Shake 〰️ 5 nov. 2022

Salut les Shakerz 👋

C’est samedi, c’est votre Shake. Voici ce que l’on a retenu pour vous de ce qui s’est passé en digital et en cyber.

Dans l’actu : 🇬🇧 Nouvelle négligence de dirigeants politiques en matière de cybersécurité, 🎣 Lockbit 3.0 revendique une cyberattaque contre Thales - qui reste à confirmer, 🌩️ Dropbox s’est fait copier 130 dépôts de code avec du phishing…

Retrouvez aussi : les faits marquants du rapport annuel 2022 du NCSC Britannique (homologue de l’ANSSI), des ingrédients à la carte pour composer vos propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture et bon week-end,

La Shakerz team

〰️ La reco du Barman 〰️

🇬🇧 Royaume-Uni : le téléphone de l’ex. Première ministre a été piraté

Le weekend dernier, le DailyMail a révélé les détails d’une nouvelle affaire de négligence politique en matière de cybersécurité. l’ex-Première ministre britannique, Liz Truss, qui a récemment fait parler d’elle pour avoir présenté sa démission après seulement 6 semaines au pouvoir - un triste record - aurait été la cible d’un piratage téléphonique l’été dernier.

Des conversations confidentielles et embarrassantes sur un appareil personnel

L’affaire a été découverte l’été dernier alors que Liz Truss était encore ministre des affaires étrangères. Le piratage du téléphone aurait permis aux cyber espions d’avoir accès à des conversations sensibles à propos de l'Ukraine et des livraisons d'armes, à des “échanges top secret avec des partenaires internationaux”.

Selon le Dailymail, les pirates seraient parvenus à obtenir des messages remontant jusqu’à il y a un an. Qui serait à l’origine des attaques ? La piste la plus plausible serait celle de services de renseignements russes. Mais pour l’heure, aucun preuve n’est apportée pour étayer cette hypothèse.

Cela ne s’est pas arrêté là : lors de conversations embarrassantes, Liz Truss et un collègue ministre ont dit du mal de leur patron, Boris Johnson, chef du gouvernement au moment des faits. Un levier de plus pour du “Kompromat”.

D’après les informations du journal, l’appareil concerné par le piratage est le téléphone personnel de Liz Truss, qui depuis, a été placé “en lieu sûr” pour être examiné.

Une autre bourde récente : celle de la ministre de l’intérieur

Les révélations de ce scandale de sécurité nationale sont mal venues pour le nouveau premier ministre Rishi Sunak, en poste depuis quelques jours seulement. D’autant plus que ce dernier a reconduit à son poste Suella Braverman, ministre de l’intérieur tout juste évincée du gouvernement de Liz Truss pour un problème de sécurité nationale de même nature. Elle avait utilisé sa messagerie personnelle pour envoyer un document de travail à un député. A cette occasion, elle a aussi fait une erreur de destinataire en copie de l’email, ce qu’elle détaille dans une lettre aux parlementaires. Dans cette lettre, elle admet également utiliser Whatsapp dans des conversations avec d’autres responsables politiques britanniques.

Retour 10 ans en arrière, aux Etats-Unis

Ces mésaventures de hauts responsables au sein du gouvernement britannique nous rappellent également l’affaire très médiatisée des emails d’Hillary Clinton, ancienne candidate à la présidentielle américaine. Durant son mandat de Secrétaire d’État (2009-2013), elle a utilisé une messagerie email personnelle pour envoyer des informations confidentielles au lieu d’utiliser la messagerie officielle mise à sa disposition par l’administration. Ce scandale, qui est ressorti durant la présidentielle américaine de 2016, lui a très certainement coûté un grand nombre de voix.

Les mêmes erreurs semblent répétées inlassablement par des responsables politiques qui semblent être toujours autant insouciants concernant leurs données numériques - et donc les intérêts des citoyens qu’ils représentent. La presse met en lumière des situations problématiques en Grande-Bretagne et aux USA. Qu’en est-il dans d’autres pays ? La question reste ouverte.

Vent de panique autour de failles OpenSSL…finalement pas si graves 😌

OpenSSL est la librairie cryptographique la plus utilisée au monde. Elle garanti des échanges sécurisés lors de toutes sortes d’usages, y compris. Ce mardi 1er novembre, le projet open source a publié un correctif pour deux vulnérabilités « critiques » pouvant conduire à des exécution de code à distance (RCE). Une éventuelle prise de contrôle à distance, donc, par des attaquants. De quoi donner des sueurs froides à de nombreux professionnels de l’informatique dans le monde. Ce n'est pas tous les jours qu’une faille critique est découverte dans OpenSSL.

Finalement, la communauté des experts cyber est arrivée à une conclusion : l’exploitation de ces failles s’avère en pratique extrêmement improbable, voir impossible. Plus de peur que de mal, donc. Le niveau de gravité des vulnérabilités a été rétrogradé à “élevé”. Pas de panique, mais il ne faut pas se relâcher : il est tout de même conseillé d’appliquer le correctif.

Une nouvelle fois, la cyber “fin du monde” a donc été évitée. Mais puisqu’on en parle, comment fonctionne le protocole SSL ? Voici l’exemple (simplifié) de votre navigateur web qui consulte un site avec “https://”.

〰️ Vos shots 〰️

🎣 Lockbit 3.0 revendique une cyberattaque contre Thales

Dans un communiqué publié lundi 31 octobre sur sa page dans le darknet, le gang de rançongiciel russophones Lockbit 3.0 a revendiqué une cyberattaque contre Thales. Le groupe Français est spécialisé dans l’aérospatiale, l’électronique, la défense et la sécurité. Pour l’heure, le groupe indique qu’aucune rançon n’a été demandée, et qu’il n’a pas trouvé trace d’intrusion. Les pirates accusent dans leur communiqué le groupe français d’avoir « grandement négligé les règles de confidentialité » de ses clients et précisent que « toutes les données disponibles seront publiées » d’ici au 7 novembre. Lockbit 3.0 a récemment fait parler de lui en ciblant l'hôpital de Corbeil-Essonnes fin août.

🦝 Opération Racoon : le suspect bientôt extradé aux États-Unis

Mark Sokolovsky, un jeune ukrainien âgé de 26 ans, est accusé par le ministère américain de la justice d’avoir organisé l’infection de millions d’ordinateurs aux États-Unis avec Racoon Infostealer. Sokolovsky aurait loué ce malware-as-a-service (MaaS) à d’autres cyberdélinquants pour environ 200 $ par mois, payés en cryptomonnaie. Le FBI a identifié 50 millions d’identifiants (emails, numéros de carte bancaire) parmi les données dérobées par le logiciel malveillant. Les États-Unis souhaitent désormais extrader le suspect, actuellement détenu au Pays-Bas. S’il est reconnu coupable, Sokolovsky encourt une peine maximale cumulée de 27 ans de prison pour fraude informatique et bancaire.

🌩️ Dropbox s’est fait copier 130 dépôts privés GitHub… avec du phishing

Mardi 1er novembre, Dropbox a déclaré avoir été la cible d’une campagne de phishing qui a permis à quelqu’un de copier 130 dépôts de code GitHub privés et de dérober certains de ses identifiants d'API secrets. Néanmoins, Dropbox affirme que le problème a été rapidement résolu et que le risque pour les clients serait minime. En septembre dernier, Github mettait en garde ses utilisateurs d’une campagne de phishing dans laquelle des pirates se faisaient passer pour CircleCI (une plateforme d'intégration continue et de livraison continue) afin de récolter des identifiant. Visiblement, l’alerte ne semble pas être parvenue jusqu’aux oreilles de tous les employés de Dropbox.

🗂️ 3 To de données de Thomson Reuters en Open bar

Les experts en sécurité de Cybernews ont découvert que Thomson Reuters, un conglomérat de médias, a exposé publiquement et malencontreusement une base de données (Elasticsearch) de 3 To. Un véritable trésor d’informations sensibles et récentes provenant de toutes les plateformes de l’entreprise. Parmi les données : des mots de passe de serveurs tiers non chiffrés, des logs de changement d’identifiants, des documents commerciaux et juridiques, etc. Les analystes estiment que ces données pourraient valoir plusieurs millions de dollars sur des forums criminels. Depuis, l’entreprise a reconnu le problème et l’a immédiatement corrigé. Trop tard : les données ont été exposées.

🎯 Chegg dans le viseur de la FTC pour négligence

La Commission Fédérale du Commerce (FTC) des États-Unis a déposé plainte contre Chegg, une edtech américaine. Elle accuse l’entreprise d’avoir négligé la sécurité entraînant l’exposition des données personnelles de millions d'étudiants. En février, le groupe annonçait fièrement 4,6 million d’abonnés. Les fondamentaux ont été largement négligés par l’entreprise : les employés auraient partagé leurs comptes, partagé des données personnelles en texte clair et utilisé un chiffrement dépassé pour les mots de passe. Fait le plus marquant, Chegg n’aurait pas disposé de politique de sécurité avant janvier 2021. La FTC est bien connue pour serrer la vis aux entreprises qui sont trop laxistes avec leur sécurité. Dernier exemple en date, Uber a été contraint en juillet dernier de trouver un accord avec la FTC pour ne pas être poursuivie au niveau fédéral, suite à la dissimulation d’une faille de sécurité majeure en 2016, qui avait exposé les données de plus de 57 millions d’utilisateurs.

〰️ Dégustation 〰️

Rapport annuel du NCSC Britannique

La 6ème édition du rapport annuel du NCSC, l'autorité technique du Royaume-Uni en matière de cybersécurité (homologue de l’ANSSI), est sortie. Elle couvre les faits marquants de septembre 2021 à août 2022.

À retenir en 38 pages :

• Cette année, une réponse coordonnée à l’échelle nationale a été nécessaire pour 18 incidents de ransomware (notamment contre un fournisseur du NHS - l’assurance maladie et une société de distribution d'eau).

• Les principales menaces de cybercriminalité contre les citoyens et PME sont toujours le phishing et le piratage des comptes de réseaux sociaux.

• La Russie a cherché mené des cyber-opérations offensives contre l'Ukraine dont les conséquences ont été limitées avec l’aide du NCSC et du FCDO (les affaires étrangères britanniques).

• Les menaces d'acteurs étatiques tels que la Chine ont continué à se développer.

• L'évolution technique de la Chine est susceptible d'être le plus grand facteur affectant la cybersécurité du Royaume-Uni à l'avenir (lire : la plus grande menace).

〰️ Cul sec - La question 〰️

Quelle forme d’authentification forte est la plus résistante ?

A. L’authentification basée sur une notification push sur une application mobile

B. L’authentification multifactorielle (MFA) résistante au phishing.

C. Une notification push sur une application mobile, avec correspondance de numéro

D. L’envoi d’un SMS avec un mot de passe à usage unique

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

👩🏻 Experte à suivre - Anitha Ibrahim est chargée de déterminer la politique publique d'Amazon Web Services (AWS) en matière de cybersécurité. Elle fait partie des “femmes à suivre” en cybersécurité selon le magazine Forbes.

🍸 Évènement - Les 8 et 9 novembre prochain, le Programme de La Haye sur la cybersécurité internationale tiendra sa prochaine conférence annuelle avec pour objectif de comprendre comment les discours influencent sur les conflits cyber en 2022. On pense évidammement à la guerre en Ukraine.

⏪ Rewind - Le 7 novembre 2013, Twitter faisait sont entrée en trombe à la bourse de New-York. Lancée à 26 dollars, l'action Twitter s’échangeait autour des 53 dollars lors de sa dernière quotation, pour une valorisation du réseau à 41 milliards de dollars. Avec l’achat de Twitter par Elon Musk, Twitter va tirer sa révérence de la bourse. C’est prévu lors de l’ouverture de séance du 8 novembre prochain.

〰️ Cul sec - Réponse 〰️

Réponse B - L’authentification multifactorielle (MFA) résistant au phishing

D’après les principes de “confiance zéro”, l’Agence de cybersécurité et de sécurité des infrastructures (CISA) encourage vivement toutes les organisations à mettre en oeuvre un MFA qui résiste au phishing.

Pour toutes les organisations qui utilisent une MFA basée sur la notification push mobile et qui ne sont pas en mesure de mettre en oeuvre une “Phishing-resistant MFA”, la meilleure alternative provisoire est d’utiliser la correspondance de numéro pour atténuer la fatigue de la MFA (dont Uber a récemment été la victime).

La CISA a publié deux fiches d'information récapitulatives des différentes formes de MFA et leurs principales vulnérabilités.

〰️ Digestif 〰️

“Meme” les meilleurs font des erreurs…

Vu sur LinkedIn cette semaine pour un recrutement plutôt sensible… Avec un contact par email.

→ Voir l’offre d’emploi de la DGSE (LinkedIn)

Ok on rigole un peu, mais concrètement que pourrait faire cette vénérable institution pour réduire les risques d’identification de ses candidats, dont une partie seront de futurs agents dédiés aux questions de cybersécurité les plus sensibles de l’Etat ?

Peut-être proposer une page .onion sur le réseau Tor et un “Securedrop” comme le proposent les grands titres de la presse pour alimenter discrètement leurs enquêtes sensibles. Bien sûr trouver la réponse la plus adaptée prend plus que nos 2 minutes de réflexion.

Spéciale dédicace au boulevard Mortier : sans rancune, chez Shaker on fait encore plus d’erreurs, et on a plein d’opportunités d’améliorations. Chers lecteurs, quel que soit le sujet, si vous voyez des choses que nous pouvons améliorer, dites-le nous. “If you see something, say something” comme disent les britanniques en matière de lutte contre le terrorisme.

Merci d’être passé ! Rendez-vous samedi prochain pour votre nouveau Shake de l’actu cyber et digitale ! 👋

Rejoignez les Shakerz, abonnez-vous gratuitement pour recevoir la newsletter hebdomadaire et soutenir notre travail. Faites tourner !