🎠 Pegasus : la commission d’enquête européenne rend ses conclusions

Salut 👋, voici ce qu’on te propose de retenir du digital et de la cyber cette semaine.

À la une :

🎠 Pegasus : la commission d’enquête européenne rend ses conclusions,

Décode l’actu :

🐞 Une vulnérabilité d’un plugin WordPress met en danger 2 millions de sites web,

🐍 Snake : un logiciel espion russe vieux de 20 ans neutralisé par les États-Unis,

🌞 White Phoenix : Bonne nouvelle pour les victimes de rançongiciels,

🔑 La sécurité des appareils Intel compromise ?

On t’explique tout ça plus bas.

Retrouve le mag :

👀 Les cas de cyber espionnage - étatiques - les plus marquants avant Pegasus,

📈 66 % des organisations ont été touchées par des rançongiciels en 2022 selon Sophos,

🍋 Des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture !

Signé - Aurélien, Sylvan et toute la Shakerz core team

〰️ La reco du barman 〰️

🎠 PEGA, la commission d’enquête européenne rend ses conclusions

Le 18 juillet 2021, un consortium de journalistes de Forbidden Stories révélait au monde que les téléphones de chefs d’état, personnalités politiques, journalistes, opposants ou acteur de la société civile avaient été espionnés dans le monde entier grâce au logiciel espion “Pegasus”.

Ces révélations avaient entraîné de multiples enquêtes judiciaires et parlementaires sur la scène internationale, dont celle de la commission du Parlement Européen (PEGA) qui révèle cette semaine ses conclusions et recommandations dans son rapport final.

Des abus dans plusieurs États membres

Les députés européens de la commission PEGA ont exprimé leur préoccupation face à des problèmes systémiques en Pologne et en Hongrie. Ils condamnent des violations majeures de la législation européenne et soulignent le démantèlement des mécanismes de contrôle indépendants dans ces pays. Ils estiment que l'utilisation de logiciels espions en Hongrie fait partie “d'une campagne du gouvernement planifiée et ciblée visant à détruire la liberté de la presse et la liberté d'expression”, tandis qu'en Pologne, cela s'inscrit dans un système de surveillance politique pour maintenir le pouvoir en place.

Des inquiétudes sont également soulevées concernant l'utilisation de logiciels espions en Grèce où ceux-ci sont utilisés à des fins politiques et financières, affectant des journalistes, des personnalités politiques et des hommes d'affaires. Par ailleurs, bien que la Grèce dispose d'un “cadre juridique assez solide en principe”, la commission dénonce un affaiblissement des garanties dû à des amendements législatifs.

Chypre est également pointé du doigt dans ce rapport pour son rôle majeur dans l'exportation de logiciels espions et est vivement invitée à abroger toutes les licences d’exportation qu’elle a délivrées qui ne sont pas conformes à la législation de l’UE.

En ce qui concerne l'Espagne, des questions persistent quant à l'utilisation des logiciels espions. Les députés appellent à des enquêtes complètes et équitables, en particulier dans les cas où l'autorisation d'utilisation de logiciels espions est floue, et à garantir de véritables voies de recours juridiques pour les personnes concernées.

Les recommandations de la commission PEGA

Les recommandations de la commission ont été approuvées avec 30 voix pour, 5 voix contre et 2 abstentions. Cependant, elles doivent encore être approuvées par l'ensemble du Parlement européen en juin afin d'être effectives.

Globalement, les députés appellent à une réglementation plus stricte pour prévenir les abus liés aux logiciels espions. Leur proposition comprend des enquêtes approfondies dans les États membres, une conformité législative aux normes internationales, la participation d'Europol et la révocation des licences d'exportation non conformes.

Ils recommandent également des règles strictes pour l'utilisation des logiciels espions par les forces de l'ordre, avec des limitations claires, des exclusions pour les données sensibles relevant du secret professionnel et des notifications obligatoires. Ils insistent sur un contrôle indépendant, des voies de recours juridiques et des normes pour évaluer la validité des preuves obtenues grâce aux logiciels espions. Ils demandent une définition juridique commune du recours à la sécurité nationale comme justification de la surveillance et pour éviter les abus manifestes.

Enfin, les députés proposent la mise en place d'un laboratoire technologique européen, appelé "EU Tech Lab", qui servirait à détecter la surveillance illégale. Cet institut de recherche indépendant serait chargé d'enquêter sur les cas de surveillance, de fournir une assistance juridique et technologique, notamment en matière de détection d'équipements, et de mener des recherches technico-légales. Parallèlement, ils recommandent l'adoption de nouvelles lois régissant la découverte, le partage, la résolution et l'exploitation des vulnérabilités.

Bien que les recommandations de la commission PEGA vont dans le bon sens, celle-ci ne se se fait guère d'illusions sur la portée de son vote et du caractère non contraignant de ses recommandations. Rendez-vous en juin pour la suite.

👀 Les cas de cyber espionnage les plus marquants avant Pegasus

〰️ Vos shots 〰️

🐞 Une vulnérabilité d’un plugin WordPress met en danger 2 millions de sites web

Le chercheur en cybersécurité Rafie Muhammad de Patchstack a découvert le mardi 2 mai une faille de sécurité (CVE-2023-30777) dans le plugin Advanced Custom Fields de WordPress exposant plus de deux millions de sites web à des attaques de type “cross-site scripting” (XSS).

La vulnérabilité XSS identifiée permettrait à des attaquants d'injecter du code malveillant dans les pages web des sites vulnérables et pourrait entraîner le vol d'informations sensibles ou une escalade des privilèges sur les sites vulnérables. Les utilisateurs qui ont installé ce plugin sur leur site web sont vivement encourager à mettre à jour le plugin vers la version 6.1.6 pour corriger cette vulnérabilité et se protéger contre cette menace.

🐍 Snake : un logiciel espion russe vieux de 20 ans neutralisé par les États-Unis

Ce mardi 9 mai, les États-Unis ont annoncé avoir neutralisé “Snake”, l’un des logiciels espion “le plus sophistiqué” des services secrets russes. Celui-ci était utilisé depuis près de 20 ans par le Service fédéral de sécurité russe (FSB) et visait des cibles dans plus de 50 pays à travers le monde, notamment des réseaux gouvernementaux, des installations de recherche et des journalistes.

Le logiciel espion a été mis hors d’état de nuire dans le cadre de l’opération “Méduse” menée par le FBI, en coordination avec des partenaires étrangers. Après des années d’étude du logiciel espion, la police fédérale américaine est parvenue à mettre au point un outil nommé “Persée” capable de communiquer avec "Snake" et de lui ordonner de s’éteindre sans mettre en cause l’ordinateur hôte. Pour en savoir d’avantage sur “Snake” et sa complexité, la CISA et plusieurs agences de cybersécurité ont publié le même jour de l’annonce, un avis conjoint sur le logiciel espion. Cette victoire marque un pas important dans la lutte contre les activités d'espionnage russes.

🌞 White Phoenix : Bonne nouvelle pour les victimes de rançongiciels

Dans un rapport publié cette semaine, des analystes en sécurité de Cyberark annonce avoir développé “White Phoenix”, un outil automatisé disponible gratuitement sur GitHub destiné à récupérer les données de fichiers partiellement chiffrés suite à une attaque de rançongiciel.

Dans le but d’impacter plus de fichiers et d’éviter la détection, de plus en plus d’opérateurs de rançongiciels adoptent une approche dite de chiffrement partielle, ou seules certaines parties des fichiers sont chiffrées. C’est notamment le cas de BlackCat et Play, qui ont tous deux adopté ces derniers mois cette stratégie pour cibler des centaines d'organisations à travers le monde. Heureusement pour les victimes, les données contenues dans ces fichiers partiellement chiffrés peuvent désormais être décryptées grâce à White Phoenix indiquent les analystes.

Pour que l’outil fonctionne, il suffit de lui indiquer le chemin d'accès au fichier partiellement crypté et le chemin d'accès à un dossier dans lequel enregistrer le contenu récupéré. Les formats supportés par le logiciel sont les formats PDF, Word (docx et docm), Excel (xlxs, xltx et extm), PowerPoint (pptx, pptm et ptox) et Zip. Cet outil représente une lueur d'espoir pour les victimes de rançongiciels contraintes de payer une rançon pour obtenir la clé de déchiffrement de leurs données.

🔑 La sécurité des appareils Intel compromise ?

Le 7 avril dernier, le fabricant de cartes mères informatiques taïwanais MSI confirmait dans un court communiqué une “cyberattaque contre ses systèmes d'information”, mais relativisait l’incident en déclarant que l’attaque n’avait eu “aucun impact significatif sur l’entreprise en termes de finances ou sur le plan opérationnel”. Aujourd’hui, de nouvelles informations viennent contredire les déclarations de l’entreprise.

En effet, des analystes ont découvert lors de leurs enquêtes des données sensibles incluant des clés privées, dont certaines semblent être des clés Intel Boot Guard. La compromission de ces clés a le potentiel d’être très sérieux et pourrait avoir des répercussions sur la sécurité des microprogrammes Intel pour les années à venir.

BootGuard est une fonction de sécurité du matériel Intel utilisée pour empêcher le chargement de microprogrammes malveillants dans l'UEFI (firmware intégré à la carte mère). Si les clés Intel Boot Guard ont effectivement été exposées, des acteurs malveillants pourraient alors installer des microprogrammes malveillants sur les appareils concernés, y compris les cartes mères. De plus, le firmware de la carte mère fonctionnant avant le système d’exploitation, il serait alors difficile de le corriger ou de s'en défendre. Affaire à suivre !

〰️ Dégustation 〰️

📈 66 % des organisations ont été touchées par des rançongiciel en 2022

3 000 professionnels de l'informatique de 14 pays ont participé à l’enquête annuelle de Sophos concernant les rançongiciels. Les chiffres de cette enquête fournissent une vue d'ensemble globale et variée de la situation actuelle en matière d’impact et de coût des attaques par rançongiciel sur les organisations et met en évidence les réalités auxquelles les organisations seront confrontées en 2023.

À retenir :

• 66% des organisations interrogées ont été touchées par un rançongiciel l’année dernière.

• Les deux causes principales ont été l’exploitation de vulnérabilités (36%) et les identifiants compromis (29%).

• 76% des attaques ont entraîné le chiffrement des données.

  • Dans 30 % des cas où les données ont été chiffrées, les données ont également été volées. Ce qui laisse à penser que cette méthode est en train de se normaliser.

• 97% des organisations qui ont vu leurs données être chiffrées sont parvenues à les récupérer.

  • en restaurant les données à partir de sauvegardes (70%).

  • en payant la rançon (46%). Cela concerne principalement les grandes entreprises dont le chiffre d'affaires est égal ou supérieur à 500 millions de dollars.

• Le montant moyen de la rançon s’est élevé à 1,54 millions de dollars.

• Le coût moyen de récupération pour l’organisation (rançon exclue) s’est élevé à 1,82 millions de dollars.

• Enfin, durant la période, c'est le secteur de l'éducation qui a été le plus touché par des attaques de rançongiciels.

〰️ Cul sec - La question 〰️

🕴 Qui est Joseph James O’Connor ?

A - Un expert en sécurité informatique renommé

B - Un célèbre pirate informatique

C - Un activiste de renommée internationale dans le domaine de la cybersécurité

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

📊 Statistique - Selon The Associated Press, plus d'un tiers de la population mondiale, soit environ 3 milliards de personnes, consultent Facebook chaque mois. De plus, environ 2 milliards de personnes se connectent quotidiennement sur la plateforme, ce qui représente le quart de la population mondiale.

📣 Événement - CyberSec'Days les 7 et 8 juin prochain à Besançon pour “sensibiliser entreprises et territoires à la cybersécurité”. Pour vous inscrire c’est ici !

🎂 Anniversaire - Samedi dernier, l'iMac célébrait son 25e anniversaire ! Le 6 mai 1998, Steve Jobs dévoilait l'iMac, un ordinateur “tout-en-un” aux multiples couleurs.

🚫 Expérimentation - Repéré pour la première fois cette semaine par un utilisateur de Reddit, Youtube serait en train de mener une expérience visant à demander à certains utilisateurs de désactiver leurs bloqueurs de publicité ou de payer un abonnement premium pour consulter des vidéos.

🔄 Mises à jour - Microsoft a publié la mise à jour de sécurité de mai 2023, la plus légère en volume depuis août 2021. Au total, ce sont 49 nouvelles vulnérabilités, dont deux activement exploitées (CVE-2023-29336 et CVE-2023-24932) qui ont été corrigées.

Mozilla a publié 3 avis de sécurité signalant des vulnérabilités dans Thunderbird, Firefox et Firefox ESR. Ces vulnérabilités pourraient être exploitées par des acteurs malveillants.

〰️ Cul sec - Réponse 〰️

Réponse B -  Un célèbre pirate informatique

Joseph James O’Connor est un jeune homme britannique de 23 ans arrêté il y a près de deux ans en Espagne pour le piratage, en juillet 2020, de plus de 130 comptes Twitter, dont ceux d'Apple, d'Uber, de Kanye West, Bill Gates, Joe Biden, Barack Obama ou encore le nouveau PDG de Twitter, Elon Musk. Il est également accusé d’avoir voler 794 000 dollars de cryptomonnaies à une société de crypto-monnaie new-yorkaise.

Il vient de plaider coupable devant un tribunal de New York après avoir été extradé d'Espagne le 26 avril dernier. Le chef d'accusation le plus grave est passible d'une peine de 20 ans d'emprisonnement. Sa condamnation est prévue pour le 23 juin prochain.

〰️ Digestif 〰️

Vis ma vie de CISO 💰

Merci d’être passé ! Rendez-vous samedi prochain pour ton nouveau Shake de l’actu cyber et digitale ! 👋

L’équipe travaille dur. 👉 On a besoin de ton soutien pour diffuser à tous la culture de sécurité et responsabilité digitale.

Rejoins Shakerz, abonne-toi pour recevoir la newsletter hebdo. Tu aimes les Shake et tu veux en faire profiter tes potos ? Alors… 👇👇👇

Des questions ou un avis à partager ? C’est simple, il suffit de répondre à cet email et d’envoyer tes quelques lignes.

“Shake it, don’t fake it”