Shake 〰️ 03 décembre 2022

Salut les Shakerz 👋

C’est samedi, c’est le Shake. Voici ce que l’on a retenu pour vous du digital et de la cyber cette semaine.

Dans l’actu : 🫢 Les fournisseurs de sécurité - physique ou informatique - ne sont pas toujours exemplaires, 📟 Les numéros de 487 millions d’utilisateurs WhatsApp en vente sur le Dark web, 🇨🇳 Cloudflare a trouvé le moyen de traverser le “Grand Pare-feu" de Chine…

Retrouvez aussi 🥸 le deep fake se démocratise et continue d’inquiéter, l’essentiel du plan stratégique 2023-2025 de l’agence de cybersécurité américaine (CISA), des ingrédients à la carte pour composer vos propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture et bon week-end,

La Shakerz core team

〰️ La reco du Barman 〰️

🫢 Les fournisseurs de sécurité ne sont pas toujours exemplaires

On revient sur trois faits d’actu, dont deux récents et un peu plus ancien.

Brinks a exposé les données personnelles de ses clients pendant de nombreux mois

Le héro c’est Andrew Kopp, un Canadien qui à confié à Brinks Home Security la protection de sa maison. En se connectant à son compte Brinks Home Security en ligne, il a découvert qu’il avait accès à des informations privées de plus d’une centaine d’autres clients. Parmi les données qui ont pu être consultées par Andrew, l’on retrouve les noms, adresses, contacts en cas d'urgence, numéros de téléphone, historique des paiements, détails des systèmes de sécurité installés chez d’autres clients. Une véritable mine d’or pour des fraudeurs en ligne et voleurs potentiels.

Inquiet que ses informations subissent le même traitement, Andrew a immédiatement alerté l’entreprise en début d’année 2022. Ne constatant aucun correctif en avril 2022, il relance à nouveau l’entreprise au début du mois de juillet. Sans succès. Il faudra finalement attendre l’intervention d’Andrew sur la chaine de télévision CBC pour que Brinks Home Security daigne répondre et “reconnaître” son échec. L’entreprise affirmera que "moins de 0,01 % de la base totale de clients de Brinks Home avait la possibilité de consulter les coordonnées d'un petit sous-ensemble d'autres clients".

Le véritable problème dans cette histoire n’est pas tant, la quantité d’informations privées divulguées, mais bien l’attention accordée aux remontées de vulnérabilités ainsi que la réactivé de l’entreprise à les corriger. Interrogée sur ce sujet, l’entreprise se contentera, à tord ou à raison, de rejeter la faute sur un collaborateur du service client, précisant que celui-ci, n’avait pas “suivi les protocoles et procédures appropriés”.

Le fournisseur de chiffrement de Sony et Lexar a exposé des données sensibles pendant plus d'un an

La société de logiciels néerlandaise ENC Security, qui compte 12 millions d’utilisateurs dans le monde, annonce fournir des solutions de chiffrement de données de “niveau militaire” avec son logiciel DataVault. C’est également elle qui fournit la solution de chiffrement installée sur les clés USB Sony, Lexar ou Sandisk. Autant dire qu’elle est incontournable.

L’équipe d’analystes de CyberNews a révélé avoir découvert qu’ENC Security avait exposé ses fichiers de configuration et de certificats pendant plus d’un an. Les données ont été potentiellement accessibles aux acteurs de la menace sur près d’un an et demi (du 27 mai 2021 au 09 novembre 2022). Avant que le serveur ne soit déconnecté suite aux remontées de Cybernews à ENC Security.

Après avoir analysé la découverte de Cybernews, ENC Security a déclaré que la vulnérabilité concernait une mauvaise configuration d'un fournisseur tiers et que le problème est maintenant résolu. Selon l’entreprise, le problème aurait touché “0,7% de ses utilisateurs” et aucun signe d’acteur malveillant n’a été détecté durant la période concernée.

Une nouvelle fois, les vulnérabilités observées toucheraient une quantité infime d’utilisateurs….

Selon, le chercheur à Cybernews M. Vareikis, "Les grands noms de sociétés et les mots-clés de sécurité à la mode, comme le chiffrement "de niveau militaire", doivent toujours être considérés avec scepticisme. Les entreprises qui abusent de ces mots-clés induisent une fausse confiance, étant donné que de simples erreurs de configuration peuvent entraîner d'énormes dommages pour toutes les personnes concernées".

Flashback : l’entreprise française Sopra Steria victime d’un ransomware en 2020

En octobre 2020, l’entreprise française de services informatiques de premier ordre, Sopra Steria, également prestataire labellisé et reconnu en cybersécurité, était victime d’un ransomware paralysant tout ou partie de ses systèmes. En tant que fournisseur de systèmes informatiques et de prestations de conseil pour l’État français, ayant notamment travaillé avec le ministères des finances, de l’éducation, de l’environnement ou encore le service de santé des armées, cette attaque avait, à l’époque, fait trembler au plus haut sommet de l’état.

🥸 Le deep fake se démocratise et inquiète

Dans le monde de la désinformation, la technologie deepfake est un outil très puissant. Aujourd’hui, il n’est plus rare de retrouver des images et vidéos deepfake sur le web. La toile en est même inondée. Le problème, c’est que, bien que les techniques et technologies de détection se développent rapidement, la technologie deepfake progresse beaucoup plus vite que la capacité à les détecter.

Cette situation créé un défi de taille pour les chercheurs. Voici les techniques utilisées aujourd’hui pour les détecter.

👉 Face à l’intelligence artificielle qui crée des deep fake, un espoir subsiste : l’intelligence artificielle.

Depuis plusieurs années, de grands noms de la tech se sont mobilisés pour développer des outils d’identification et de détection des deepfakes. La maison mère Alphabet de Google, Facebook en partenariat avec l’Université du Michigan ou encore Microsoft ont tous dévoilés il a plusieurs mois leurs outils.Plus récemment, le 14 novembre, c’est Intel qui est rentré dans la danse en annonçant FakeCatcher, un outil permettant de détecter une vidéo trafiquée en temps réel, avec un résultat en quelques millisecondes. La solution revendique un taux de détection de 96% et repose principalement sur l’analyse du flux sanguin du visage. Si cette efficacité se confirme, il s’agira alors d’un outil de choix pour contrer les deepfakes.

〰️ Vos shots 〰️

📟 Les numéros de 487 millions d’utilisateurs WhatsApp en vente sur le dark web

Il y a quelques jours, un pirate a mis en vente sur le Dark web, les numéros volés, relatifs à 84 pays différents, de 487 millions d’utilisateurs Whatsapp. En France, 20 millions de numéros de téléphones sont concernés. L’information a été révélée par les spécialistes de Cyber News qui indiquent que “ces données n'auraient pas été collectées lors d’un piratage, mais par du scraping”. Une méthode consistant à automatiser l’extraction de données accessibles publiquement sur le web. Pour l’heure, il n’est pas malheureusement pas encore possible de savoir si votre numéro est concerné. Mais il n’y a pas lieu de s’inquiéter outre mesure. Il convient juste de rester vigilant à une recrudescence d’attaque par phishing et s’attendre à des spams de grande échelle.

👩‍⚖️ Meta enfreint encore le règlement européen pour la protection des données (RGPD)

Suite à la découverte en 2021, d’une base de données en libre circulation sur internet, contenant les informations personnelles de 533 millions de comptes Facebook, le régulateur en charge du suivi des règles européennes sur la gestion des données (DPC) a infligé une amende de 265 millions d'euros à Meta le 25 novembre. Outre l’amende, il a été imposé au géant Américain de mettre son traitement des données en conformité avec les règles européennes dans un délai donné. Ce n’est pas la première fois que le groupe Meta est épinglé pour manquement au RGPD. Le 5 septembre 2022, il s’était déjà vu infliger une amende de 405 millions d’euros pour des manquements au traitement des données des mineurs de son application Instagram.

🔐 Twitter travaille sur le chiffrement des messages directs

Dans un tweet visant à partager sa vision d’un Twitter 2.0, le nouveau PDG de Twitter, Elon Musk, a confirmé que l’entreprise travaillait sur le projet de chiffrement de bout en bout (E2EE) des messages directs sur la plateforme. Au début du mois, la chercheuse en sécurité Jane Manchun Wong, partageait des extraits de modifications de code de l’application Android de Twitter suggérant déjà des travaux en ce sens.

Depuis cette confirmation, plusieurs experts en cybersécurité appelle à faire preuve de prudence dans ce qui semble s’orienter vers une conception précipitée d’une fonctionnalité sensible. Une messagerie chiffrée est généralement le résultat de mois ou d'années de développement et de tests, ainsi que de considérations relatives à la vie privée, au droit et à l'éthique.

Sans oublier que les interfaces elles-mêmes doivent être conçues pour faciliter les usages sécurisés par les utilisateurs. Et ce n’est pas toujours le cas !

C’est le tweet publié par Eric Besson en 2011, alors qu’il était ministre de l'Industrie, de l'Energie et de l'Economie numérique. A la place d’un message privé (ou Direct Message). Ce qui en fait l’un des premiers “DM fail” connus en France.

Voilà ce qui arrive quand une application privilégie les fonctionnalités de partage.

🪪 Mauvaise nouvelle pour 1,4 millions d’utilisateurs français de Twitter

En exploitant une vulnérabilité de l’API de Twitter, un pirate était parvenu, en fin d’année 2021, à dérober les données de 5,4 millions de comptes Twitter. Ces données, d’abord vendues pour la modique somme de 30 000 dollars en juillet dernier, sont aujourd’hui partagées gratuitement sur un forum de pirates.

Pour rappel, ces données contiennent des informations publiques et des informations privées telles que les numéros de téléphones et adresses email associés aux comptes Twitter. De plus, selon BleepingComputer, les données de 1,4 millions de comptes twitter suspendus par la plateforme auraient également été collectés à l’aide d’une autre API, portant ainsi le total à près de 7 millions de profils Twitter. Ce n’est pas tout, selon l’expert en sécurité Chad Loder, une nouvelle décharge de données encore plus importante, exposant potentiellement des dizaines de millions d'enregistrements Twitter d’utilisateurs Européen et Américain, aurait été créée à l’aide de la même vulnérabilité (censée être corrigée depuis janvier 2022). Selon Bleepingcomputer qui a pu consulter le fichier, 1,4 millions d’utilisateurs français seraient concernés par cette fuite.

🇨🇳 Cloudflare a trouvé le moyen d'étendre certains de ses services au-delà du Grand Pare-feu de Chine

Dans un post de blog du 29 novembre, Cloudflare, l’un des plus grands réseaux exécutés sur internet, a annoncé avoir trouvé le moyen d’étendre ses services au delà du Grand Pare-feu de Chine, un projet de surveillance et de censure d'Internet géré par le gouvernement chinois. Cette “prouesse” a été rendue possible grâce à la collaboration, avec l'assentiment de Pékin, de partenaires chinois locaux non identifiés. Ces partenaires de Chine acheminent le trafic local vers l'adresse chinoise correcte, tandis que le trafic mondial provenant des frontières nationales est acheminé vers le centre de données de Cloudflare le plus proche.

Depuis la mise en place de ce bouclier numérique chinois en 2003, les équipes informatiques d’organisations multinationales éprouvent des difficultés à garder un bon contact avec leurs succursales ou leur siège en Chine. Selon les chefs de produit Kyle Krum et Annika Garbers. "Les paquets traversant la frontière chinoise sont souvent confrontés à des problèmes d'accessibilité, de congestion, de perte et de latence sur leur chemin vers un serveur d'origine situé hors de Chine (et vice versa sur le chemin du retour)." Avec ce nouveau service, le trafic Internet entre la Chine et le reste du monde devrait donc rencontrer moins de problèmes techniques.

〰️ Dégustation 〰️

Le plan stratégique de la CISA veut ouvrir une nouvelle ère de la cybersécurité

C’est la première fois que l’agence de cybersécurité constitue un plan stratégique. Il vise un virage à 180° avec ses approches traditionnelles et souhaite bouleverser les meilleures pratiques en matière de cybersécurité.

S’il ne fallait retenir qu’une chose de ce plan stratégique :

En effet, la longue série d'attaques par ransomware et de violations ayant eu lien ces trois dernières années montre que les solutions existantes et les approches cyber traditionnelles, qui visent uniquement à empêcher les mauvais acteurs d'entrer, n'offrent plus une protection adéquate.

À partir de ce constat, l’agence place désormais en objectif principal la capacité à se remettre rapidement d’une cyberattaque ou d’un incident. Avant tout autre chose, les agences fédérales doivent être capables de maintenir la continuité des missions pendant et après les incidents. Il en va de même pour les organisations et leurs activités.

En France ?

Si en janvier 2018 un rapport du conseil général de l’économie de l’industrie, de l’énergie et des technologies traitait déjà de ce sujet, la cyber résilience est aujourd’hui brièvement mentionnée dans la revue nationale stratégique présentée par le chef de l’Etat le 9 novembre.

〰️ Cul sec - La question 〰️

🇨🇺 Parmi les propositions suivantes, lesquelles sont associées à Cuba ?

A. Les cigares

B. La salsa cubaine

C. Un type de ransomware

D. La démocratie

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

👨🏻 Expert à suivre - Charles Blanc Rolin, Chef de projet sécurité numérique en santé et membre du conseil d’administration de l’APSSIS qui regroupe les responsables de systèmes d’information hospitaliers, il a contribué à un guide sur la cybersécurité des appareils OT dans les hôpitaux.

⏪ Rewind - Le 10 décembre 2021, la désormais très célèbre vulnérabilité dans la bibliothèque open source de journalisation Log4j est révélée. des entreprises de cybersécurité découvrent alors que des pirates liés à des gouvernements de Chine, d'Iran et de Corée du Nord tentaient d'utiliser la vulnérabilité Log4j pour accéder à des réseaux informatiques. Un an plus tard, la situation est loin d’être résolue. À en croire Tenable, Les trois quarts des organisations seraient toujours vulnérables à Log4Shell. Et l’exposition mondiale à cette vulnérabilité pourrait durer encore de nombreuses années.

🍸 Évènement - La 6ème édition annuelle de la série Blockchain Expo a eu lieu ce 1er et 2 décembre à l’Olympia de Londres. Cet événement a réuni des industries clés du monde entier pour deux jours de contenu et de discussions autour de “l'IoT (5G co-localisée), l'IA et le Big Data, la cybersécurité et le cloud, l'Edge Computing et la semaine de la transformation numérique.”

〰️ Cul sec - Réponse 〰️

“A” et “B” sont bien évidemment justes, “C” est faux, et D est vraie

Le 1er décembre, Le FBI et la CISA ont publié un avis conjoint de cybersécurité présentant des mesures d’atténuation concernant “Cuba Ransomware”. La note révèle une forte augmentation du nombre d’entités américaines compromises par des acteurs du ransomware cubain. Le gang de ransomware Cuba aurait récolté plus de 60 millions de dollars de rançons en août 2022. Et il se donne un style…

〰️ Digestif 〰️

Alors, vrai ou fake ?

Merci d’être passé ! Rendez-vous samedi prochain pour votre nouveau Shake de l’actu cyber et digitale ! 👋

Rejoignez les Shakerz, abonnez-vous pour recevoir la newsletter hebdomadaire et soutenir notre travail.

“Shake it, don’t fake it“