😱 Panique chez Mercedes

Salut 👋, j’espère que tu as passé une bonne semaine. C’est l’heure de se plonger dans l’actu cyber et digitale, et ça remue !

Au programme :

• À la une : 😱 Un employé de Mercedes-Benz expose le code source de l’entreprise,

• 🇫🇷 Cocorico : les hackers de Synacktiv remportent le gros lot,

• 🧠 Neuralink, bientôt le piratage de cerveaux humains ?

• 🇺🇸 Volt Typhoon : les États-unis contre-attaquent

• 🇺🇦🇷🇺 L'Ukraine et la Russie se rendent coup pour coup dans le cyberespace

• En image : 📵 iOS 17.3 rend beaucoup plus difficile pour les voleurs d'accéder à vos informations privées

• Rapport : La cybercriminalité parmi les principaux risques dans le rapport sur les risques mondiaux 2024 du Forum économique mondial

😱 Un employé de Mercedes-Benz expose le code source de l’entreprise

Dans un récent incident, le fabricant allemand de voitures de luxe Mercedes-Benz a involontairement divulgué une quantité importante de données internes, y compris du code source.

Selon la société de cybersécurité RedHunt Labs, L'exposition a eu lieu lorsqu'une clé privée (token) GitHub a été accidentellement laissée en ligne, accordant ainsi un “accès illimité et non surveillé à l'ensemble du code source hébergé sur le serveur interne GitHub Enterprise.”

Lors d'une analyse Internet de routine en janvier, les chercheurs de RedHunt Labs ont découvert qu’un jeton d'authentification appartenant à un employé de Mercedes, était publié en ligne dans un référentiel public GitHub depuis septembre 2023.

Ce jeton, une alternative aux mots de passe conventionnels pour l'authentification GitHub, fournissait un accès complet au serveur GitHub Enterprise de Mercedes, permettait le téléchargement non autorisé des référentiels de code source privés de l'entreprise.

Quelles données sont concernées ?

Selon Shubham Mittal, cofondateur et directeur de la technologie de RedHunt Labs, “L'incident a mis à nu des référentiels sensibles abritant un véritable trésor de propriété intellectuelle, et les informations compromises comprenaient des chaînes de connexion de base de données, des clés d'accès cloud, des plans, des documents de conception, des mots de passe SSO, des clés API et d'autres informations internes critiques.”

Mittal a également présenté des preuves que les référentiels exposés contenaient des clés dans le cloud Microsoft Azure et Amazon Web Services (AWS), une base de données Postgres et un code source Mercedes.

Suite à cette découverte, RedHunt Labs, avec l’aide de TechCrunch, a rapidement informé Mercedes de cet incident de sécurité qui a confirmé les révélations. Le constructeur automobile a immédiatement réagi en révoquant le jeton API et en supprimant le dépôt public.

Pour l’heure, bien qu’il ait confirmé l’incident, le groupe automobile reste discret sur l’étendue et les détails de la violation de données. Nous ne savons pas si des données clients ont été exposées ou si un tiers non autorisé, autre que RedHunt Labs, a pu accéder aux données exposées.

Quelles conséquences ?

👉 La fuite de code source peut conduire des concurrents à faire de la rétro-ingénierie et/ou des pirates à découvrir plus facilement des vulnérabilités dans les systèmes de véhicules.

👉 L'exposition de clés d'API peut conduire à un accès non autorisé aux données, à des interruptions de service et à l'abus de l'infrastructure de l'entreprise à des fins malveillantes.

👉 Si l’exposition de données client est avérée, alors l’entreprise pourrait s’exposer à des sanctions pour violations de diverses lois, telles que le RGPD.

📵 iOS 17.3 rend beaucoup plus difficile pour les voleurs d'accéder à vos informations privées

Dans sa nouvelle mise à jour iOS 17.3, Apple a introduit une nouvelle fonctionnalité appelée “Protection des appareils volés”, censée empêcher les voleurs d'accéder à vos données et à vos comptes s'ils volent votre iPhone et connaissent le code de déverrouillage.

🐓🇫🇷 Cocorico : les hackers de Synacktiv remportent le gros lot

La Zero Day Initiative (ZDI) de Trend Micro a récemment organisé son premier événement “Pwn2Own” dédié à l'automobile à Tokyo. Un concours de sécurité informatique baptisé “Pwn2Own”, destiné aux pirates “White Hat”, organisé dans le but de mettre en évidence des failles de sécurité contre de grosses sommes d’argent.

Cette année, l'événement a récompensé les découvreurs de 49 vulnérabilités Zero Day liées aux véhicules, en attribuant plus d’1,3 million de dollars de gains au total.

Mention spéciale aux chercheurs de Synacktiv, une entreprise de sécurité offensive française, qui ont remporté 450 000 $ en démontrant six exploits réussis, dont l'un a permis d'obtenir un accès root à un modem Tesla.

Ce n’est pas la première fois que Synaktiv remporte le gros lot dans ce type de concours en terminant devant les américains. Après avoir remporté le Pwn2Own d’Austin en 2021, l’équipe d’analystes en sécurité offensive du spécialiste français Synaktiv a renouvelé l’exploit en 2023 en réussissant à prendre le contrôle total de la célèbre Tesla Model 3 lors du Pwn2Own de Vancouver en mars 2023. Ils ont ainsi pu repartir avec la voiture et un beau chèque de 530 000 dollars.

Le prochain événement Pwn2Own de ZDI se tiendra à Vancouver en mars, et mettra l'accent sur l'exploitation des vulnérabilités dans les logiciels cloud natifs et les conteneurs.

🧠 Neuralink, bientôt le piratage de cerveaux humains ?

Malgré des années de retard, Neuralink, l'entreprise co-fondée par Elon Musk en 2016, a enfin lancé des essais cliniques après avoir obtenu l'approbation de la FDA et d'un comité d'éthique hospitalier. Elon Musk a annoncé ce lundi 29 janvier, sur X, que le premier patient humain avait reçu l’implant cérébral développé par sa société Neuralink et qu’il “se remettait bien”.

Pour rappel, l’objectif ultime de Neuralink est de permettre à l’homme d’augmenter ses capacités, de communiquer avec les machines et d’établir une symbiose avec l'intelligence artificielle.

La puce fait la taille d’une pièce de monnaie et pourrait bien se faire une place dans votre tête dans le futur. Mais pour le moment, l'accent est mis sur des applications plus modestes : aider les personnes paralysées à contrôler un curseur ou un clavier par la pensée.

Même si cette avancée représente une étape cruciale et semble “révolutionnaire”, ce n’est pas la première fois qu’un tel dispositif est implanté chez un être humain. À ce jour, quelques dizaines de personnes dans le monde ont été équipées de ces appareils dans le cadre d'études de recherche.

Quoi qu’il en soit, si cette technologie se démocratise dans le futur, pourra-t-on voir les premiers cas d’humains piratés ?

🇺🇸 Volt Typhoon : les États-unis contre-attaquent

Le gouvernement américain, en collaboration avec des leaders de l'industrie technologique privée, travaille discrètement pour perturber l'infrastructure d'attaque de "Volt Typhoon", un groupe de menace chinois associé à de nombreuses attaques ciblant les infrastructures critiques occidentales et américaines depuis au moins mi-2021.

Selon des sources anonymes citées par Reuters le 30 janvier, les autorités américaines ont entrepris des efforts visant à désactiver à distance certains aspects des opérations chinoises au cours des derniers mois, avec le soutien du ministère de la Justice et du FBI.

Pour rappel : l'objectif de “Volt Typhoon” est de développer des capacités permettant à la Chine de perturber les communications et opérations miliaires américaines dans la région indo-pacifique lors d'une crise future. Les responsables américains craignent que les pirates chinois travaillent pour affaiblir la préparation des États-Unis en cas d'invasion chinoise à Taïwan.

Ces efforts croissants de l’administration Biden dans la cybersécurité s’inscrivent dans un contexte de crainte que des États-nations, notamment la Chine et la Russie, perturbent les élections présidentielles américaines à venir et aussi par ce que les rançongiciels ont fait des ravages dans les entreprises américaines en 2023.

🇺🇦🇷🇺 L'Ukraine et la Russie se rendent coup pour coup dans le cyberespace

Ce mardi, la Direction principale du renseignement ukrainien (GUR) a revendiqué dans un post sur Telegram, avoir mené une cyberattaque réussie contre le ministère russe de la Défense, en désactivant un serveur de “communications spéciales”. Elle déclare qu’en conséquence de la cyberattaque “l'échange d'informations entre les unités du ministère de la Défense russe utilisant le serveur basé à Moscou a été interrompu.”

Alors que les deux pays s’affrontent sur le terrain, cette action, qui est loin d’être la première, s'inscrit dans un contexte de cyberguerre où les deux pays se rendent coup pour coup dans le cyberespace depuis le début de l'invasion russe en 2022.

Récemment, la GUR a annoncé qu'une cyberattaque avait “détruit toute l'infrastructure informatique” de la société moscovite “IPL Consulting”, qui fournit des liens de communication cruciaux pour l'industrie de la défense russe. Par ailleurs, plusieurs organisations ukrainiennes, dont la société énergétique “Naftogaz”, ont signalé des défaillances informatiques suite à une série de cyberattaques présumées menées la semaine dernière avec l'aide du Service fédéral de sécurité russe (FSB), selon Reuters.

En parallèle de ces activités “officielles”, des groupes indépendants de pirates, soupçonnés d'avoir des liens avec les gouvernements ukrainien ou russe, jouent également un rôle actif dans cette cyberguerre. Des incidents tels que le piratage du Département de l'information et des communications de masse du ministère russe de la Défense par le groupe ukrainien “Cyber Resistance” en novembre dernier, ou encore les activités du groupe "Blackjack" qui ont permis à l'Ukraine, d'acquérir ce mois-ci, des plans de construction volés de plus de 500 sites militaires russes, illustrent la complexité des enjeux liés à la cybersécurité dans ce conflit.

La cybercriminalité parmi les principaux risques mondiaux selon le Forum économique mondial

Dans son rapport publié le 10 janvier dernier, le Forum économique mondial brosse un sombre tableau du paysage mondial des risques les plus graves pour les économies et les sociétés sur les deux et dix ans et identifie les cyber-risques comme une préoccupation majeure.

À retenir :

1. Parmi les risques les plus susceptibles de présenter une crise matérielle à l'échelle mondiale en 2024, les cyberattaques arrivent en 5 ème position. Précédées par les phénomènes météorologiques extrêmes, la désinformation générée par l'IA et la désinformation, la polarisation sociopolitique et la crise du coût de la vie.

2. Parmi les risques les plus susceptibles de présenter un impact (gravité) sur une période de 2 ans, la cyber-insécurité occupe la 4 ème place. Sur une période de 10 ans, son impact est revu à la baisse (8 ème position).

3. Les risques peuvent se combiner. Ex : les progrès de l'IA peuvent conduire à découvrir de nouvelles vulnérabilités, les tensions géopolitiques peuvent entraîner une augmentation des cyberattaques, etc.

4. Les technologies émergentes peuvent apporter des solutions à la cybersécurité, mais les estimations semblent indiquer que seules les organisations les plus avancés et mieux protégées en profiteront. Le déficit en matière de cyber-confiance va probablement continuer à se creuser.

5. Le déficit en matière de cyber-confiance aura également un impact social plus prononcé en 2024 en raison d'une convergence entre la cybercriminalité et la criminalité violente dans certaines régions. (Ex : les réseaux de cybercriminalité en Asie du Sud-Est qui ont recours au trafic d’êtres humains).

6. Le rapport appel à une coopération internationale renforcée et à des mesures robustes de cybersécurité pour atténuer ces risques, en soulignant le besoin critique d'infrastructures numériques résilientes et de cadres de gouvernance efficaces pour se prémunir contre les cybermenaces.

🇮🇳 Fuite de données - La semaine dernière, CloudSEK, une entreprise indienne spécialisée dans la sécurité informatique, a annoncé avoir découvert des enregistrements divulguant des informations sur 750 millions d'abonnés indiens au réseau mobile sur le dark web, soit la moitié de la population du pays (1 milliard 400 millions d’habitants). Deux gangs criminels, CyboDevil et UNIT8200, affiliés à CYBO CREW, proposent cette mine de données (1,8 To) pour seulement 3 000 $.

💊 Drogue - Banmeet Singh, un ressortissant indien arrêté à Londres en 2019, vient de plaider coupable, devant le ministère américain de la Justice, d’avoir orchestré, pendant 5 ans, une vaste opération mondiale de trafic de drogue via des marchés du dark web notoires tels que Silk Road. 150 millions de dollars en cryptomonnaie ont été saisis.

🇮🇹 Trop c’est trop - Suite aux cas répétés de rançongiciels et de cyberattaques contre des ministères, des banques, des autorités sanitaires locales et d'autres institutions publiques, le gouvernement italien s’apprête à durcir les peines de prison pour la cybercriminalité. Actuellement comprises entre un et huit ans, les sanctions en cas d'intrusion informatique, vont être revues à la hausse. Entre deux et 12 ans, selon que l'intrusion se fait avec recours à la force ou sous la menace, que des agents publics sont impliqués et que la sécurité nationale ou l'intérêt public sont menacés.

🇳🇬 Sextorsion - Selon un nouveau rapport du NCRI (Network Contagion Research Institute) américain, la sextorsion financière ciblant les enfants est le délit qui connaît la croissance la plus rapide aux États-Unis, au Canada et en Australie. Instagram, Snapchat et Wizz sont les applications privilégiées par les criminels de sextorsion. Presque toutes ces activités de sextorsion proviennent de cybercriminels basés au Nigeria, connus sous le nom de “Yahoo Boys”.

💸 Rançongiciel - Le 17 janvier, la division Sustainability Business de Schneider Electric, leader mondial français des solutions numériques de l’énergie, a été victime d’une cyberattaque du rançongiciel Cactus ayant entraîné le vol de téraoctets de données. Les pirates menaceraient actuellement l’entreprise, de 130 000 collaborateurs, de divulguer les donnés si la demande de rançon n'est pas payée. Bien que l’on ne sache pas exactement quel type de données a été volé, celles-ci pourraient contenir des informations sensibles sur la consommation d'énergie des clients, les systèmes de contrôle et d'automatisation industriels, ainsi que la conformité aux réglementations environnementales et énergétiques.

✅ Conformité - Apple a annoncé le 25 janvier des modifications apportées à iOS, Safari et l'App Store dans le but de se conformer à la loi sur les marchés numériques (DMA) de l'Union européenne. Ces modifications comprennent entre autres, la prise en charge de magasins d'applications (et applications) tiers et l’autorisation de navigateurs Web par défaut autres que Safari. Toutefois, Apple alerte que ces modifications “ouvrent de nouvelles voies aux logiciels malveillants, à la fraude et aux escroqueries, aux contenus illicites et nuisibles, ainsi qu'à d'autres menaces pour la vie privée et la sécurité.”

💰 Saisie record - La police allemande, avec l'aide du FBI, a annoncé ce mardi 30 janvier, avoir saisi au début du mois 50 000 bitcoins (soit 2 milliards de dollars au cours actuel), auprès des opérateurs de “Movie2k”, un ancien site de streaming pirate fermé en 2013. La décision finale concernant l’utilisation de ce trésor de guerre n’a pas encore été prise.

📲 SIM swapping - Un homme de Chicago et ses complices sont accusés d'avoir mis en place le plus vaste réseau de "fraude de cartes SIM" aux États-Unis. Ils sont accusés d’avoir volé 400 millions de dollars en cryptomonnaie en ciblant plus de 50 victimes dans plus d'une douzaine d'États, dont une entreprise.

🚨 Vulnérabilité - Suite à la vague de cyberattaques liées à la vulnérabilité découverte en 2023 dans le logiciel de transfert de fichiers MOVEit, on aurait pu imaginer que Progress Software, la société américaine à l’origine du logiciel, tire les leçons pour que cela ne se reproduise plus. C’est plutôt raté. Une nouvelle vulnérabilité (CVE-2024-0396) a été découverte dans Progress MOVEit Transfer et permet à un attaquant de provoquer un déni de service à distance.

👑🇬🇧 Buckingham Palace recherche son responsable de la cybersécurité pour protéger la famille royale, ça vous tente ?

La famille royale, qui est de plus en plus ciblée par des cyberattaques, recherche son responsable de la cybersécurité pour diriger son équipe.

37,5 heures / semaine
Salaire : 75 000$

Tout ce que l’on peut dire, c’est que le salaire et les horaires ne reflètent pas tout à fait les enjeux de la responsabilité qui vont avec…

Comme toujours, merci de nous avoir lu. Si tu souhaites nous soutenir, partage le shake autour de toi 👐

Passe un bon week-end et à la semaine prochaine ! ✌️