Shake 〰️ 30 juillet 2022

Salut les Shakerz 👋 Que s’est-il passé cette semaine dans le digital et le cyber ? 🌌 Ca bouscule les codes.

Twitter 🐤 fait (encore) face à une fuite de données, le nouveau smartphone de Google pas si fiable, l’agence fiscale 🇮🇹 en proie au gang de rançongiciel LockBit, les vulnérabilités de la plateforme de e-commerce Prestashop exploitées par des attaquants, T-Mobile paye le prix fort suite à la fuite subie l’année dernière.

En bonus : faut-il vraiment s’acharner à faire des tests de phishing, le rapport de KPMG sur la cybersécurité et confiance pour les entreprises, des saveurs du web à la carte et, vous l’attendez tous, votre question de la semaine !Bon week-end !

Alicia, Aurélien, Sylvan

La reco du barman

30 000€ : le prix des data de 5,4 millions de Twittos

Rien que ça. La faille d’origine a été détectée en janvier dernier, mais un cybercriminel a su en tirer profit quelques mois plus tard : il a mis en vente la base sur un forum. A l’échelle du Web, l’affaire est rentable !

Un hacker éthique avait décrit la brèche sur Hackerone (bug bounty) : l’adresse email et/ou le numéro de téléphone associé à un identifiant Twitter pouvaient être récupérés par des pirates. La raison de ce bug ? Le processus d’autorisation des utilisateurs Android, en particulier dans la vérification du doublonnage d’un compte Twitter.

Le vendeur de données a donc profité de cette faille non corrigée pour subtiliser les noms d’utilisateurs, les emails correspondants ainsi que les numéros de téléphone de ces 5,4 millions d’utilisateurs. Il a ensuite mis en vente la base de données sur un forum de cybercriminels. Voici l’annonce de “devil”.

Vous voulez un petit conseil ? Désolé, aucun moyen n’existe pour vérifier si votre compte est concerné par cette violation de données de Twitter, il est donc important d’être vigilant face aux attaques de phishing.  Si vous recevez un message vous indiquant que votre compte risque d'être supprimé avec un lien suspect, méfiez-vous. La principale précaution à prendre : ne jamais cliquer sur les liens envoyés dans les emails, toujours utiliser vos propres signets ou taper vous-même une URL que vous connaissez.

Plus dans le rapport de Restore Privacy.

Ça pétille

Le bitcoin 2x plus intéressant qu’il y a 6 mois

L’Édito du taulier

Faut-il s’acharner à faire des tests de phishing ?

Par Sylvan Ravinet 

C’est moche !

Selon une étude du CESIN* parue en janvier 2022, le vecteur d’attaque le plus répandu est le phishing à 73%.

Le premier mail de phishing est répertorié en 1995. Il cible les utilisateurs du premier fournisseur d'accès public à Internet, AOL. Presque 30 ans après, le problème du phishing est loin d'être réglé. 

Les tests de phishing sont prétendus indispensables

Notamment pour espérer souscrire à une police d'assurance cyber. Mais, problème majeur : ce qui devrait être une simulation, s'effectue dans l'environnement réel. De vrais emails sont envoyés dans les boîtes email par des experts cyber qui cherchent à "sensibiliser" ou à "planter les utilisateurs". C’est selon chacun. Pourtant :

On n’est pas dans Matrix.

Que valent vraiment les tests de phishing ?

L’expérience menée par les doctorants de l’université ETH de Zurich sur les campagnes de sensibilisation contre le phishing amène à une conclusion sans appel. En entreprise, la sensibilisation contre le phishing peut rendre les employés encore plus vulnérables. Face à ce problème majeur, la conclusion de l’expérience préconise le partage de la détection du phishing par l’ensemble des employés. 

Ce n’est plus l’époque d’AOL. En 2022, les entreprises ne font plus face à des attaquants isolés, mais à des écosystèmes très structurés, qui partagent bien mieux les informations et la R&D offensive que les entreprises ne le font entre elles pour leur défense. Il serait temps que les entreprises - grâce à leurs collaborateurs - fassent de même. Serez-vous prêt à le dire à votre CISO, DSI ou patron ?

(*) Club des experts de la sécurité de l'information

Sylvan Ravinet, expert en cybersécurité et taulier.

Vos Shots

🤳 Le nouveau Pixel 6a de Google, vraiment fiable ?

Dans un message diffusé sur Reddit, deux vidéos montrent qu’il est possible de déverrouiller le smartphone avec un autre doigt que celui enregistré. Et même avec le doigt de quelqu’un d’autre ! Une faille ? Pas si sûr. Les utilisateurs avertis sont sceptiques et pensent que Google possède déjà toutes nos empreintes dans sa base de données… Cela reste à confirmer.

🧮 La calculatrice Windows, une porte d’entrée pour les malwares

Considérée comme un “programme de confiance” dans le système Windows, elle échappe à la détection de logiciels malveillants. Les pirates parviennent ainsi à introduire un malware en exploitant les bibliothèques DLL. Pas d’inquiétude si vous possédez Windows 10 ou 11,  seul Windows 7 est touché. 

🇮🇹 Le fisc italien dépouillé par LockBit

78 Go de données ont été dérobées par le gang. Il menace de les divulguer si une rançon n'est pas payée avant le 31 juillet. Leur butin : des documents, des rapports financiers et des contrats de l’Agenzia delle Entrate. 32,77% de tous les incidents ransomware ce trimestre lui sont associés, ce qui fait de lui le groupe le plus actif.

🛍️ Les e-commerçants presto-écrémés sur Prestashop

Les 300 000 marchands en ligne de la plateforme ont eu peur. Les pirates sont parvenus à injecter un code d'écrémage malveillant afin de voler les informations de paiement saisies par les clients. Les sites les plus touchés ? Ceux utilisant des versions obsolètes du logiciel ou d'autres modules tiers vulnérables. 

💰 T-Mobile USA paye les pots cassés

Face à la brèche historique qu’il a subi en août 2021 avec 80 millions d’utilisateurs touchés, l’opérateur paye le prix fort. 350 millions de dollars seront versés à un fonds d’indemnisation. Pour 76,6 millions de clients, c’est une goutte d’eau. 4,60 dollars par client. En plus, "au moins 150 millions de dollars" serviront à améliorer ses mesures de sécurité. Pas trop tôt.

Zoom

Découvrez les principaux enseignements et conseils pratiques de cette année. Le rapport annuel de KPMG sur les considérations en matière de cybersécurité identifie huit éléments que les dirigeants devraient privilégier pour atténuer et minimiser l'impact des cyberattaques tout en protégeant les clients, les données et la durabilité dans un monde numérique.

Cul sec - La question

Quel est le pays avec le plus de bases de données exposées ?

A. La Chine 🇨🇳B. La France 🇫🇷C. L’Allemagne 🇩🇪D. Les Etats-Unis 🇺🇸

—> Réponse à la sortie du bar.

A la carte

📔 Lecture - The voyage of the space beagle par A. E. van Vogt, publié en 1950. Un classique de la SF.⏪ Rewind - Le 28 juillet 2021, Les États-Unis, le Royaume-Uni et l'Australie publient un avis commun sur les principales vulnérabilités alors exploitées. Depuis, ces travaux sont fréquemment mis à jour et l’ANSSI a suivi.🍸 Évènement - Le FIC (Forum International de la Cybersécurité), grand-messe de la cyber à Lille, s’exporte outre-atlantique et s’installe au Canada du 01 au 02 novembre 2022.📝 Expert à suivre - Matthieu Garin, Partner Wavestone. Avec ses posts LinkedIn, il envoie du pâté, à la rencontre de la gouvernance et des aspects techniques.

🧠 Mooc - Formez-vous à la sécurité numérique avec le Mooc de l’ANSSI. Un classique lancé en 2017, avec plus de 200 000 apprenants. Vous y trouverez l’ensemble des informations pour vous initier à la cybersécurité, approfondir vos connaissances, et ainsi agir efficacement sur la protection de vos outils numériques.

Cul sec - La réponse

Réponse D - Les États-Unis

Oui Jean-Pierre. 👉 Avec environ 93 600 bases de données exposées, les Etats-Unis sont le pays le plus touché par les cyberattaques au premier trimestre 2022. Viennent ensuite la Chine, avec 54 700 bases de données exposées, l’Allemagne avec 11 100 et enfin la France avec 9 723.

Merci d’être passé ! Rendez-vous samedi prochain pour un nouveau Shake de l’actu cyber et digitale ! 👋