🇮🇱 Oops, le chef de l'espionnage technique israélien révèle son identité par erreur

Salut 👋, j’espère que tu as passé une bonne semaine. C’est l’heure de se plonger dans l’actu cyber et digitale, et ça remue !

Au programme :

1. À la une : 🇮🇱 Oops, le chef de l'espionnage technique israélien révèle son identité par erreur,

2. 💵 Crowdfense sort le chéquier pour son son programme d'acquisition d’exploits “zero-day”,

3. 🇨🇳 Vulnérabilités Ivanti : la Chine continue d’exploiter le filon,

4. 🎡 Change Healthcare, c’est reparti pour un tour,

5. 🛠️ 10 ans après, Home Depot de nouveau victime d’une violation de données,

6. En Image : ⏪ Retour sur l’intrusion de l'été 2023 dans Microsoft Exchange Online,

7. Rapport : 🇬🇧 La réaction des entreprises britanniques face aux failles de sécurité inquiète les experts

8. Interview : 🎙 Guillaume Tissier, Directeur général du Forum InCyber Europe

🇮🇱 Oops, le chef de l'espionnage technique israélien révèle son identité par erreur

La boulette. Après plus de 20 ans dans l’ombre, Yossi Sariel, chef de l'Unité 8200, la plus connue et prestigieuse unité de renseignement militaire israélienne et l’une des plus puissantes agences de renseignement technique du monde, aux côtés de la NSA américaine, du GCHQ britannique ou, un peu plus loin dans le classement des moyens, de la direction technique de la DGSE, a vu son identité exposée publiquement à la suite d'une erreur de confidentialité. Ou d’OPSEC pour les intimes.

Cette bourde de sécurité s'est produite lorsque Sariel lui-même, a publié anonymement un livre en 2021 sur Amazon sous le pseudonyme “Général de brigade YS”. Cet ouvrage, intitulé “The Human Machine Team”, discute de l'intégration de l'IA dans les interactions militaires, mais a inclus malencontreusement une adresse e-mail “anonyme” menant directement à un compte Google privé créé avec son nom réel.

Yossi Sariel, un général embourbé dans la controverse

Au-delà de cette erreur flagrante, le mandat de Sariel à la tête de l'Unité 8200 a été marqué par des controverses notables, notamment l'échec de cette unité à anticiper l'assaut meurtrier du Hamas sur Israël en 2023. Ses détracteurs dénoncent une “prétention technologique” qui aurait nui à la collecte de renseignements plus conventionnels, ou HUMINT.

De plus, les derniers événements dans la guerre à Gaza semble effectivement démontrer que les forces armées israéliennes ont pleinement adopté la vision exposée dans le livre de Sariel, en ayant recours à des systèmes d’IA, décriés, pour des tâches de plus en plus complexes sur le champ de bataille.

L’IA “machine à cibles” qui déraille

Dans son livre publié en 2021, Sariel met en lumière le concept d'une “machine à cibles” pilotée par l'IA, dont les descriptions rappellent étroitement les systèmes de recommandation de cibles utilisés pendant les 6 derniers mois par les forces armées israéliennes lors de leurs bombardements à Gaza.

Parmi ces systèmes d'intelligence artificielle figurent “Habsora” (Gospel en anglais), dont nous vous parlions dans le Shake du 9 décembre dernier, et “Lavender”, un système d’IA de recommandation de cibles, révélé récemment dans une nouvelle enquête du média indépendant israélien “+972 Magazine”.

Du gospel et de la lavende, ça semble plutôt sympa. Selon des sources, ces deux systèmes auraient été directement impliqués dans la génération de cibles de tirs militaires et ont joué un rôle central dans le bombardement sans précédent des Palestinens de Gaza ces derniers mois. L’usage débridé de ces IA expliquerait en grande partie les nombreuses victimes civiles collatérales.

⏪ Retour sur l’intrusion de l'été 2023 dans Microsoft Exchange Online

En mai 2023, un acteur de menace connu sous le nom de Storm-0558 a compromis les comptes de messagerie Microsoft Exchange Online d'un large éventail de victimes aux États-Unis, au Royaume-Uni et ailleurs. Selon plusieurs sources, Storm-0558 poursuivait des objectifs d'espionnage pour la République populaire de Chine. Retour sur l’un des incidents de cyberespionnage les plus importants de 2023.

Si l’on en reparle maintenant, c’est parce que le ministère américain de la sécurité intérieure a publié récemment les conclusions et les recommandations du Cyber Safety Review Board à la suite d’une enquête indépendante. Le Cyber Safety Review Board des USA est voulu comme un équivalent, dans le monde cyber, au Bureau d'enquêtes et d'analyses pour la sécurité de l'aviation civile (BEA) que l’on trouve en France pour le domaine aérien.

Quels sont les enseignements à retenir ?

👉 L'intrusion était “évitable”. Le rapport met en évidence une cascade d’erreurs, des contrôles de sécurité non effectués et une tendance inquiétante de Microsoft à sous-investir dans la sécurité des entreprises. 

👉 L'incapacité de Microsoft à détecter elle-même la compromission. Obligée de s’en remettre à la notification d’un de ses clients, le Département d’Etat américain.

👉 Des lacunes de communication. Des déclarations publiques inexactes et un manque de réactivité pour les corriger.

💵 Crowdfense sort le chéquier pour son son programme d'acquisition d’exploits “zero-day”

Crowdfense, un acteur de premier plan dans le domaine de la recherche et de l'acquisition de vulnérabilités zero-day, a annoncé la semaine dernière offrir une impressionnante somme de 30 millions de dollars dans le cadre de son programme de recherche d'exploits. Cette annonce marque une nouvelle étape importante pour l’entreprise qui avait déjà fait parler d'elle en 2019 avec un programme de primes de 10 millions de dollars. Ca va faire plaisir aux chasseurs de bug bounties.

La hausse des primes s'explique par l'amélioration des mesures de sécurité par les fournisseurs de logiciels, rendant la découverte de failles zero-day plus complexe et donc plus précieuse. Le programme propose des récompenses allant jusqu'à 9 millions de dollars pour des chaînes complètes de vulnérabilités inédites et exclusives. Des exploits pour des plateformes très utilisées comme les iPhones, Android, Chrome, Safari, WhatsApp et iMessage sont les plus recherchés. Ci-dessous, la liste complète des primes pour les vulnérabilités les plus recherchées par la société :

Le programme s’adresse aux chercheurs en sécurité et aux groupes spécialisés dans la découverte de vulnérabilités informatiques. Ces découvertes sont ensuite souvent revendues à des agences de renseignement, aux forces de l'ordre ou à des fournisseurs de gouvernements pour développer des outils de hacking destinés à des enquêtes.

🇨🇳 Vulnérabilités Ivanti : la Chine continue d’exploiter le filon

Dans un billet de blog publié le 4 avril, l’entreprise américaine de cybersécurité et filiale de Google, Mandiant, est revenu sur les méthodes d'exploitation des acteurs de menaces chinois, ciblant spécifiquement les vulnérabilités au sein des solutions Ivanti. Ce développement fait suite à la découverte en début d’année, des vulnérabilités critiques CVE-2023-46805, CVE-2024-21887 et CVE-2024-21893, affectant les passerelles Ivanti Connect Secure et Ivanti Policy Secure.

Depuis la divulgation publique en janvier dernier, Mandiant a observé huit clusters distincts exploitant une ou plusieurs de ces vulnérabilités Ivanti. Parmi eux, 5 groupes suspectés d'espionnage ont été identifié comme étant liés à la Chine, avec une activité particulièrement notable de la part du groupe UNC5291, évalué comme étant Volt Typhoon par Mandiant. Ce groupe cible principalement les secteurs de l'énergie et de la défense aux États-Unis. L'analyse révèle également l'implication de cybercriminels motivés financièrement, exploitant ces failles pour des opérations telles que le minage de cryptomonnaies.

Face à ces menaces, Mandiant recommande aux clients d’adopter une stratégie de défense en profondeur en appliquant d’une part, le nouveau correctif publié le 3 avril pour toutes les versions supportées d'Ivanti Connect Secure, et d’autre part, en exécutant l’outil amélioré de vérification d'intégrité (ICT) également lancé le 3 avril, afin de détecter les tentatives de persistance de malwares à travers les réinitialisations d'usine et les mises à niveau du système, ainsi que d'autres tactiques, techniques et procédures (TTP) observées sur le terrain.

🎡 Change Healthcare, c’est reparti pour un tour

Quelques semaines seulement après s'être remis d'une attaque menée par le gang de rançongiciel ALPHV (ou BlackCat), Change Healthcare est à nouveau sous les feux des projecteurs suite à une seconde offensive dévastatrice, cette fois-ci orchestrée par le groupe RansomHub. Cette attaque vient remuer le couteau dans la plaie d’une entreprise déjà largement en proie à de graves difficultés dans le domaine de la cybersécurité.

RansomHub, un groupe de cybercriminels jusqu'ici peu connu, a revendiqué le vol de 4 To de données appartenant à Change Healthcare. Ces données incluent entre autres, des informations sensibles sur le personnel militaire américain, des patients, ainsi que des dossiers médicaux et financiers. Ces données n'ont pas encore été divulguées ni vendues, mais elles pourraient l'être au plus offrant si l'entreprise ne paie pas une rançon exigée dans moins de deux semaines.

Ce nouvel incident soulève des questions cruciales sur la capacité de l'entreprise à sécuriser ses informations sensibles et la place dans une position délicate. Alors que des analystes affirment que Change Healthcare aurait payé une rançon de 22 millions de dollars à ALPHV à la suite de l'incident de février (information non confirmée par l’entreprise), Change Healthcare va devoir de nouveau réfléchir à la question de savoir s'il faut payer, à un moment particulièrement difficile pour l'entreprise.

🛠️ 10 ans après, Home Depot de nouveau victime d’une violation de données

Une récente fuite de données a ébranlé Home Depot, un géant américain du bricolage, suite à une négligence par un de ses fournisseurs de logiciels SaaS. Cet incident a conduit à la divulgation d’informations personnelles d'un groupe d'employés de l’entreprise. Ces données sont désormais proposées à la vente sur le Dark Web.

Home Depot, déjà été victime d'une importante violation de données il y a 10 ans, déjà via un tiers, se retrouve une fois de plus au centre de l’attention en matière de protection des données. Cet incident est important car il démontre une fois de plus l'importance cruciale de choisir des fournisseurs tiers solides en terme de cybersécurité. Pour éviter cette mésaventure, plusieurs solutions existent pour limiter les risques.

D’une part, avant de confier vos données à un fournisseur, Il est recommandé de tester la sécurité des flux de travail avec des données non sensibles. D’autre part, le paysage des menaces étant en constante évolution, des audits réguliers et de la formation continue sur les meilleures pratiques de sécurité doivent être réalisés.

🇬🇧 La réaction des entreprises britanniques face aux failles de sécurité inquiète les experts

Le rapport du ministère des sciences, de l'innovation et de la technologie britannique (DSIT), publié ce mardi 9 avril, dépeint la sécurité comme une préoccupation secondaire, vis à vis de la manière dont les violations sont traitées.

À retenir :

👉 Déclin de la sensibilisation cyber chez les petites et micro entreprises. Selon l’enquête, la notoriété des campagnes d'information du NCSC (Centre national de la cybersécurité), a diminué au cours des dernières années. Les ressources et guides du NCSC disparaissent progressivement des radars, en particulier dans cette catégorie d’entreprises.

👉 La réaction des entreprises britanniques face aux failles de sécurité n’est pas à la hauteur. Les chiffres relatifs à la manière dont les violations sont traitées sont alarmants.

• Par exemple, seulement 22 % des 2 000 entreprises interrogées ont mis en place un plan formalisé de réponse aux incidents.

• Au cours de 12 derniers mois, seulement 10 % des entreprises ont contacté les autorités lorsqu'elles ont détecté une violation.

Pas de carte cette semaine ? 😢 Pas tout a fait, on t’explique !👇

On a pris la décision de sortir “La Carte” du Shake, d’une part, pour alléger la newsletter, et d’autre part, pour développer davantage ce format dans une diffusion dédiée, chaque dimanche.

On s’est rendu compte qu’on avait beaucoup d’actualités identifiées dans notre veille, et d’intérêt général, qu’on ne pouvait pas mettre dans le Shake.

Alors plutôt que de garder ça pour nous, on s’est dit que ça pourrait en intéresser certains d’entre vous ! Comme les experts et les afficionados !

Cette semaine, la veille Shakerz a repéré 7 autres news intéressantes. Sécurité mobile, hack, violation de données, stratégie nationale de l’Australie…

Exceptionnellement, tous les Shakerz recevront donc demain l’édition de ce nouveau format.

Exceptionnellement, ah bon ? Oui, d’ici quelques semaines on l’enverra uniquement à ceux qui le demandent ! Alors si t’es chaud, dis le nous dès maintenant👇

🎙 Entretien avec Guillaume Tissier, Directeur général du Forum InCyber Europe

Le 26, 27 et 28 mars dernier, Shakerz était présent au Forum InCyber Europe à Lille pour donner la parole aux experts de la cybersécurité, de l’IA et du numérique. Pour mieux comprendre l’essentiel.

On commence cette série d’interviews avec Guillaume Tissier, le Directeur général du Forum InCyber Europe.

Comme toujours, merci de nous avoir lu. Pour soutenir la diffusion d’une culture de cybersécurité pour tous, partage le shake autour de toi 👐

Passe un bon week-end et à la semaine prochaine ! ✌️