Shake 〰️ 13 août 2022

Salut les Shakerz 👋Canicule oblige 😎 🥵, on vous a préparé un petit cocktail rafraichissant de ce qu’il ne fallait pas manquer cette semaine en cyber.🐕 Les utilisateurs Windows vivement invités à appliquer la dernière mise à jour, ⚖️ Tornado Cash accusé de blanchiment par le Trésor Américain, 💼 de fausses offres d’emploi Coinbase, le parlement finlandais 🇫🇮 cible d’une cyberattaque…

En bonus : quel rôle pour le directeur transformation digitale dans la stratégie cybersécurité, les 5 obstacles à franchir en entreprise pour être plus résiliants face aux cybermenaces, des saveurs du web à la carte et, vous l’attendez tous, votre question de la semaine.

Bonne lecture et bon week-end !

La reco du barman

🐕 Utilisateurs Windows : appliquez immédiatement la dernière mise à jour

Microsoft a publié ce mardi 09 août une nouvelle mise à jour massive comprenant les correctifs de 121 failles, dont 17 critiques et 101 classées importantes dans le Common Vulnerability Scoring System (CVSS).

Attention chien méchant : Dogwalk

C’est une faille de sécurité zero-day de haute gravité, connue sous le nom de CVE-2022-34713 ou “DogWalk”. Cette faille est actuellement activement exploitée par des pirates informatiques. Microsoft recommande vivement à tous les utilisateurs de Windows et Windows Server d’appliquer sa dernière mise à jour mensuelle.

La vulnérabilité baptisée “DogWalk” est liée à la faiblesse du module de diagnostic “Windows Support Diagnostic Tool” (MSDT). Elle permet aux attaquants d'exécuter du code à distance sur les systèmes vulnérables. DogWalk affecte toutes les versions de Windows, y compris les dernières versions client et serveur, Windows 11 et Windows Server 2022.

Signalée pour la première fois en janvier 2020

La vulnérabilité “DogWalk” a été signalée pour la première fois en janvier 2020. À l’époque, Microsoft avait considéré qu’elle ne constituait pas un problème de sécurité. Visiblement, la présence du correctif dans cette nouvelle mise à jour démontre que Microsoft a été contraint de changer sa position. Les attaquants auront donc pu bénéficier allègrement d’environ 2 années pour exploiter cette vulnérabilité…

Cocktail explosif

Les 5 facteurs qui rendent les entreprises vulnérables aux cybermenaces

Ces données sont issues de l’étude menée en juin 2022 par Cybersecurity Insiders, en partenariat avec Beyond Security by HelpSystems auprès de 325 professionnels de la cybersécurité afin de mieux comprendre les tendances, les défis et les solutions actuels en matière de sécurité des applications.

L’Édito du taulier

Le directeur transformation digitale : carte Joker de la cybersécurité ?

Par Sylvan Ravinet

Depuis plusieurs années, des PDG de grandes entreprises ayant subi des crises cyber significatives n’ont clairement plus la côte (Marissa Mayer ex PDG de Yahoo, l’ex PDG d’Equifax, le PDG de SolarWinds…). Souvent, le CISO de l’époque les alertait, mais ils ne trouvaient pas ensemble un terrain d’entente. Parfois, s’est aussi posée la question de la compétence du CISO (Equifax en 2017).

Le directeur transformation digitale à la rescousse ?

Dans l’univers du jeu, le rôle du joker est très variable. Beaucoup n'en font pas usage ; d'autres, au contraire, en font la carte la plus importante.

Le CISO est restreint à un périmètre technique et n’est pas en mesure de porter cette vision à ce niveau stratégique. Car beaucoup de CISO dépendent toujours d’un DSI ou d’un CTO. Leur bagage est rarement business et sans une dose suffisante de digital. Trop rarement les CISO s’autorisent (ou sont autorisés) à penser client (externe). Le Chief Digital Officer (CDO) n’a pas ces contraintes.

Le directeur transformation digitale a une capacité directe à agir : il dispose de budgets, de l’écoute de la direction générale, il lui arrive même de porter un P&L (compte de résultats). Il est souvent seul à pouvoir intervenir en transverse sur à la fois la technologie, les clients et canaux de distribution, les partenaires, les collaborateurs et les processus métier. 

Le CDO doit-il pour autant devenir l’unique super héros de la cybersécurité ?

Pas nécessairement, car il est fondamental que le CISO puisse conserver une forme d’indépendance, lui permettant d’avoir une capacité d’analyse, de recommandations et parfois d’alertes du top management. Cependant, que CDO et CISO travaillent de concert, c’est certain.

Demain, seuls les directeurs transformation digitale qui auront convenablement intégré la cybersécurité au cœur de leur démarche seront considérés comme crédibles dans leur gestion de carrière, vers des positions encore plus ambitieuses. Pour paraphraser l’OCDE :

Sylvan Ravinet, expert en cybersécurité et taulier.

Vos shots

⚖️ Tornado Cash dans la tourmente

Dans un communiqué du 8 août 2022, l’Office of Foreign Assets Control (OFAC) des États-Unis accuse publiquement Tornado Cash. Le célèbre mélangeur spécialiste des transactions de la blockchain Ethereum aurait facilité le blanchiment de plus de 7 milliards de dollars depuis sa création en 2019. Parmi cette somme, 455 millions de dollars volés par Lazarus Group, un groupe de “pirates d’État” nord-coréen, auraient été blanchis sur la plateforme.

💼 Coinbase recrute ! Ou pas

Les chercheurs en cybersécurité de Malwarebytes ont découvert une nouvelle campagne de phishing attribuée à Lazarus Group. L’organisation criminelle nord-coréenne prend l’identité de la célèbre plateforme de cryptomonnaies Coinbase pour proposer de fausses offres d’emploi “Responsable de l'ingénierie, sécurité des produits" visant les développeurs de blockchain.

🇫🇮 Le parlement finlandais, cible d’une cyberattaque

Alors que la Finlande a entamé le processus d’adhésion à l’OTAN suite à l’invasion Russe en Ukraine, le parlement finlandais a annoncé ce mardi que son site internet avait fait l’objet d’une attaque informatique par déni de service (DoS) ralentissant ou empêchant complètement l'accès au site internet. Selon le site de la radiotélévision publique finlandaise Yle Uutiset, un groupe de pirates russes aurait revendiqué la cyberattaque sur sa chaîne Telegram. Coincidence ou pas, le même jour, le magazine américain Foreign Policy publiait une excellente interview de Mikko Hautala, l’ambassadeur de Finlande auprès des USA, spécialiste de l’Ukraine et de la Russie.

💬 Le géant américain de la communication Twilio, victime de smishing

L’entreprise a déclaré sur son blog avoir été victime d'une campagne d'hameçonnage par sms (smishing) incitant ses employés à révéler leurs identifiants de connexion. Certains d'entre eux sont tombés dans le piège permettant ainsi aux attaquants d’accéder à des données clients. Le sms en question qui invitait les employés à réinitialiser leur mot de passe ou à les avertir d’un changement d’emploi du temps contenait un lien redirigeant les employés vers une page imitant la page de connexion Twilio.

🚨 GitHub s’attaque aux vulnérabilités de l’intégration continue

GitHub a annoncé ce mardi 9 août le lancement d’une nouvelle fonctionnalité pour les développeurs. Github enverra désormais une alerte “Dependabot” pour les "GitHub Actions" vulnérables. Ces alertes seront émises vers les dépôts concernés à partir de la base de données de vulnérabilités de sécurité de GitHub. Cette nouvelle fonctionnalité doit permettre aux développeurs de corriger plus facilement les problèmes de sécurité dans l’approche CI/CD.

Ça fout les chocottes 😬

Have I Been Pwned, géré par l'expert en sécurité Troy Hunt, est le premier outil que tu dois utiliser pour savoir si ton adresse e-mail et/ou ton numéro de téléphone ont été exposés dans une fuite de données et dans quelle mesure tes données ont été divulguées. 👌 Le must : active les notifications (Notify me) et enregistre ton e-mail pour être alerté de futures violations de données te concernant.

Cul sec - La question

Quelle est la part du nombre de sites web non indexés (Deep web) sur les moteurs de recherche ?

A. Moins de 20%B. Entre 20 et 40%C. Entre 40 et 60%D. Entre 60 et 80%E. Plus de 80%

—> Réponse à la sortie du bar.

À la carte

⏪ Rewind - Le 10 août 2021, les analystes de Mandiant (acquis par Google) ont annoncé dans un rapport que des hackers affiliés au gouvernement Chinois étaient responsables d’attaques de 2019 et 2020, initialement attribuées à l’Iran. Les attaquants ont réussi à pénétrer le gouvernement Israélien et des entreprises de la tech. Un nouveau rappel que les “faux nez” (ou false flag en anglais) ne sont pas rares.

📒 Lecture - gAbrIel de Chase Cunningham, ancien cryptologue en chef de l'US Navy. Un roman exceptionnel sur le thème de la cyberguerre, une intrigue originale et des scènes de cyber-piratage réalistes.👨🏻 Expert à suivre - Etienne Klein. Ce scientifique, directeur de recherche au CEA, a montré le 31 juillet sur twitter que “la photo d’une tranche de chorizo est une photo de l’étoile Proxima du Centaure”. Un canular, bien sûr. Etienne Klein n’intervient, à proprement parler, ni dans le digital, ni dans la cybersécurité. Mais ses tweets et posts récents sur LinkedIn invitent à prendre du recul sur la fabrication de la “science” et des “fake news”. Ce qui est vrai ou non dans le domaine digital et cyber n’est pas toujours aussi simple qu’il n’y parait.

📄 Rapport - L’édition 2022 du Data Breach Investigation Report de Verizon est sortie. Vous y trouverez des points de vue concrets, basés sur des données d’incidents réels, sur ce qui arrive généralement aux entreprises en matière de cybercriminalité.

🍸 Évènement - Il est encore temps pour vous inscrire à la conférence BarbHack de Toulon, le 27 août prochain. Au programme notamment : comment détourner le machine learning, géopolitique de l’Ukraine et Russie, et le traditionnel barbecue de fin de journée !

Cul sec - La réponse

Réponse E - Plus de 80%

Bien que ce pourcentage peut varier en fonction des études, la part de sites web non indexés sur les moteurs de recherche est estimée à + de 80%. Le web que nous connaissons n’est que la partie émergée d’un gigantesque iceberg.

Merci d’être passé ! Rendez-vous samedi prochain pour le nouveau Shake de l’actu cyber et digitale ! 👋

Rejoignez les Shakerz, abonnez-vous gratuitement pour recevoir notre newsletter hebdomadaire et soutenir notre travail.