• Shakerz
  • Posts
  • Shake 〰️ 26 Nov. 2022

Shake 〰️ 26 Nov. 2022

November 26, 2022

Salut les Shakerz 👋

Vous l’attendiez : c’est samedi, c’est le Shake. Voici ce que l’on a retenu pour vous du digital et de la cyber cette semaine.

Dans l’actu : 🎶 inquiétudes généralisées concernant la collecte de données par TikTok, 🐘 des analystes mettent en garde contre les vulnérabilités de l'application Mastodont, 🔐 Microsoft alerte contre l’augmentation des vols de jetons d’authentification…

Retrouvez aussi : 🔓 comment fonctionne une attaque “Adversary-in-the-middle” '(AiTM) pour contourner l’authentification multifactorielle, 🚨 une enquête de l’ANSSI sur l’attractivité et la représentation des métiers de la cybersécurité, des ingrédients à la carte pour composer vos propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture et bon week-end,

La Shakerz core team

〰️ La reco du Barman 〰️

🎶 TikTok : inquiétudes autour de la collecte de données personnelles

person holding black iphone 5

Détenu par le géant chinois ByteDance, l’application de vidéo TikTok - plus d’1 milliard d’utilisateurs actifs mensuels - suscite l’inquiétude dans le monde entier. TikTok collecte des données à une telle échelle que de nombreuses voix s’élèvent et de plusieurs procédures sont actuellement en cours à l’encontre de la plateforme.

Ces inquiétudes ont été particulièrement exacerbées cette année par l’enquête de BuzzFeed, qui révélait en juin 2022, à partir d’enregistrements audio de 80 réunions internes de TikTok, que les données d’utilisateurs américains avaient été consultés à plusieurs reprises depuis la Chine. En Europe, TikTok a reconnu publiquement et pour la première fois au début du mois, que les données de ses utilisateurs européens peuvent être “selon les besoins du service” consultées par les salariés de l’entreprise. Au Royaume-Uni, ce sont les données des enfants qui inquiètent les autorités.

Aux USA, les autorités “extrêmement préoccupées” par l’influence de la Chine sur l’application

Dans une déclaration publique du 15 novembre, le directeur du FBI, Christopher Wray, a fait part publiquement de son inquiétude concernant la collecte des données des utilisateurs qui pourrait être utilisées par le gouvernement chinois. Il déclare : “Ils incluent la possibilité que le gouvernement chinois l’utilise pour contrôler la collecte de données sur des millions d’utilisateurs ou contrôler l’algorithme de recommandation, qui pourrait être utilisé pour des opérations d’influence s’il le souhaite, ou pour contrôler le logiciel sur des millions d’appareils, ce qui lui donne la possibilité de compromettre techniquement des appareils personnels”.

En Europe, TikTok sous l’oeil des autorités

En réponses aux inquiétudes du Parlement européen, la présidente de la Commission européenne, Ursula von der Leyen, a confirmé ce 21 novembre, que les transferts de données de TikTok faisaient l’objet d’une enquête et cité plusieurs procédures.

“Il s’agit notamment d’une enquête de la [Commission irlandaise de protection des données] sur le respect par TikTok de plusieurs exigences du RGPD, y compris en ce qui concerne les transferts de données vers la Chine et le traitement des données des mineurs, et d’un litige devant les tribunaux néerlandais (en particulier concernant la publicité ciblée concernant les mineurs et les transferts de données vers la Chine)”.

En cas de non respect du RGPD, l’entreprise ByteDance encourt une amende de 4 % de son chiffre d'affaires annuel mondial. Une somme qui peut s’avérée conséquente au vu des 58 milliards de dollars de chiffre d’affaires réalisé par TikTok en 2021.

Aux Royaume-Uni, TikTok, accusé de porter atteinte à la vie privée des enfants

L'information Commissioner's Office (ICO), l’équivalent de la CNIL au Royaume-Uni a indiqué le 26 septembre dernier, avoir mené une enquête "montrant que l'entreprise pourrait avoir enfreint la législation britannique de protection des données" entre mai 2018 et juillet 2020. L’enquête révèle que l’application TikTok aurait “traité les données d'enfants de moins de 13 ans sans le consentement parental approprié, omis de fournir des informations appropriées à ses utilisateurs d'une manière concise, transparente et facilement compréhensible, et traité des données de catégorie spéciale, sans motif légal pour le faire”. Si ces accusations sont confirmées, TikTok pourrait se voir infliger une amende de 27 millions de livres sterling.

🔓 La technique “Adversary-in-the-middle” (AiTM) pour contourner le MFA

Les attaquants utilisent de plus en plus ces techniques d'AitM pour voler des jetons d’authentification au lieu de mots de passe. Pour ce faire, l’attaquant insère une infrastructure malveillante entre l'utilisateur et l'application légitime à laquelle il tente d'accéder. Lorsque l'utilisateur est hameçonné, l'infrastructure malveillante capture à la fois les informations d'identification ainsi que le précieux jeton d’authentification permettant de contourner l’authentification multifactorielle.

〰️ Vos shots 〰️

Le mixologue vous conseille : Mastodon, Correlium, vol MFA, Discord et le détournement d’outils de tests d’intrusion.

🐘 Des analystes mettent en garde contre les vulnérabilités de l'application Mastodont

Depuis la prise de contrôle de Twitter par Elon Musk, nombreux sont ceux à avoir chercher des alternatives au réseau social de microblogging. Les recherches « Twitter Alternatives » ont bondi de 300 %. L’application Mastodon, entre autres, a su saisir l’engouement et s’est très vite imposée comme l’une des alternatives les plus populaires en dépassant en l’espace de quelques jours le millions d’utilisateurs. Ce qui est encore assez loin des 229 millions d'utilisateurs actifs de Twitter.

Néanmoins, cet engouement a attiré l’attention des experts en sécurité qui mettent en garde contre des vulnérabilités de l’application. À titre d’exemple, l’analyste de PortSwigger, Gareth Heyes, a découvert une vulnérabilité d’injection HTML, Alevski, ingénieur logiciel en sécurité chez MinIO a identifier une mauvaise configuration du système qui permettrai de télécharger, modifier ou supprimer tout ce qui se trouve dans le bucket de stockage cloud S3. Enfin, le chercheur Anurag Sen, a quant à lui découvert un serveur anonyme récupérant les données des utilisateurs de Mastodon. Alors avant de franchir le pas, restez vigilants.

🍏 Apple accuse Corellium de flirter avec NSO

Correllium, une startup de cybersécurité qui vend des logiciels de virtualisation d’environnements iOS et Android utilisés pour identifier des failles de sécurités, auraient vendu ses programmes à des fabricants de logiciels espions et d'outils de piratage gouvernementaux controversés en Israël, Émirats arabes, Russie et en Chine. Ces informations sont issues d’un document secret de 507 pages, utilisé par Apple dans le cadre d’un procès pour violation de droits d’auteur avec la startup.

Selon le document Corellium a offert en 2019 un essai de son produit à NSO Group, fabriquant du désormais très célèbre malware Pegasus. Parmi les autres clients potentiels, on retrouve également Dark Matter, société de cybersécurité en lien avec les Émirats arabes unis, ou Pwzen Infotech, fondé par un groupe de hackers Chinois. Pour l’heure, la défense de Corellium consiste à avancer que ces organisations ont eu accès à "une version d'essai du logiciel de Corellium d'une durée et d'une fonctionnalité limitées" et qu’à l’issue du processus de vérification, la version complète leur a été refusée.

🔐 Microsoft alerte contre l’augmentation des vols de jetons d’authentification

Dans une nouvelle alerte, l'équipe de détection et de réponse de Microsoft (DART) tire la sonnette d’alarme concernant l’augmentation des vols de jetons d’authentification permettant aux attaquants de contourner l’authentification multifactorielle (MFA).

Les jetons d’authentification, ou cookies de session, sont utilisés pour authentifier un appareil ou un navigateur comme légitime. Dès lors que l’utilisateur s’authentifie à l’aide du MFA, un cookie est établi sur le terminal. En utilisant ce cookie, le pirate peut alors l’utiliser pour se connecter en contournant l’authentification et l’autorisation.

Cette nouvelle est préoccupante pour plusieurs raisons : l'authentification multifactorielle est aujourd’hui largement adoptée par les organisations, qui pourraient croire avoir réglé le problème de l’authentification en l’utilisant. Mais l’expertise requise pour compromettre un cookie est très faible, le sujet des vols de jetons n’est pas encore couvert par les plans de réponse aux incidents des entreprises et l’utilisation d’appareils personnels par les employés est de plus en plus répandue. Un cocktail explosif ! Pour limiter les risques du vol de jeton, consultez les recommandations de Microsoft.

💬 Les utilisateurs Discord ciblés par des ransomwares

Dans un post du 18 novembre, les chercheurs de Cyble Research and Intelligence Labs révèle avoir découvert 3 nouvelles familles de ransomwares (AXLocker, Octocrypt et Alice Ransomware) ciblant les utilisateurs Discord, logiciel de VoIP et de messagerie instantanée populaire parmi les communautés de crypto et de joueurs. Ces ransomwares peuvent être achetés sur les forum de cyber criminalités moyennant quelques centaines de dollars. Mention spéciale pour AXLocker, qui, en plus de crypter les fichiers des victimes et d’exiger une rançon, vole également le jeton d’authentification du compte Discord pour en prendre possession. Cette nouvelle fait écho à l’alerte émise par les chercheurs de Microsoft dont on vous parlait plus haut.

🚩 À l’instar de Brute Ratel et Cobalt Strike, NightHawk pourrait être détourné

Dans un post du 22 Novembre, les analystes de Proofpoint indiquent avoir identifié en septembre, l’apparition d’un nouveau test d’intrusion appelé “Nighthawk” par une Red Team potentielle. Nighthawk est un outil de simulations d’attaques légitimes similaires à d’autres outils tels que “Brute Ratel” et “Cobalt Strike”. Bien que ces derniers soient déjà largement adoptés par les cybercriminels, l’utilisation de “Nighthawk” par des cybercriminels n’est pas encore avérée.

Cette découverte est un signal d’alarme supplémentaire concernant ces outils de simulation d’attaques légitimes de plus en plus détournés pour des attaques réelles. Selon les chercheurs, il est probable que “Nighthawk” devienne populaire auprès des cybercriminels, soucieux de diversifier leurs stratégies d’attaque. Télescopage d’actu : Google a mis à disposition de la communauté un ensemble de règles YARA open-source pour aider signaler et à identifier les composants de Cobalt Strike et leurs versions respectives.

〰️ Dégustation 〰️

🚨 Le manque de salariés dans le secteur de la cybersécurité devient critique

Alors que les besoins en cybersécurité explosent, les entreprises Françaises manquent cruellement de ressources qualifiées. La stratégie nationale cyber présentée en 2021 prévoit la création de 37 000 postes d’ici 2025. Mais selon Gérôme Billois, associé chez Wavestone, 15 000 postes ne sont pas pourvus par manque de candidats.

Il précise le problème “Il y a peu de temps, on pensait qu’on manquait de formation en cybersécurité et on en a créé. Malheureusement, aujourd’hui, elles ne sont remplies qu’à 50%”

La raison de ce déficit serait le manque d’attractivité des métiers de la cybersécurité. À cette fin, l’Observatoire des métiers de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a dévoilé ce mois-ci une nouvelle enquête sur la représentation et l’attractivité des métiers et du secteur de la cybersécurité auprès de 3627 élèves, étudiants et actifs en formation.

À retenir :

L’ANSSI juge les résultats “encourageants” mais faut-il voir le verre à moitié vide ou à moitié plein ? Nous avons modéré l’enthousiasme du communiqué de l’agence. En creux, les axes de travail se dessinent.

  1. Les métiers du secteur sont perçus comme majoritairement exercés par des hommes, avec un niveau élevé de qualification. Aujourd’hui seuls 11% des actifs dans le secteur de la cybersécurité sont des femmes (chiffre issu de l’enquête 2021 Les profils de la cybersécurité). Elles représentent aujourd’hui 14% des étudiants en cybersécurité. Un effectif qui reste insuffisant pour inverser la tendance à court terme. Aucun chiffre ne permet aujourd’hui de constater le début d’une amélioration à moyen comme à long terme.

  2. 36% des étudiants en cybersécurité souhaitent travailler dans un service cyber d’une entreprise elle-même non spécialisée en cybersécurité. Ce qui étonne l’ANSSI. L’agence s’attendait-elle à ce que le chiffre atteigne 80% ? Ou cela pourrait-il être une indication que la cybersécurité est justement l’affaire de tous, et donc de tous les secteurs ?

  3. 43% des étudiants en cybersécurité pensent que les métiers de la cybersécurité permettent difficilement de concilier vie professionnelle et vie personnelle. Cela pourrait cacher la nécessité d’améliorer l’organisation du travail dans le domaine : tous les salariés ne peuvent travailler en 24/7 et être soumis à ses impératifs de disponibilité. Ou alors la nécessité de diversifier les profils des intervenants dans les écoles ? Ou les thèmes traités lors des enseignements ?

  4. 92% des étudiants en cybersécurité envisagent de travailler dans ce domaine. Peut-être un peu trop vite en besogne, l’ANSSI tire de ce chiffre que les formations sont “en adéquation” avec les attentes des étudiants. Comment peut-il en être autrement pour l’agence qui a créé et sponsorisé le label SecNumEdu ? Celui-ci inspire (dicte ?) fondamentalement les cursus de formation en cybersécurité. Des formations donc peu diverses.

  5. Si les étudiants en cybersécurité estiment que ce domaine est très attractif (81%) - il y aurait tout de même près de 20% d’insatisfaits par le domaine avant même le diplôme - les étudiants des autres cursus semblent moins convaincus (52% en cursus informatique et 28% dans les autres cursus). Les étudiants en informatique pensent par exemple que les métiers de la cybersécurité sont très difficiles (43%), très exigeants (61%) ou encore très stressants (37%), une vision qui traduit la faible attractivité du secteur, même du point du vue du domaine technologique le plus proche (l’informatique).

〰️ Cul sec - La question 〰️

Quel est le meilleur moyen d’augmenter l’efficacité de la cybersécurité d’une entreprise ?

A. Utiliser les derniers outils d’Intelligence Artificielle

B. Donner le maximum de responsabilités à la personne responsable de la cybersécurité au sein de l’entreprise

C. S’assurer que les points de vue d’un maximum de personnes soient pris en compte

D. S’assurer que chaque application fasse l’objet d’une appréciation des risques

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

👨🏻 Expert à suivre - Nicolas Petit, fondateur de Native, une plate-forme hybride associant une expertise numérique stratégique et opérationnelle à une recherche centrée sur les humanités numériques et les enjeux sociétaux de la technologie.

⏪ Rewind - Le 23 novembre 2007 sortait le rapport Olivennes, du même nom que l’ancien patron de la FNAC, Denis Olivennes. Ce rapport constitue le préambule à la loi Hadopi créée en 2009. Après 12 années d’actions, le bilan de la loi Hadopi est plutôt médiocre : 14 millions d’avertissements ont été envoyés aux internautes qui ont un jour télécharger un contenu de manière illicite, 6994 dossiers ont été adressé aux parquets et seulement 517 jugements ont été rendus. Depuis le 1er janvier 2022, Hadopi a fusionné avec le Conseil supérieur de l’audiovisuel (CSA) pour devenir l’ARCOM.

⚖️ Justice - Reconnu coupable de fraudes électroniques et de complot en vue de commettre une fraude, Elizabeth Holmes, la fondatrice de Theranos, a été condamnée ce 18 novembre à 11 ans de prison. Pour rappel, Cette ancienne figure considérée comme un prodige de la Silicon Valley s’était fait connaître pour avoir mis au point une technologie révolutionnaire permettant, par une seule goûte de sang, de diagnostiquer des centaines de maladies. Seul hic, tout était faux. Un tel exploit n’existe malheureusement pas encore.

〰️ Cul sec - Réponse 〰️

Réponse C - S’assurer que les points de vue d’un maximum de personnes soient pris en compte

Dans les entreprises, le sujet de la cybersécurité est traditionnellement délégué à l’informatique. Cette approche largement répandue créé une perception incomplète de la nature stratégique des cyber risques et peut avoir de lourdes conséquences.

Dans un rapport publié en 2021, le Forum Economique Mondial (WEF), l'association nationale des administrateurs de société (NACD), l’association Internet Security Alliance (ISA) et le cabinet d’audit PwC dévoilaient 6 principes de gouvernance des conseils d'administration en matière de cyber-risque.

Sur le plan scientifique, les résultats d’une étude menée par le MIT cybersecurity sont sans appel. Les organisation qui appliquent les principes de consensus peuvent considérablement améliorer leur cyber résilience sans augmenter les coûts. L’entreprise qui applique la collégialité est censée avoir 85 % d'incidents en moins. Ce serait dommage de s’en priver !

〰️ Digestif 〰️

Et si, pour augmenter l’attractivité de la cybersécurité, on prenait le temps de la découvrir, voire de la ressentir ?

Merci d’être passé ! Rendez-vous samedi prochain pour votre nouveau Shake de l’actu cyber et digitale ! 👋

Rejoignez les Shakerz, abonnez-vous pour recevoir la newsletter hebdomadaire et soutenir notre travail.

Reply

or to participate.