs d’alerte et des activistes.

Durant ce nouveau cycle de négociation qui se terminera le 20 janvier, l’EFF s’est fixé plusieurs objectifs, parmi lesquels : garantir l’intégration des droits de l'homme en ligne dans le traité, limiter les infractions pénales proposées aux cybercrimes graves et exclure les crimes liés au contenu, s’opposer à toute inclusion de concepts trop larges qui pourraient autoriser la surveillance gouvernementale et à toutes dispositions qui pourraient nuire au cryptage. Pour mener son combat, l’EFF pourra compter sur le soutien de Privacy International et une coalition de 74 organisations de défense des droits numériques et des droits de l'homme dans plus de 45 pays et régions.

🚨 Une faille de haute gravité découverte dans une implémentation JWT populaire

Des chercheurs de Palo Alto ont découvert une faille critique dans la très populaire bibliothèque open source jsonwebtoken (JWT) qui compte plus de 10 millions de téléchargements hebdomadaires sur le registre des logiciels npm. En version courte, le JWT est un jeton généré par un serveur lors de l’authentification d’un utilisateur sur une application web ou mobile. Tant que le jeton n’est pas expiré ou annulé pour raison de sécurité, l’utilisateur n’a pas à repasser par le processus d’authentification complet lorsqu’il souhaite se connecter à nouveau sur l’application. Répertorié sous le nom de CVE-2022-23529, la vulnérabilité affecte toutes les versions de la bibliothèque, sauf la dernière version 9.0.0 du 21 décembre 2022 dans laquelle la vulnérabilité a été corrigée. La vulnérabilité, si elle est exploitée avec succès, pourrait conduire à “l'exécution de code à distance (RCE) sur un serveur vérifiant une requête JSON web token (JWT) malicieusement conçue" selon Artur Oleyarsh, chercheur de l'unité 42 de Palo Alto Networks.

〰️ Dégustation 〰️

Les cyberattaques se sont intensifiés en 2022

Dans un nouveau rapport, Check Point Research a publié de nouvelles donnés sur les tendances mondiales des cyberattaques en 2022. Les choses ne vont pas en s’améliorant…

À retenir :

• Les cyberattaques mondiales ont augmenté de 38 % en 2022, par rapport à 2021.

• Le nombre de cyberattaques dans le monde a atteint un niveau record au quatrième trimestre 2022.

• Les cyberattaques ont été menées par des groupes de pirates et de ransomware plus petits et plus agiles.

• Les cybercriminels se sont concentrés davantage sur l'exploitation des outils de collaboration utilisés dans les environnements de travail à domicile, suite à l’explosion de l’utilisation de ces outils après le Covid-19.

• Les 3 industries les plus attaquées en 2022 sont l’éducation, le gouvernement et la santé.

• Les organisations de santé ont subi la plus forte augmentation des cyberattaques en 2022 en comparaison des autres industries.

• En 2023, le nombre de cyberattaques peut accélérer à cause de la maturité des technologies d'IA, telles que ChatGPT

〰️ Cul sec - La question 〰️

Quelles agences de cybersécurité correspondent ces sigles ?

1. ENISA A. L’agence de cybersécurité Française2. CISA B. L’agence de cybersécurité Américaine3. ANSSI C. L’agence de cybersécurité Australienne4. ACSC D. L’agence de cybersécurité Britannique5. NCSC E. L’agence de cybersécurité Européenne

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

👨🏻 Portrait - L’organisme chargé de la sécurité numérique de l’État Français a un nouveau Patron. Le gouvernement a annoncé mercredi 4 janvier la nomination de Vincent Strubel en tant que directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Ce polytechnicien du corps des Mines ayant également passé par Telecom Paris, était précédemment directeur de l'Opérateur des systèmes d'information interministériels classifiés (Osiic), qui gère les communications sécurisées de l'Etat. Il remplace à ce poste Guillaume Poupard qui a rejoint le 1er janvier Docaposte (groupe La Poste) en tant que directeur général adjoint et membre du comité exécutif.

⏪ Rewind - Le 12 janvier 2012, Xavier Niel, fondateur de l’opérateur Free Mobile, lâchait une bombe dans le secteur des télécoms en annonçant, en plus du forfait illimité à 19,99 euros par mois, un forfait à 2 euros par mois. En face, à l’époque, un abonnement illimité comparable de SFR coûtait 85 euros par mois. En 2014, l’association UFC Que Choisir estimait que l’arrivée de l’opérateur Free sur le marché avait permis de faire baisser l’ensemble des tarifs de 30%.

⚖️ Évènement - Du 8 au 10 février 2023 se tiendra pour la 20ème édition , l’IT Defense 2023 à Mayence en Allemagne. LE rendez-vous du secteur de la sécurité informatique avec au programme, des conférences techniques et des présentations stratégiques.

〰️ Cul sec - Réponse 〰️

1-E / 2-B / 3-A / 4-C / 5-D

1-E : L’agence de cybersécurité Européenne est l’Agence de l'Union européenne pour la cybersécurité (ENISA)

2-B : L’agence de cybersécurité Américaine est la Cybersecurity & Infrastructure Security Agency (CISA)

3-A : L’agence de cybersécurité Française est l’Agence nationale de la sécurité des systèmes d'information (ANSSI)

4-C : L’agence de cybersécurité Australienne est l’Australian Cyber Security Centre (ACSC)

5-D : L’agence de cybersécurité Britannique est le National Cyber Security Centre (NCSC)

Toutefois le NCSC britannique n’a pas le monopole de ce sigle. D’autres agences de cybersécurité dans le monde portent le sigle NCSC, comme celui des Pays-Bas, de l’Irlande, de la Suisse et de la Nouvelle Zélande. En Europe, l’ensemble des centres nationaux sont répertoriés ici par la Commission Européenne.

A noter que les centres Britannique, Canadien, Australien et Néozélandais font régulièrement des publications communes avec les agences nationales américaines (dont NSA, FBI).

〰️ Digestif 〰️

Bienvenue au Cirque d’Hiver ! 🎪 🤡

Le "guichet unique des formalités des entreprises" a été lancé le 1er janvier 2023 pour simplifier la vie des entreprises dans leurs démarches et ca ne s’est pas passé comme prévu …

Le tweeto H_Miser vous en dit plus

Merci d’être passé ! Rendez-vous samedi prochain pour votre nouveau Shake de l’actu cyber et digitale ! 👋

Rejoignez les Shakerz, abonnez-vous pour recevoir la newsletter hebdomadaire et soutenir notre travail.

“Shake it, don’t fake it“