🚨 Palo Alto, encore un fournisseur de sécurité touché par un zero-day

Salut 👋, j’espère que tu as passé une bonne semaine. C’est l’heure de se plonger dans l’actu cyber et digitale, et ça remue !

Au programme :

• À la une : 🚨 Palo Alto Networks, encore un fournisseur de produits de sécurité touché par un zero-day,

• 🇮🇱🇮🇷 Israël/Iran : regain de tension dans le cyberespace,

• 🚪 Serrures connectées : des milliers de foyers exposés à des risques d’intrusion,

• 🦻 États-Unis : Avec la Section 702 renouvellée, l’écoute des communications a encore de beaux jours devant elle, et ça concerne les Européens

• En Image : 🚫 Renouvellement de la Section 702 de la loi FISA, quel impact pour le RGPD Européen ?

• Interview : 🎙 Le marché cyber en France | Yann Bonnet, Directeur général délégué du Campus Cyber,

• Rapport : 👩🏻 Que pensent 500 femmes qui travaillent dans la tech.

🚨 Palo Alto Networks, encore un fournisseur de produits de sécurité touché par un zero-day

Ce qu’il faut savoir.

Ce lundi 15 avril, le fournisseur de solutions de sécurité réseau Palo Alto Networks (PAN) a commencé à publier des correctifs de sécurité pour une vulnérabilité zero-day de gravité maximale (score CVSS de 10), affectant plusieurs versions du système d'exploitation de ses pare-feux de dernière génération.

Qu’est-ce qu’un pare-feux ?

La définition de Microsoft est parlante. Les données circulent vers et hors des appareils via ce que nous appelons des ports. Un pare-feu permet de contrôler ce qui est autorisé, et surtout non, à passer par ces ports. Vous pouvez penser à cela comme un garde de sécurité debout à la porte, en vérifiant la carte d’identité de tout ce qui tente d'entrer ou de sortir. Parfois même en “ouvrant les sacs” pour vérifier le contenu des “paquets” qui circulent sur le réseau. Le pare feux est l’un des outils historiques de la sécurité informatique, mais toujours clé pour compartimenter des espaces, à la manière des différentes enceintes d’un chateau fort.

Quel est l’impact ?

Cette vulnérabilité, identifiée sous le nom CVE-2024-3400, permet à des attaquants non authentifié, de provoquer une exécution de code arbitraire à distance et d'installer une porte dérobée Python novatrice sur les pare-feu affectés, sans que cela nécessite une interaction de la part de l'utilisateur.

La vulnérabilité a été découverte le 10 avril par les chercheurs de la société de sécurité Volexity qui investiguaient un trafic réseau suspect émanant du pare-feu d’un de leurs clients. La faille serait activement exploitée depuis le 26 mars dernier.

Qui est concerné ?

Les versions concernées du logiciel PAN-OS, qui éxécute tous les pare-feu de nouvelle génération de Palo Alto Networks, sont PAN-OS 10.2, 11.0 et 11.1. En particulier lorsque les fonctions GlobalProtect Gateway et télémétrie de l'appareil sont activées.

Compte tenu des ressources nécessaires pour développer et exploiter une vulnérabilité de cette nature, du type de victimes ciblées et de la sophistication de la porte dérobée, les chercheurs de Volexity estiment que les attaques, bien que limitées en nombre, sont vraisemblablement liées à un acteur étatique.

L’agence de cybersécurité américaine (CISA) a également réagi en ajoutant la faille à son catalogue de vulnérabilités exploitées connues.

Et alors ?

Depuis plusieurs années, on constate une accélération du nombre d’attaques zero days dans les produits de sécurité. Alors que ceux-ci sont censés nous protéger. Ivanti, Microsoft, tous ces fournisseurs de produits de sécurité ont subi des incidents de sécurité majeurs ces derniers mois. Le problème est important, car le niveau de confiance accordé à ses produits est très élevé.

Tout le monde peut être touché, y compris des organisations très préparées comme le think tank MITRE, très réputé dans la cybersécurité. Il vient d’annoncer, le 19 avril, avoir été lui aussi victime d’une cyberattaque via ses outils de marque Ivanti.

En Europe, on espère que le Schéma européen de certification de produits de sécurité (EUCC) permettra de disposer, sur le marché intérieur, de produits de cybersécurité pleinement fiables.

🇮🇱🇮🇷 Israël/Iran : regain de tension dans le cyberespace

Dans le sillage d’un weekend marqué par des attaques de drones et de missiles en provenance d'Iran, un rapport du Jerusalem Times révèle que des citoyens israéliens ont été les destinataires de messages textuels menaçants provenant d’un groupe cybercriminel, présumément soutenu par l'Iran.

Le groupe “Handala”, particulièrement connu pour cibler les intérêts israéliens, a revendiqué sur Telegram avoir infiltré les systèmes radar d'Israël et envoyé 500 000 textos incitant les citoyens israéliens à remettre en question la “folie” de leur gouvernement et à évacuer les villes en urgence. Pour l’heure, les affirmations des attaquants n’ont pas encore été confirmées par des sources israéliennes officielles.

Toutefois, il ne fait nul doute que l’escalade du conflit entre Israël et l’Iran conduise a davantage d’activité dans le cyberespace. Des experts en sécurité en Israël se montrent également de plus en plus préoccupés par la possibilité de cyberattaques iraniennes visant des infrastructures nationales essentielles.

🧟 LockBit est mort mais son zombie est là

L’opération internationale contre LockBit a porté un coup majeur contre le gang de rançonneurs numériques (RaaS). On te l’a racontée.

Mais une version modifiée du code du rançongiciel LockBit 3.0 a été repérée entrain de cibler spécifiquement les secteurs des transports et de la finance à l'échelle internationale, selon une étude récente de Kaspersky.

Cette variante permet une propagation rapide du malware en désactivant les solutions antimalware des réseaux, exploitant les identifiants d’administration pour infiltrer et manipuler les données critiques. En pratique, le groupe ou l’individu derrière cette action s’est attribué le code de LockBit pour lui donner une précision quasi chirurgicale.

Face à ce malware, les mesures habituelles s’appliquent, telles que l'authentification multifacteur et la gestion rigoureuse des mises à jour logicielles.

🚪 Serrures connectées : des milliers de foyers “open bar”

Quand ta serrure connectée est plus fragile que ta vieille serrure

Une vulnérabilité alarmante a été mise en lumière chez Chirp Systems, un fournisseur de logiciels pour serrures intelligentes, propriété de RealPage, un éditeur de logiciels de gestion immobilière. Selon les informations récentes, il serait possible pour des personnes non autorisées de déverrouiller à distance les serrures contrôlées par l'application Android de Chirp.

Ce défaut de sécurité, attribué à l'encodage en dur des mots de passe et des clés privées dans l'application concerne plus de 50 000 foyers utilisant ces serrures. La vulnérabilité a été découverte en 2021 par Matt Brown, un ingénieur chez Amazon Web Services, qui s'est plongé dans l'application Android de Chirp après que son immeuble soit passé aux serrures intelligentes.

De 2021 à 2024, le temps est long dans l’univers des serrures connectées… Chirp a mis à jour discrètement son application Android le mois dernier, sous couvert de "corrections de bugs et d’amélioration de la stabilité" après qu’une alerte de la CISA ait été émise. Cet incident, bien que limité illustre parfaitement comment des dispositifs, conçus pour simplifier, et dans ce cas-ci, sécuriser notre quotidien, se retrouvent paradoxalement à exposer nos foyers et nos données personnelles à des risques accrus.

🦻 États-Unis : l’interception officielle des communications va se poursuivre sans contrainte majeure, et ça concerne les Européens

Edouard Snowden avait révélé en 2013 le programme PRISM de la NSA, dédié à la surveillance de masse des communications mondiales. Celui-ci repose toujours sur la très controversée Section 702 de la loi sur la surveillance du renseignement étranger (FISA).

En ce 20 avril au matin, quelques minutes après minuit (US), le Sénat a finalement voté la loi à l’identique de la Chambre des représentants. Cette Section 702 est donc renouvellée pour 2 ans.

Après des mois de débats et de divisions, la Chambre des représentants des États-Unis, l'équivalent de l'Assemblée nationale en France, avait adopté le 12 avril, une loi visant à renouveler cette Section 702. Cette loi, qui a été adoptée pour la première fois en 2008, arrivait à expiration ce vendredi 19 avril.

C’est finalement la proposition de réduire la durée du projet de loi de cinq à deux ans qui a permis d’obtenir le nombre de voix nécessaires à son adoption. Selon certains opposants, ce délai beaucoup plus court va permettre d’évaluer plus rapidement si la réforme fonctionne.

Pour rappel, la Section 702 autorise le gouvernement américain à surveiller les communications entre citoyens américains et étrangers à l'étranger.

Chaque année, des centaines de millions d'appels, de textes et d’e-mails sont interceptés par les agences de renseignement, avec la collaboration des fournisseurs de services de communication américains.

Pour le sénateur Républicain du Texas, John Cornyn, cité par NBC, “60% du brief quotidien du président est composé d’informations issues de renseignments collectés dans le cadre de la Section 720, cette loi est donc clé”.

L’Electronic Frontier Foundation (EFF), une ONG américaine dédiée à la protection des liberts sur Internet, se bat contre cette loi depuis 2008. Car celle-ci touche aussi, indirectement, les citoyens américains, sans nécessité de présenter préalablement une demande à un juge.

Cette loi a aussi un impact pour les Européens, on t’explique en une image.

🚫 Renouvellement de la Section 702 de la loi FISA, quel impact pour les Européens ?

Tant que la section 702 de la loi FISA existera, du moins sous cette forme, des doutes sérieux subsisteront sur le respect des droits et données personnelles des Européens.

Pour toi, on a mis à jour l’infographie Shakerz de juillet 2023.

Maximilien Schrems, militant de la protection des données et avocat Autrichien, a été à l’origine, le 16 janvier 2020, d’un arrêt majeur de la Cour de Justice de l’UE, dit “Schrems II”. Cette décision avait invalidé le régime de transferts de données entre l’Union européenne et les Etat-Unis (Privacy Shield).

Le militant mènera probablement une 3ème action devant la Cour de Justice de l’UE. Cette action conduira vraisemblablement elle aussi, à l’annulation (ce serait un arrêt “Schrems III”) du nouvel accord de transfert de données en vigueur depuis juillet 2023 (il s’appelle aujourd’hui le EU-US Data Privacy Framework).

👩🏻 Que pensent 500 femmes de la tech

Le 9 avril, la plateforme de formation Skillsoft a publié son rapport annuel “Women in Tech”, qui examine les réalités, les besoins et les opportunités actuels pour les femmes dans l'industrie technologique. Les résultats de ce rapport proviennent d’une enquête menée en ligne de septembre 2023 à janvier 2024 auprès de plus de 500 femmes travaillant dans la tech.

À retenir :

👉 Manque de représentation féminine dans la tech. 34% des femmes dans le secteur technologique déclarent que les hommes sont largement plus nombreux au sein de leurs organisations. Avec des ratios de 4 hommes pour 1 femme.

👉 Tendance à vouloir changer de poste. 37% des femmes envisagent de changer de poste en raison de problèmes de gestion, de manque de formation, de rémunération et de perspectives de carrière.

👉 L’avantage organisationnel le plus valorisé est le travail à distance/hybride pour 63% des femmes interrogées.

👉 Facteurs de satisfaction au travail : la sécurité de l'emploi (40%) et l'équilibre vie pro - vie perso (29%) sont des aspects clés de la satisfaction professionnelle des femmes dans le secteur tech.

👉 L'IA et les femmes dans la tech. L’enquête révèle que 40 % des femmes interrogées utilisent activement l'IA dans leur travail. Toutefois, 63 % de ces femmes font état d'un manque flagrant de compétences et de formation dans le domaine de l'IA.

🎙 Entretien avec Yann Bonnet, Directeur général délégué du Campus Cyber

Le 26, 27 et 28 mars dernier, Shakerz était présent au Forum InCyber Europe à Lille pour donner la parole aux experts de la cybersécurité, de l’IA et du numérique. Pour mieux comprendre l’essentiel.

On continue cette série de portaits avec Yann Bonnet, Directeur général délégué du Campus Cyber, qui nous parle du marché cyber en France.

Pas de carte cette semaine ? 😢 Pas tout a fait, on t’explique !👇

On a pris la décision de sortir “La Carte” du Shake, d’une part, pour alléger la newsletter du samedi, et d’autre part, pour développer davantage ce format dans une diffusion dédiée, chaque dimanche.

On s’est rendu compte qu’on avait beaucoup d’actualités identifiées dans notre veille, et d’intérêt général, qu’on ne pouvait pas mettre dans le Shake.

Alors plutôt que de garder ça pour nous, on s’est dit que ça pourrait en intéresser certains d’entre vous ! Comme les experts et les afficionados !

Cette semaine, la veille Shakerz a repéré 12 autres news intéressantes. Violation de données… du Slip, fausse alerte sur iMessage, semi-conducteurs, vulnérabilités, arrestations, avis de sécurité, mises à jour de sécurité et emploi dans la cybersécurité.

Exceptionnellement, tous les Shakerz recevront donc demain l’édition de ce nouveau format.

Exceptionnellement, ah bon ? Oui, d’ici quelques semaines on l’enverra uniquement à ceux qui le demandent ! Alors si t’es chaud, dis le nous dès maintenant👇

👉 Touché, c’est toi le chat !

Ce lundi 15 avril, la Chine, par l’intermédiaire de son porte-parole du ministère des Affaires étrangères, a exhorté les États-Unis à “cesser immédiatement leurs cyberattaques à son encontre et à cesser de la salir”. C’est joliment dit.

Un sujet de discorde entre les deux pays ➙ Volt Typhoon.

Les États-Unis accusent en effet depuis plusieurs mois la Chine, de mener une campagne de cyberattaques, baptisée Volt Typhoon, visant ses infrastructures essentielles. Les États-Unis soupçonnent la Chine de vouloir positionner ses pions, en vue de les activer en cas de conflit entre les deux pays (ex: une éventuelle invasion de Taïwan).

De son côté, le “Centre national chinois d'intervention d'urgence contre les virus informatiques” et le 360 Digital Security Group ont publié conjointement un rapport intitulé "Volt Typhoon : Une campagne d'escroquerie conspirationniste visant le Congrès et les contribuables américains, menée par la communauté du renseignement américain”.

Selon le rapport Chinois, Volt Typhoon serait en fait un groupe cybercriminel de rançongiciel se faisant appelé "Dark Power" et qui n'est sponsorisé par aucun État ni aucune région".

On y croit ?

PS: Que fait Volt Typhoon ? Il cible notamment les produits de sécurité… d’Ivanti (la boucle est bouclée, cf. la Une).

Comme toujours, merci d’avoir consommé ton cocktail de culture cyber du samedi. On l’a voulu vivifiant !

Pour diffuser la culture cyber et nous soutenir, partage le Shake autour de toi 👐

Passe un bon week-end et à la semaine prochaine ! ✌️
PS: demain tu recevras aussi la Carte cyber.