🔑 Oubliez vos mots de passe : place aux passkeys !

Salut 👋, voici ton digest du digital et de la cyber pour cette semaine.

À la une :

🔑 WhatsApp, Google, Amazon : dites adieu aux mots de passe, place aux passkeys !

Décode l’actu :

📡 Des chercheurs australiens mettent au point un système capable de détecter 99% des cyberattaques de type MitM (man in the middle),

⚖️ Affaire People v. Seymour, la Cour suprême du Colorado confirme le bien-fondé d'un mandat de recherche par mots-clés,

🔔 Flipper Zero permet désormais d’envoyer des notifications aux appareils iOS, Android et Windows,

🇨🇭 La sûreté du système de vote électronique suisse remise en question,

On t’explique tout ça plus bas.

Retrouve le mag :

🇮🇱🇵🇸 Les cyber menaces dans le conflit israélo-palestinien,

🇪🇺 L’Union européenne, un abri pour les fabricants de logiciels espions,

🍋 Et des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau.

〰️ La reco du barman 〰️

🔑 WhatsApp, Google, Amazon : adieu aux mots de passe, place aux passkeys !

Que sont les passkeys ?

Les passkeys sont une révolution dans le monde de la sécurité en ligne. De plus en plus utilisés en lieu et place des mots de passe traditionnels, les passkeys simplifient la manière dont les utilisateurs accèdent à leurs applications et sites web.

Contrairement aux mots de passe traditionnels qui sont souvent basés sur des informations personnelles vulnérables, les passkeys offrent une expérience de connexion facilitée et hautement sécurisée en permettant aux utilisateurs de se connecter à leurs comptes de la même manière qu'ils déverrouillent leurs smartphones. Ils peuvent ainsi utiliser leur empreinte digitale, la reconnaissance faciale ou même un code PIN, éliminant ainsi la nécessité de mémoriser de multiples mots de passe complexes.

L'un des principaux avantages des passkeys est leur résistance aux attaques en ligne telles que le phishing. Les pirates ne peuvent plus tromper leurs cibles pour qu'ils divulguent leurs mots de passe, car ces derniers ne sont plus nécessaires. De plus, cette couche de sécurité supplémentaire rend les passkeys plus fiables que les codes à usage unique envoyés par SMS, qui peuvent être interceptés.

En résumé, les passkeys représentent une avancée significative dans la protection des comptes en ligne, en éliminant les contraintes liées aux mots de passe et en offrant une sécurité renforcée contre les menaces en ligne.

Google, Amazon et WhatsApp à la manœuvre

Depuis un certain temps, de nombreux acteurs travaillent sur cette alternative plus simple et plus sûre que les mots de passe. Bien que déjà présente dans les trousseaux de mots de passe de Google Chrome et d'Apple, l’intégration des passkeys s’est accéléré récemment.

Tout d'abord, Google a annoncé dans un communiqué le 10 octobre, à l’occasion du mois de la sensibilisation à la cybersécurité, qu'elle ferait des passkeys, la méthode d'authentification par défaut pour les comptes Google, simplifiant ainsi les futures connexions de ses utilisateurs.

WhatsApp, de son côté, après plusieurs semaines de tests en version bêta, a annoncé officiellement le 16 octobre dans un tweet, le lancement des passkeys pour le grand public dans les semaines à venir. Pour l’heure, la fonctionnalité, en cours d'implémentation, est uniquement intégrée à la version Android de Whatsapp et permet aux utilisateurs de s'identifier à leur compte par le biais d'une empreinte digitale ou de la reconnaissance faciale.

Enfin, bien que l'entreprise n'ait pas encore fait d'annonce officielle à ce sujet, Amazon a discrètement déployé cette semaine la prise en charge des passkeys sur sa plateforme de commerce électronique. Github a suivi.

Mais ce n’est pas tout, d’autres entreprises bien connues, telles que Uber, Ebay ou encore Dashlane ont également mis en place récemment le support des passkeys sur leurs plateformes. L’intégration et l’adoption des passkeys semble définitivement lancée.

Se séparer des mots de passe est une nécessité

L'adoption des nouvelles technologies, tel que les passkeys peut prendre du temps, ce qui signifie que l'utilisation des mots de passe traditionnels pourrait persister pour un certain temps. Pour l’heure, l’intégration des passkeys au sein des plateformes ne représente qu’un moyen d’authentification supplémentaire. Par conséquent, les utilisateurs conserveront encore la possibilité d'utiliser un mot de passe pour leur authentification.

Néanmoins, il ne faudra pas que cette adoption tarde à se généraliser auprès du grand public. Car même après des années de rabâchages, les bonnes pratiques en matière de gestion des mots de passe ne sont toujours pas maîtrisées, même par les profils “informatique”.

En effet, une récente étude en sécurité informatique de Outpost24 a révélé que de nombreux administrateurs système se reposent sur des dizaines de milliers de mots de passe faibles pour sécuriser l'accès à leurs portails, offrant ainsi aux pirates l’opportunité de pénétrer les réseaux d'entreprise. Parmi les plus de 1,8 million d'identifiants d'administrateurs examinés, il a été constaté que plus de 40 000 d'entre eux utilisaient le mot de passe par défaut "admin". Il y a de quoi s’alarmer …

〰️ En image 〰️

🇮🇱🇵🇸 Les cyber menaces dans le guerre israélo-palestinienne

Ce rapport offre une analyse détaillée de plus de 200 000 vecteurs d'attaque détectés par la plateforme de renseignement avancé ThreatMon lors de la cyberguerre qui a eu lieu en Israël et en Palestine entre le 5 et le 13 octobre 2023.

Nota: le rapport ne faisant pas systématiquement la distinction entre la bande de Gaza, le Hamas et la Palestine, ce zakouski ne le fait pas non plus.

〰️ Vos shots 〰️

📡 Des chercheurs australiens mettent au point un système capable de détecter 99% des cyberattaques de type MitM

Des chercheurs universitaires australiens spécialisés en intelligence artificielle ont développé un système de détection de cyberintrusions pour les robots militaires autonomes.

La particularité de ces systèmes robotiques est qu’ils peuvent être compromis à plusieurs niveaux : au niveau du système, du sous-système, du composant ou du sous-composant. Ainsi, prévenir ces attaques s'avère particulièrement complexe. D’autant plus que ces robots modernes sont également résiliants aux pannes et aux situations défaillantes.

Le système mis au point par les chercheurs utilise des réseaux neuronaux convolutionnels à apprentissage profond pour permettre aux robots autonomes militaires et civils de repérer les attaques de type "man-in-the-middle" (MitM). Cette solution vise à renforcer la sécurité des robots en réduisant les vulnérabilités de leur système d'exploitation.

L'algorithme a montré une précision de 99 % lors des tests sur ce véhicule militaire américain (GVT-BOT). Bien que l'accent soit mis sur la détection des attaques MitM, les chercheurs soulignent tout de même que les robots autonomes restent vulnérables à d'autres formes de cyberattaques en raison des failles de leur système d'exploitation.

⚖️ Affaire People v. Seymour, la Cour suprême du Colorado confirme le bien-fondé d'un mandat de recherche par mots-clés

Le 16 octobre, la Cour suprême du Colorado est devenue la premiere cour suprême d’un État des États-Unis à examiner (et à valider) la constitutionnalité des mandats de recherche par mot-clé, une procédure utilisée par la police pour demander à Google une liste d’utilisateurs ayant effectué des recherches sur Internet à partir de termes spécifiques.

Dans un avis “peu convainquant et confus” selon l’ONG internationale de protection des libertés Electronic Frontier Foundation, la cour suprême a finalement estimé que la police avait agit de bonne foi dans l’affaire People v. Seymour. Une affaire d’incendie criminel tragique dans laquelle, faute de suspects, la police a obtenu un mandat de recherche par mot-clé pour obtenir des informations d'identification de toutes les personnes ayant effectué des recherches liées à l'adresse de la maison au cours des deux semaines précédant l'incendie.

Bien que la Cour ait reconnu le droit à la vie privée des utilisateurs concernant leurs recherches sur Internet, soulignant leur impact sur la liberté d'expression, selon l’avis de l’EFF, la majorité des juges a émis un avis superficiel en ne remettant pas en question la constitutionnalité du mandat de recherche initial.

Cette décision soulève des préoccupations quant à l'impact sur la vie privée des utilisateurs et la liberté d'expression, et l'EFF a déclaré dans un communiqué qu’elle continuera de contester ces mandats devant les tribunaux et de soutenir des initiatives législatives pour les interdire complètement (aux USA).

🔔 Flipper Zero permet désormais d’envoyer des notifications aux appareils iOS, Android et Windows

L'application BLE Spam, auparavant utilisée principalement pour inonder de messages d'appairage de proximité les appareils iOS, a récemment connu une évolution significative grâce aux développeurs travaillant sur le firmware Xtreme pour Flipper Zero. Cet appareil prenant la forme d’une console de jeu n’est pas un gadget mais un outil robuste pour effectuer des intrusions (en test ou réelles) à partir de moyens électroniques. Avec peu de connaissances techniques.

Cette mise à jour élargit le champ d'action de l’application en permettant désormais de spammer non seulement les appareils iOS, mais aussi les appareils Android et Windows pour mener des attaques locales. Elle n'est pas encore intégrée à la version officielle du firmware, mais les utilisateurs intéressés peuvent la télécharger à partir du serveur Discord XFW en tant que version de développement.

Avec cette mise à jour, l’application peut désormais cibler la technologie appelée “appairage de proximité” d’Apple, “Swift Pair” de Windows et “Fast Pair” de Google. Bien que nommés différemment, ces systèmes fonctionnent tous de la même manière. Si, à proximité d'un appareil, se trouve un gadget BLE (Bluetooth Low Energy), tel qu'un casque audio, prêt à être appairé, il commence à émettre des messages sur les appareils à proximité pour les avertir.

Si ces messages sont interceptés, ils peuvent être usurpés et rejoués pour diffuser des messages personnalisés et mener des attaques locales dans un rayon de 50 mètres. En revanche, pour Windows, le rayon d’action est de moins d’1 mètre.

🇨🇭 La sûreté du système de vote électronique suisse remise en question

Ce n’est pas nouveau, le vote en ligne, partout où il est utilisé (États-Unis, Brésil, etc.) suscite des préoccupations en matière de sécurité et remet généralement en cause la légitimité des résultats. Et la Suisse n'échappe pas à ces inquiétudes. Dans un article publié sur “Freedom to Tinker” le 6 octobre dernier, le chercheur Andrew Appel rappelle les failles du système de vote électronique suisse pour les élections nationales, qu’il avait déjà identifié l’année dernière. Selon lui, ces vulnérabilités, pourraient permettre à des acteurs malveillants de manipuler les votes des électeurs et ainsi, altérer les résultats du vote.

Cependant, une nouvelle vulnérabilité intéressante a été découverte par Andreas Kuster, un informaticien suisse vivant à l'étranger. Pour prévenir toute manipulation ou interférence, le système de vote électronique de la Poste suisse envoie par courrier physique des codes de vérification imprimés sur papier. Ce code, qui n’est donc pas connu de l’ordinateur potentiellement infecté, vise à valider le vote électronique de l’utilisateur sur la plateforme de vote en ligne.

Sur le principe, ca fonctionne. Sauf que Kuster a découvert que le courier ne contenait pas les instructions pour procéder à la vérification du code. Celles-si sont disponibles uniquement sur le site web de vote. Cette grossière erreur remet en cause toute la sécurité de la méthode, car en cas d'infection par un logiciel malveillant, l'électeur peut être redirigé vers un faux site web avec des instructions différentes, ou le logiciel malveillant peut également modifier le comportement du site web authentique, comme l'a démontré M. Kuster.

Après avoir signalé la vulnérabilité à la Poste Suisse selon les protocoles de “divulgation responsable”. Suite à période de non-divulgation de 90 jours et à l’absence de correctif, M. Kuster a décidé de porter l'affaire à l'attention du public. Au final, malgré les tentatives de sécurisation du vote électronique, la leçon à retenir est que le vote sur papier demeure encore la solution la plus sûre.

〰️ Dégustation 〰️

🇪🇺 L’Union européenne, un abri pour les fabricants de logiciels espions

Le rapport “The Predator Files: Caught In The Net” d’Amnesty International met en lumière l'ampleur du problème des technologies de surveillance vendues à des gouvernements du monde entier et l'inadéquation des réglementations existantes. Il souligne également une nécessité urgente pour les gouvernements, l'Union européenne et les entreprises de surveillance de prendre des mesures significatives pour respecter les droits de l'homme et de mettre en œuvre des mécanismes de responsabilité afin d'empêcher de nouveaux abus des technologies de surveillance.

Des personnalités de premier plan impliquées

Amnesty International a découvert que parmi les personnes ciblées, même si elles n'étaient pas nécessairement infectées, figuraient des personnalités de premier plan telles que la présidente du Parlement européen, Roberta Metsola, la présidente de Taïwan, Tsai Ing-Wen, le membre du Congrès américain Michael McCaul, le sénateur américain John Hoeven, l'ambassadrice d'Allemagne aux États-Unis, Emily Haber, et l'eurodéputé français Pierre Karleskind. La liste des cibles s'étend également à de nombreux fonctionnaires, universitaires et institutions.

Opération de surveillance liée au Vietnam

Le rapport révèle une opération de surveillance ciblée spécifique liée au Vietnam, où le logiciel espion Predator d'Intellexa a été utilisé pour cibler les comptes de médias sociaux de diverses personnes et institutions, y compris des personnalités politiques, des chercheurs universitaires et des groupes de réflexion. Google a confirmé le lien entre ces attaques et la campagne Intellexa Predator, suggérant ainsi l'implication des autorités vietnamiennes ou de leurs agents.

L'enquête a révélé également qu'une société affiliée à l'alliance Intellexa a conclu un accord de plusieurs millions d'euros pour des "solutions d'infection" avec le ministère vietnamien de la sécurité publique (MOPS) au début de 2020, sous le nom de code "Angler Fish". Les documents et les dossiers d'exportation ont confirmé la vente du logiciel espion Predator au MOPS par l'intermédiaire de sociétés de courtage. Cela démontre un lien direct entre Intellexa et la vente de technologies de surveillance à une entité gouvernementale au Vietnam.

Des produits de l’alliance Intellexa identifiés dans le monde entier

L'enquête Predator a révélé que des produits de l'alliance Intellexa ont été identifiés dans au moins 25 pays d'Europe, d'Asie, du Moyen-Orient et d'Afrique, et vendus dans au moins 25 pays, dont la Suisse, l'Autriche et l'Allemagne.

D'autres clients se trouvaient dans des pays tels que le Congo, la Jordanie, le Kenya, Oman, le Pakistan, le Qatar, Singapour, les Émirats arabes unis et le Vietnam.

Ces produits ont été utilisés pour porter atteinte aux droits de l'homme, à la liberté de la presse et aux mouvements sociaux à l'échelle mondiale.

〰️ À La carte 〰️

📦 Déménagement - Le 12 octobre, l’ANSSI a annoncé le déménagement de son site web de https://ssi.gouv.fr à https://cyber.gouv.fr. Ce changement a pour but d’offrir aux citoyen(nes) “une cohérence graphique et une meilleure expérience à travers l'ensemble des sites internet de l'État”, ainsi qu’une “meilleure identification et compréhension des missions de l’ANSSI en tant qu’autorité nationale en matière de cybersécurité et de cyberdéfense au niveau national et international”. Un bug bounty est également en cours pour s’assurer du maximum de sécurité du site. On attend avec impatience le même effort pour rendre plus attractif le site Cybermalveillance.gouv.fr

🏥 Ransomware - L'assureur national de santé des Philippines, qui couvre 100 millions de personnes, a subi une attaque de ransomware. L’organisme était sans protection antivirus pendant les six mois qui ont précédé l'incident. Pour défaut de renouvellement du contrat. En conséquence, 750 gigaoctets de données compromises sont actuellement accessibles sur le dark web. Au final, la pseudo économie de license aura coûté bien cher.

💻 Fuite de données - Shadow, un service basé sur le cloud pour les jeux sur PC Windows et autres, s'est fait voler à la fin du mois de septembre sa base de données clients lors d'une violation de données résultant d'une attaque d'ingénierie sociale sur un employé. Les données de 533 624 clients ont été mises en vente sur un forum de cybercriminalité.

✅ Mise à jour de sécurité - Microsoft a corrigé un problème qui faisait échouer les mises à jour de sécurité de Windows 10 publiées lors du Patch Tuesday d'octobre. Ce problème a fait échouer la mise à jour de sécurité KB5031356.

🇺🇦 Télécommunication - De mai à septembre 2023, l'équipe d'intervention en cas d'urgence informatique de l'Ukraine (CERT-UA) a identifié des interférences avec 11 fournisseurs de services de télécommunications en Ukraine.

🐺 Ressource - Pour répondre à la menace permanente de cyberattaques sur les infrastructures critiques par le biais d'actifs OT vulnérables, la NSA a mis en place une ressource appelée ELITEWOLF. Cette capacité, disponible sur le GitHub cyber de la NSA, offre des signatures et des analyses de détection d'intrusion OT.

⚠️ Vulnérabilité - Une grave faille de sécurité dans les routeurs cellulaires industriels Milesight a été identifiée. Il existe environ 5 500 routeurs Milesight exposés à l'internet, mais seulement environ 5 % d'entre eux exécutent les versions vulnérables du micrologiciel, ce qui les rend sensibles à ce problème.

💵 Amende - Le 16 octobre, X (Anciennement Twitter) a été condamné par la justice australienne, à payer une amende de 380 000 dollars en raison de "graves" manquements dans la lutte contre la pédopornographie et le "grooming" sur la plateforme.

📲Malware - Les analystes de l’entreprise française Sekoia pensent que le groupe à l'origine des campagnes de diffusion de logiciels malveillants SocGholish (actif depuis 2018) est également responsable de ClearFake, un nouvel outil pour prendre le contrôle de machones. Les acteurs de la menace compromettent les sites web WordPress et injectent du code JavaScript pour télécharger une charge utile JavaScript malveillante à partir d'un domaine sous le contrôle de l'attaquant.

🙅 Démenti - L’application de communication chiffrée Signal a publié un communiqué dans lequel elle indique n’avoir trouvé aucune preuve étayant l'existence d'une vulnérabilité zero-day dans sa plateforme de communication.

🚨 Bug - Un bug majeur a été découvert dans l'utilitaire Linux curl. Bien que pas exploitable facilement, le bug touche plusieurs millions de systèmes. La faille découverte par le développeur principal de Curl, Daniel Stenberg, est passée sous les radars pendant 1315 jours. Il décrit cette faille sur son blog personnel comme “le pire problème de sécurité découvert dans curl depuis longtemps”.

〰️ Digestif 〰️

Cette maladie est très contagieuse

Bonnes vacances à tous ceux qui en prennent, petits ou grands, humains et téléphones !

Votre Shake de l'actu cyber et digitale vous attend chaque samedi !

Vous avez un avis ou une question ? Répondez simplement à cet e-mail, nous serons ravis de vous lire !

Aidez-nous à faire grandir la culture numérique responsable. Partagez avec vos proches.

Un ami vous a transféré cette édition ? Pour nous soutenir, vous pouvez-vous abonner 👇👇👇

“Shake it, share it”