Shake 〰️ 10 Déc. 2022

Salut les Shakerz 👋

C’est samedi, c’est le Shake. Voici, rien que pour vous, ce que l’on a retenu du digital et de la cyber cette semaine.

Dans l’actu : 🍑 Sur Twitter, des spams érotiques chinois occultent les manifestations, 🥸 Un Wiper déguisé en Ransomware cible des organisations russes, 🔓 LastPass victime d’un deuxième incident de sécurité en 3 mois…

Retrouvez le mag : 🦠 Une illustration sur les différents types de malware, 🛠️ le guide “cyber résilience” de l’AFNOR, des ingrédients à la carte pour composer vos propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Alors qu’est-ce que l’on vous sert : Ransomware ou Wiper ?

Bonne lecture et bon week-end,

La Shakerz core team

〰️ La reco du Barman 〰️

🍑 Sur Twitter, des spams érotiques chinois occultent les manifestations

En raison de sa politique “Zero Covid” de moins en moins tolérée, la Chine est en proie depuis le 28 novembre, à un mouvement de contestation social inédit dans le pays depuis les mobilisations pro-démocratie de Tiananmen en 1989. Dans le même temps, une campagne de désinformation massive inonde les réseaux sociaux pour restreindre l’accès aux informations des manifestations.

Brouiller les pistes

Afin de limiter la contagion de ce mouvement social en train de prendre un tournant politique, un raz de marrée de “spams” érotiques a inondé les réseaux sociaux ces derniers jours. Sur Twitter, des milliers de messages à caractères sexuels ont encombré les fils d’informations des manifestations, dans le but rendre inaudible toute information couvrant les évènements. Même si pour l’heure, aucune preuve formelle n’indique que le gouvernement chinois est derrière cette opération d’influence, la stratégie employée ne laisse peu de doute. Selon Marie Holzman, sinologue et spécialiste de la Chine contemporaine, interrogée par France Info, “C'est une stratégie du gouvernement chinois, il s'agit d'inonder les réseaux de messages pornographiques pour freiner la diffusion de l'information sur les manifestations".

Pékin n’en est pas à son premier coup d’essai

Bien qu’interdit en Chine, le gouvernement chinois a par le passé déjà tenté de contrôler ou d’influencer les informations sur Twitter. En 2019, lors des manifestations pro-démocratie à Hong Kong, le site de journalisme d'investigation ProPublica avait estimé que "plus de 10 000 faux comptes Twitter présumés avaient été impliqués dans une campagne d'influence coordonnée, en lien avec le gouvernement chinois".

La chasse aux protestataires est ouverte

Selon un enregistrement entre un policier et un manifestant obtenu par CNN, le gouvernement chinois utiliseraient les données des téléphones portables des manifestants pour les retrouver. Cette information concorde avec les témoignages de plusieurs manifestants révélant avoir été contacté par la police chinoise concernant leurs présences sur les lieux des manifestations alors que leur identité n’avait pas été contrôlée durant la manifestation.

Dans un autre style, un journaliste de l’AFP présent à Shanghai a révélé avoir assisté à plusieurs arrestations dans lesquelles la police vérifiait de force les téléphones des individus pour y trouver des applications de réseaux sociaux étrangers, interdites et bloquées en Chine, pouvant être utilisée pour diffuser des informations sur le mouvement social.

Visiblement, la montée en puissance de ce mouvement de contestation social sans précédent semble inquiéter sérieusement Pékin qui n’hésite pas à utiliser tous les moyens en sa possession pour éviter que cela n’empire.

🦠 Malware : qui fait quoi ?

Bien qu'il existe de nombreuses variantes de malware, voici une liste synthétique non exhaustive des malwares les plus répandus :

Pour davantage de détails sur ces différents malware et leur champ d’action, c’est ici !

〰️ Vos shots 〰️

🏥 Le centre hospitalier de Versailles paralysé par un rançongiciel

Après l’hôpital de Corbeille-Essonnes en août dernier, c’est au tour de l’hôpital André-Mignot du centre hospitalier de Versailles (Yvelines) d’être la cible d’un ransomware. Samedi 3 décembre, un ou plusieurs attaquants ont exploité une faille de sécurité dans le système informatique de l'hôpital pour chiffrer et bloquer les données. Le ransomware Lockbit 3.0 aurai été utilisé par un cyberattaquant n’appartenant pas à la franchise Lockbit.

Qu’il s’agisse d’un imitateur de Lockbit ou non, les conséquences sont comparables : une partie des ordinateurs a affiché un écran noir accompagné du message "Tous vos dossiers importants ont été dérobés et cryptés. Suivez nos instructions". Pour débloquer l’accès aux données, les pirates ont réclamé une rançon. Pour tenter de contenir la propagation, la direction de l’hôpital a été contrainte d’arrêter complètement ses systèmes informatiques, perturbant ainsi sérieusement ses activités, notamment ses urgences.

🥸 Un Wiper déguisé en rançongiciel cible des organisations russes

Cet automne, les analystes de Kaspersky ont détecté un nouveau programme malveillant ciblant le réseau d’une organisation Russe. Nommé CryWiper, ce malware est plutôt unique en son genre. L’analyse de l’échantillon révèle que le programme se déguise en ransomware pour exiger une rançon en échange du déchiffrement des données chiffrées. En réalité, les données du système infecté ne sont pas chiffrées, mais délibérément supprimées.

Ce n’est pas la première fois qu’un ransomware supprime les données de sa victime. Or, dans le cas général, ce comportement résulte d’une erreur d’implémentation du pirate. Dans le cas de CryWiper, l’analyse du code démontre que la suppression des données est bel et bien intentionnelle. Au contraire d’un ransomware, l’utilisation d’un malware de type “Wiper” n’a pas de motivation financière. Son seul but est de détruire les données afin qu’elles soient irrécupérables. Ce qui est l’indication d’un acteur sponsorisé par un état.

Est-ce une réponse du berger à la bergère ? En juin 2017, le Wiper NotPetya, ciblant à l’origine les infrastructures énergétiques de l’Ukraine, a fait d’importants dégâts dans le monde entier. Il a été attribué à la Russie.

🛠️ Le kit de ransomware Cryptonite se transforme accidentellement en Wiper

Contrairement à des souches de ransomware payantes, ce “Cryptonite” — qui n’est pas la variante du ransomware Chaos du même nom et encore moins la Kryptonite fatale à Superman — a la particularité d’être gratuit et open-source. Quiconque a les compétences nécessaires peut le déployer. Récemment, les analystes de Fortinet FortiGuard Labs ont identifié un nouvel échantillon de ce ransomware. Il agit essentiellement comme un destructeur de données de type Wiper. Néanmoins, contrairement à CryWiper évoqué ci-dessus, cette particularité ne semble pas être volontaire, mais découle plutôt d’une “simplicité de conception du ransomware” qui plante après voir avoir terminé le processus de chiffrement. Selon Gergely Revay, analyste chez Fortinet, “il n'y a aucun moyen de récupérer les fichiers chiffrés". Les découvertes concernant CryWiper et Cryptonite s’inscrivent dans un contexte instable où des Wipers déguisés en Ransomware sont de plus en plus utilisés pour écraser les données.

🔓 LastPass victime d’un deuxième incident de sécurité en 3 mois

Seulement trois mois après l’intrusion du mois d’août, la plateforme de gestion de mots de passe LastPass, utilisée par plus 800 000 entreprises et 33 millions d’utilisateurs particuliers, vient de subir une nouvelle violation de données. L’alerte a été émise suite à la découverte d’une activité inhabituelle au sein du service de stockage cloud tiers partagé avec sa société affiliée GoTo. Selon LastPass, ce nouvel incident de sécurité, rendu possible grâce aux informations obtenues lors de l’intrusion précédente, a permis à un tiers non-autorisé d’accéder à “certains éléments d'information” des clients. Toutefois, l’entreprise se veut rassurante concernant les mots de passe de ses utilisateurs précisant que “les mots de passe des clients restent cryptés en toute sécurité grâce à l'architecture Zero Knowledge de LastPass”.

🇮🇷 Des experts internationaux visés par des pirates d’État Iraniens

C’est l’ONG Human Rights Watch qui le révèle. Une campagne de phishing par des cyberespions parrainés par l’état Iranien a ciblé “militants de l’ONG, journalistes, chercheurs, universitaires, diplomates et personnalités politiques de haut niveau travaillant sur les questions du Moyen-Orient”.

L’enquête, menée avec le Citizen Labs de Amnesty International (à l’origine des révélations sur le spyware Pegasus) a montré l’implication de “Charming Kitten” ou APT42, lié au gouvernement iranien.

Comment le groupe a-t-il procédé ? Par diverses méthodes d’ingéniérie sociale et de phishing, notamment en ciblant les comptes Gmail et en envoyant des messages WhatsApp. A plusieurs reprises, les attaquants ont eu ainsi accès aux “emails, disques de stockage dans le nuage (« cloud »), calendriers et contacts”. Ils ont pu exfiltrer des données.

〰️ Dégustation 〰️

Anticiper et faire face aux cyberattaques grâce au guide de bonnes pratiques AFNOR

Pilotés par l'AFNOR, une quarantaine de représentants d’organisations publiques et privées ont partagé leurs expériences et bonnes pratiques en matière de cyber résilience. La spécificité ? Ils ont tous vécu directement ou indirectement des cyberattaques dans leur organisation.

Ce guide gratuit se veut simple. Il est prévu pour être activé facilement par les fonctions informatiques ou cybersécurité pour anticiper le traitement d’une cyberattaque.

Il se divise en 4 parties :

• “Recommandations en cas de survenance d’une cyberattaque paralysante”

• “Spécifications techniques pour la reconstruction du système d’information”

• “Préconisations pour la continuité d’activité métiers”

• “Sortie de crise, retour d’expérience et capitalisation après une cyberattaque”

〰️ Cul sec - La question 〰️

Quel élément n’est pas en vente dans le cadre de la vente aux enchères de la marque en faillite Camaïeu ?

A. Le logo

B. Les stocks de vêtements

C. Le fichier clients

D. Le nom de domaine

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

👨🏻 Expert à suivre - Guillaume Poupard, directeur général de l’ANSSI, l’agence nationale de sécurité des systèmes d’information. Début décembre, il a confirmé sur LinkedIn son départ définitif de l’agence en fin d’année, près de 9 ans après sa prise de fonctions. Il avait pris le soin de laisser l’écosystème Cyber français s’habituer à la nouvelle, annoncée dès janvier 2022.

Sur le tableau de chasse de cet ingénieur général de l’armement, expert en cryptologie et polytechnicien, de multiples initiatives :

• Réglementaires (la LPM en France, les contributions aux directives européennes NIS et NIS2),

• Des exercices de gestion de crise et de nombreuses crises réelles gérées face à notamment la montée des rançongiciels (que l’agence n’a pas réellement su anticiper) et la reconnaissance publique de l’espionnage étatique par moyens cyber (attribué particulièrement à la Chine)

• La structuration du marché de la cybersécurité avec des labels, des financements et le Campus Cyber,

• Une ouverture de l’agence vers l’extérieur avec la publication d’un MOOC, de nombreux guides, de nombreux interviews et participation à des conférences.

Toute cette activité a passé par le renforcement des moyens financier et des effectifs de l’agence, passant de 400 à 600 agents environ. Avec aussi des combats perdus, car la cybersécurité n’a pas pu devenir une “grande cause nationale” sous son mandat, et l’arbitrage sur le sujet du paiement des rançons par les assureurs face à la direction du Trésor du ministère de l’économie a été rendu en défaveur.

Alors quel va être son prochain poste ? La trajectoire de ses ainés polytechniciens peut fournir une indication : Patrick Pailloux, qui était le précédent directeur de l’ANSSI, devenu ensuite Directeur technique de la DGSE, a quitté cet été ses fonctions. Des rumeurs persistantes évoquent aussi un poste important chez un acteur du secteur de la défense.

⏪ Rewind - Parce qu’il faut rendre hommage aux pionniers et pionnières, le 10 décembre 1815 naissait la Comtesse de Lovelace, Augusta Ada King (1815-1852). Elle n’est pas qu’aristocrate mais une pionnière de l'informatique. Elle est aussi inspiratrice de l'intelligence artificielle et du langage de programmation éponyme Ada. La fusée Ariane 5, contrôlée en Ada, a subi en 1996 un incident menant à son explosion. Celle-ci est non pas attribuée au langage, mais il y a débat : ce serait soit du fait “d’erreurs de conception et d’implémentation” ou d’erreurs de réutilisation d’un code, inutile, vieux de 10 ans. L’un des coûts d’erreurs de logiciels les plus élevés de l’histoire : environ 500 millions d’euros.

🍸 Évènement - Mardi 13 et mercredi 14 décembres a lieu à Washington DC l’Aviation Security Summit. Bien que non dédié à la cybersécurité, la 22e édition de l’événement, sous la responsabilité d’un groupement de dirigeants d’aéroports, traitera largement des systèmes de sécurité critiques et de leur cybersécurité.

〰️ Cul sec - Réponse 〰️

Réponse C - Le fichier clients

Placée en liquidation judiciaire le 28 septembre, l'enseigne de prêt-à-porter nordiste Camaïeu a du fermé 511 magasins et supprimer 2 600 postes. Après une première vente aux enchères des stocks de vêtements en novembre, la marque a été vendue aux enchères ce mercredi 7 décembre, sans son fichier clients. Bien qu’initialement inclue dans le deal, la marque a finalement été contrainte de renoncer à la vente de son fichier clients à cause de la polémique que l’annonce avait suscité. En France, la vente de fichiers clients est bien autorisée mais les contraintes pour vendre des données personnelles sont nombreuses. Face aux interrogations concernant la légalité d’une telle action, la Cnil a publié le 5 décembre un rappel des conditions de vente d’un fichier de clients en respect des règles RGPD.

〰️ Digestif 〰️

Merci d’être passé ! Rendez-vous samedi prochain pour votre nouveau Shake de l’actu cyber et digitale ! 👋

Rejoignez les Shakerz, abonnez-vous pour recevoir la newsletter hebdomadaire et soutenir notre travail.

“Shake it, don’t fake it“