Shake 〰️ 24 Déc. 2022 🎅🏻

Salut les Shakerz 👋

C’est samedi, c’est le Shake. C’est rien que pour vous. Voici ce que l’on a retenu du digital et de la cyber cette semaine.

Dans l’actu :

🎄 Les spams et attaques de phishing qui pourraient gâcher vos fêtes,

🛅 Un pas de plus vers la fin des mots de passe,

🫓 Le malware DarkTortilla livré sur deux sites de phishing,

🇪🇺 Microsoft annonce le lancement de l’initiative “EU Data Boundary”,

🇺🇦 Les utilisateurs du système militaire ukrainien DELTA ciblés par un malware,

🕵🏻 TikTok espionne les journalistes… qui enquêtent sur lui.

On vous explique tout ça plus bas.

Retrouvez le mag : 🎣 Une infographie illustrant les déclencheurs émotionnels qui nous rendent plus vulnérables aux attaques de phishing, une enquête sur l'évolution des attaques de phishing et sur les raisons pour lesquelles elles continuent encore à déjouer notre vigilance, des ingrédients à la carte pour partager vos propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture et Joyeux Noël ! 🎄🎁

La Shakerz core team

〰️ La reco du barman 〰️

🎄 Le phishing qui pourrait gâcher vos fêtes

À la période des fêtes de fin d’année, les marques et consommateurs sont généralement confrontés à une recrudescence des attaques de spam et de phishing par e-mail. Cette année ne fait pas exception.

Les fêtes de fin d’année, un moment toujours privilégié des attaquants

Selon un rapport récent du Bitdefender Antispam Lab, le volume de spam sur le thème de Noël n'a cessé d'augmenter depuis le 27 novembre, avec des pics entre le 6 et le 9 décembre. Les pirates utilisent des tactiques telles que de fausses enquêtes, des offres de rencontres en ligne pour les fêtes et des réductions sur des articles de marque pour inciter les consommateurs à donner des informations personnelles sensibles et de l'argent.

De grandes entreprises, telles que Netflix et la chaine de distribution Lowes, ont également vu leur identité usurpée dans des e-mails frauduleux proposant des offres exclusives et des cadeaux en échange d'informations bancaires. Et ça marche ! Selon une autre étude menée par la marque de cybersécurité grand public Norton, plus d'un tiers des Américains ont été victimes d'escroqueries en ligne pendant les fêtes, perdant en moyenne 387 dollars.

Tel est pris qui croyait prendre !

Les capacités des collaborateurs à détecter le phishing sont cruciales pour la sécurité d’une entreprise. Heureusement, les entreprises ont généralement pris la mesure du risque phishing : les collaborateurs sont largement sensibilisés à ce sujet. Mais, alors qu’on pourrait s’attendre à être collectivement mieux préparés et protégés, la réalité est tout autre.

Des attaques de plus en plus variées et sophistiquées

L’époque ou le phishing était principalement représenté par un e-mail frauduleux bourrés de fautes d’orthographe est révolu. Aujourd’hui, les attaques de phishing prennent différentes formes (emails, messages textes, appels téléphoniques ou messages sur les réseaux sociaux) et sont de plus en plus sophistiquées.

Grâce à l'ingénierie sociale, les cybercriminels s’appuient davantage sur les biais cognitifs et les instincts primitifs des individus pour mener à bien leurs attaques. Ils sont aussi plus habiles à imiter les communications officielles et à se faire passer pour des sources de confiance en reproduisant des graphismes similaires à ceux de véritables entreprises pour créer des emails ou des sites web frauduleux qui ressemblent à s'y méprendre aux sites officiels.

L’excès de confiance

En matière de cybersécurité, la principale menace n’est peut-être pas finalement l’attaque elle même, mais plutôt l’excès de confiance dans sa capacité à la détecter. Une étude de mars 2022, réalisée par OpinionWay pour MailInblack tend à le montrer. Le résultat de ce sondage, destiné à comprendre les habitudes des collaborateurs en matière d’utilisation des outils numériques et à évaluer leur vulnérabilité aux cyberattaques, est plutôt alarmant.

Sur un échantillon de 1010 salariés de bureau de tous types d’entreprise, 88% déclarent être vigilants quant aux emails qu’ils reçoivent et 67% estiment pouvoir détecter facilement un e-mail frauduleux. Afin d’évaluer si ces résultats correspondaient à la réalité, il a été demandé aux répondants d’identifier des emails frauduleux parmi une sélection de six messages. Alors qu’ils étaient pourtant avertis, et de surcroit, certainement plus vigilant qu’à l’accoutumée, seuls 3% des sondés sont parvenus à tous les identifier. Un bien triste résultat.

Mauvaise approche = mauvais résultats

Dans une étude menée sur plus de 14 000 participants, les doctorants de l’université ETH de Zurich en Suisse, en sont arrivés à une conclusion sans appel : la sensibilisation contre le phishing en entreprise, notamment par le biais de tests et simulation, peut rendre les employés encore plus vulnérables.

C'est pourtant ce qui est fait en matière de phishing. Au lieu d'axer les efforts sur la mise en place d’un dispositif de filtrage efficace et d’un moyen pour permettre aux collaborateurs de remonter les emails suspects.

🎣 Face au phishing, pourquoi on clique ?

Pourquoi la plupart des moyens de défense contre le phishing échouent-ils ?Des études ont examiné ces questions et ont trouvé que la nature humaine d’une part et les vulnérabilités techniques d’autre part jouent un rôle important dans la vulnérabilité aux attaques de phishing. Tout le monde peut être victime de phishing, car les cyber attaquants ciblent des déclencheurs psychologiques et émotionnels spécifiques à chaque personne.

De plus, selon certaines études, l’exposition répétée à la thématique phishing (sensibilisation, tests de phishing…) pourrait même être contre-productive

〰️ Vos shots 〰️

🛅 Un pas de plus vers la fin des mots de passe

Apple, Microsoft et Google ont un point commun : les trois géants de la tech sont déterminés à mettre fin à l'utilisation des mots de passe au profit d'une autre méthode d'authentification basée sur les standards de l’Alliance FIDO : les Passkeys. Cette nouvelle forme d’authentification sans mot de passe repose sur la génération d’une clé numérique unique directement stockée sur l’appareil. Une fois la clé créée, l’utilisateur peut utiliser les ressources de son appareil (scan d’empreinte digitale, reconnaissance faciale, scan de QR code, etc.) pour s’authentifier à un site web ou une application.

En résumé, les Passkeys reposent sur le même principe que l’authentification à deux facteurs, mais avec la différence qu’aucun mot de passe n’est impliqué, ni stocké dans une quelconque base de données. Après Microsoft en 2021, Apple en octobre 2022 avec la sortie d’iOS 16, c’est au tour de Google d’annoncer la prise en charge des passkeys comme moyen d’authentification de son navigateur Chrome. Ces nombreuses initiatives pourrait réduire considérablement le danger des attaques par phishing et diminuer, voir réduire à néant, la valeur des mots de passe dérobés lors de fuites de données.

🫓 Le malware DarkTortilla livré sur deux sites de phishing

Au cours d’un exercice de routine de chasse aux menaces, les chercheurs de Cyble Research and Intelligence Labs (CRIL) ont identifié une nouvelle campagne d’hameçonnage en activité destinée à déposer le malware DarkTortilla sur les machines de victimes peu vigilantes. Pour ce faire, les pirates ont usurpé l’identité des marques Grammarly et Cisco. Dans les deux cas, les utilisateurs qui suivent le lien diffusé par les pirates, probablement au travers d’emails de spams ou de publicités en ligne, se retrouvent alors sur un site de phishing similaire au site légitime.

Les analystes ont découvert que lorsque l’utilisateur souhaite télécharger l’assistant de rédaction Grammarly ou commander la technologie VPN Secure Client de Cisco, il télécharge en réalité un fichier malveillant chargé d’exécuter une série d'actions aboutissant à l'installation de DarkTortilla sur le système compromis. Ce malware, utilisé depuis au moins 2015 par les groupes de menaces est connu pour être extrêmement furtif et persistant. Il est principalement utilisé pour déposer des charges utiles tels que des voleur d’informations et des chevaux de Troie sur les systèmes qu’il compromet.

🇪🇺 Microsoft annonce le lancement de l’initiative “EU Data Boundary”

Pour répondre aux nouvelles exigences du Comité européen de la protection des données (EDPB) sur les exports de données hors Union Européenne, Microsoft a dévoilé le 15 décembre, le lancement au 1er janvier 2023, de la première phase de son plan “EU Data Boundary”. Cette initiative en préparation depuis plusieurs mois est destinée à circonscrire les données des solutions Microsoft au sein des frontières européennes. Tous les services en ligne de Microsoft Cloud sont concernés. Notamment Microsoft 365, Dynamics 365, Power Platform et Azure.

Pour se mettre en conformité avec la nouvelle réglementation, Microsoft a déclaré avoir construit 17 centres de données et avoir investi plus de 12 milliards de dollars en Europe. Bien que Microsoft semble se conformer aux règles européennes, son initiative n’invalide en rien le Cloud Act, qui reste valable. Peu importe que les données soient stockées en Europe, Microsoft reste avant tout une entreprise américaine. Pour tout comprendre sur l’histoire des données personnelles, retrouvez notre infographie partagée dans le shake du 17 décembre.

🇺🇦 Le système militaire ukrainien DELTA est ciblé par un malware

La guerre entre la Russie et l'Ukraine a conduit Moscou à intensifier les cyberattaques à l’encontre des infrastructures critiques Ukrainiennes. Dans un communiqué publié le 18 décembre, le CERT-UA (Computer Emergency Response Team of Ukraine) a révélé que des utilisateurs du programme Delta ont reçu des emails de phishing provenant d'un compte de messagerie compromis appartenant au ministère de la Défense.

L'attaque, attribuée au groupe de menaces russe UAC-0142, visait à infecter les systèmes avec deux logiciels malveillants qui volent les données : FateGrab et StealDeal. Cette attaque intervient quelques jours après que l'Ukraine a présenté le système Delta à l'OTAN. Un système cloud développé par Aerorozvidka, une unité militaire ukrainienne spécialisée dans les drônes, qui permet de surveiller et d’afficher en temps réel les troupes sur le champ de bataille.

🕵🏻 TikTok a espionné des journalistes de Forbes

ByteDance, la société mère de TikTok, a admis avoir utilisé l’application pour surveiller l'emplacement physique de plusieurs journalistes en accédant à leurs adresses IP et à leurs données d'utilisateur. Cette campagne de surveillance secrète visait à découvrir la source de fuites au sein de l'entreprise après une série d'articles de presse exposant ses liens permanents avec l’état Chinois. Selon Forbes, qui a rapporté cette affaire en octobre, plusieurs de ses journalistes ont été suivis dans le cadre de cette campagne. Suite à ces révélations, ByteDance a licencié Chris Lepitak, son directeur de l’audit, qui dirigeait l'équipe responsable de ces campagnes de surveillance. Le cadre Chinois Song Ye, qui dépendait directement du PDG de ByteDance, Rubo Liang, à quant à lui, démissionné. Dans une déclaration à l'AFP, ByteDance a condamné cette "initiative malencontreuse qui violait gravement le code de conduite de la société". Ces nouvelles révélations viennent entacher encode davantage la réputation de la plateforme, qui est déjà largement menacée d'interdiction aux États-Unis.

〰️ Dégustation 〰️

À quel point sommes-nous bons pour détecter une attaque de phishing ?

Enquête sur l'évolution des attaques de phishing et sur les raisons pour lesquelles elles continuent encore à déjouer notre vigilance.

À retenir :

• Selon les experts informatiques interrogés, le problème est que "la variété des attaques de phishing est très large, et l'utilisation de nouvelles méthodes plus sophistiquées complique le filtrage automatique".

• "Le succès durable du phishing est simplement le résultat de notre tendance humaine à être tenté d'effectuer une action, en particulier lorsque nous faisons confiance à la source".

• Selon les auteurs, il est important de mettre en place une formation efficace contre le phishing, mais aussi de favoriser la sécurité et les avertissements en ligne qui aideront les utilisateurs à prendre des décisions éclairées.

〰️ Cul sec - La question 〰️

Savez-vous à quoi correspond cette liste de 2048 mots ?

A. Le protocole BIP39

B. La liste de mot utilisée pour générer la phrase mnémonique de votre portefeuille de cryptomonnaies

C. Le premier dictionnaire numérique de l’histoire

D. Une illusion d’optique

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

👨🏻 Expert à suivre - Christophe Dari, expert en sécurité technique des messageries email. Il aide les organisations à comprendre et à utiliser les protocoles de messagerie (SPF, DKIM, DMARC) pour sécuriser leur architecture. Il les accompagne dans la mise en oeuvre de ces protocoles qui sont généralement peu compris et mal utilisés.

⏪ Rewind - Le 20 décembre 1990, l’inventeur de web Tim Berners-Lee, mettait en ligne, au CERN, le tout premier site web de l’histoire. Une copie de son écran, datant de 1993 est consultable sur le site du CERN. La suite vous la connaissez, le World Wide Web sera ensuite ouvert au grand public en 1993 et donnera naissance à l’une des plus grandes révolutions technologiques de l’histoire.

⚖️ Justice - Argishti Khudaverdyan, propriétaire d’un magasin de téléphones, vient d’être condamné à 10 ans de prison fédérale. Il a été reconnu coupable d’avoir eu recours à des emails d’hameçonnage et à des escroqueries d’ingénierie sociale pour voler les informations d'identification de plus de 50 employés de T-Mobile à travers les États-Unis. Il a ensuite utilisé ces identifiants pour contourner les contraintes réseaux imposées par les opérateurs mobile et “débloquer” illégalement les téléphones pendant près de 5 ans. Cette escroquerie lui aura tout de même rapporté plus de 25 millions de dollars.

〰️ Cul sec - Réponse 〰️

A et B sont justes

Le protocole BIP39 a été introduit pour simplifier l’ensemble du processus de génération et d’accès au bitcoin et à d’autres portefeuilles de crypto-monnaie. Autrefois, le bitcoin et d’autres portefeuilles crypto étaient générés et accessibles à l’aide de clés privées comportant plusieurs caractères, lettres et chiffres. Plutôt difficile à retenir et à utiliser. Une seule erreur de caractère pouvait vous empêcher d’accéder à votre portefeuille.

Avec BIP39, l’utilisateur peut utiliser une phrase mnémotechnique, soit un ensemble de 12 ou 24 mots, pour accéder ou récupérer son portefeuille. Toutes les phrases mnémotechniques sont générées à partir de cette liste de 2048 mots anglais soigneusement choisis.

Et si vous vous demandez si un pirate pourrait deviner votre phrase mnémotechnique à partir de cette liste, sachez que pour une phrase de 24 mots par exemple, il y a 2048 combinaisons de mots possibles à la puissance 24. Ce nombre est tellement énorme qu’on le compare souvent à une estimation du nombre total d'atomes dans l'univers connu. Donc en pratique, avec la technologie actuelle, vous pouvez dormir tranquille.

〰️ Digestif 〰️

Bojan Tunguz : “Voici le nouveau PDG de Twitter”

Elon Musk : “Il est super”

Merci d’être passé ! Rendez-vous samedi prochain pour votre nouveau Shake de l’actu cyber et digitale ! 👋

Rejoignez les Shakerz, abonnez-vous pour recevoir la newsletter hebdomadaire et soutenir notre travail.

“Shake it, don’t fake it“