- Shakerz
- Posts
- Shake 〰️ 7 Jan. 2023
Shake 〰️ 7 Jan. 2023
Salut les Shakerz 👋
C’est 2023, c’est samedi, voici le Shake. C’est rien que pour vous. Voici ce que l’on a retenu du digital et de la cyber cette semaine.
Dans l’actu :
🛅 Le chiffrement post-quantique accélère en 2023,
🏥 LockBit s’excuse d’avoir attaqué un hôpital,
🎓 Un “piratage” d’ampleur à l’origine des menaces d’attentat le jour de la rentrée ?
💸 Un pionnier du Bitcoin perd sa fortune dans un piratage,
💄 Un malware Linux opère sur Wordpress depuis plus de 3 ans,
🔓 Okta et LastPass : 2 leaders de l’authentification révèlent de nouveaux incidents de cybersécurité.
On vous explique tout ça plus bas.
Retrouvez le mag : 🕹️ Une illustration pour vous aider à réduire le temps de jeu vidéo de vos enfants, des ingrédients à la carte pour partager vos propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !
Bonne lecture !
La Shakerz core team
〰️ La reco du barman 〰️
🛅 Le chiffrement post-quantique accélère en 2023
La maison blanche donne l’ordre de se préparer au chiffrement post-quantique
Selon un mémo de la Maison Blanche, le président américain Joe Biden a signé le 21 décembre dernier la "loi sur la préparation à la cybersécurité par l'informatique quantique". De quoi s’agit-il ?
En anticipant que les ordinateurs quantiques de demain pourraient être en mesure de décrypter la plupart des méthodes de cryptage existantes, cette loi bipartisane promeut l'adoption dès aujourd’hui par le gouvernement fédéral, de technologies capables de résister au décryptage par l'informatique quantique. Dorénavant, lorsqu’une agence fédérale américaine devra acquérir ou migrer vers un nouveau système informatique, les technologies de cryptographie post-quantique devront être privilégiées.
Par ailleurs, le National Institute of Standards and Technology (NIST) est chargé d’élaborer les normes de cryptographie post-quantique sur lesquelles les agences fédérales américaines devront se reposer pour évaluer la résistance des systèmes critiques.
Et pour cause : la menace est grandissante
Un groupe de chercheurs Chinois a publié le 21 décembre dernier un article dans lequel ils affirment être capables de casser le système de cryptographie à clé publique RSA 2048 bits, utilisé pour sécuriser les données transmises sur Internet.
Ce n’est pas nouveau, nous savons depuis quelques années que grâce à l'algorithme de Shor et avec un gros ordinateur quantique (de l’ordre de millions de qbits), qu’il est facile de factoriser quelque chose qui ressemble aux tailles de clés que nous utilisons. Selon les résultats de leur étude, la prouesse réside dans le fait qu’ils n’auraient besoin que d’un ordinateur quantique de 372 qbits pour casser le RSA 2048 bits. À titre de comparaison, l’ordinateur quantique Osprey d’IBM est de 433 qbits.
Ne disposant pas d’un ordinateur quantique taille suffisante, les chercheurs chinois se sont contenter d’un ordinateur quantique de 10qbits et sont parvenus à factoriser des nombres de 48 bits. Même si des difficultés supplémentaires peuvent émerger en tentant de casser le RSA 2048 bits, en théorie, selon leur étude, il n’y aurait pas d’obstacles importants.
Finalement, le plus surprenant dans cette histoire, c’est que le gouvernement chinois n’ai pas classifié cette recherche.
Qu’en est-il en Europe ?
En terme de cryptographie quantique, plusieurs initiatives notables ont été lancées en Europe, mais leur application ne devrait pas voir le jour avant encore quelques années :
Dans les cartons depuis plusieurs mois, la Commission Européenne a officialisé le 17 novembre dernier, le projet IRIS² (Infrastructure de Résilience et d’Interconnexion Sécurisée par Satellites de l’Europe). Ce projet de constellation satellitaire a pour but de fournir une nouvelle structure spatiale souveraine, pour assurer l’autonomie de l’Europe face aux groupes étrangers. Notamment Starlink, la solution d’Elon Musk. Cette nouvelle solution utilisera la cryptographie quantique pour distribuer des clés de chiffrement et ainsi garantir l’inviolabilité des échanges. Cette initiative s’inscrit dans le programme de l'Union Européenne pour une connectivité sécurisée pour la période 2023-2027.
Signé en juin 2019 par les 27 États membres de l’UE, L’initiative EuroQCI “vise à construire une infrastructure de communication quantique sécurisée qui couvrira l’ensemble de l’UE, y compris ses territoires d’outre-mer.”
Le 14 octobre 2022, la Commission européenne a approuvé le lancement d’un programme de 7 ans baptisé Quantum Internet Alliance. Ce programme vise à développer le premier prototype de réseau complet au monde, ainsi que des solutions innovantes d'ingénierie qui profiteraient à différents secteurs, notamment la sécurité, les télécommunications et la finance.
A quoi doit ressembler le présent avec du chiffrement post-quantique
Revoir les implémentations de chiffrement est indispensable (cf. standard NIST en cours de finalisation “NIST: It is critical to begin planning for replacement of hardware, software, and services that use public-key algorithms now so that the information is protected from future attacks.“, Avec les connaissances actuelles, c’est ce qui a pêché même chez LastPass (voir l’actu ci-dessous).
🕹️ Le gaming pour les enfants
Il y a eu des jeux vidéos sous le sapin ? Voici quelques mesures à prendre si vous êtes inquiet par le temps que votre enfant passe à jouer chaque semaine.
〰️ Vos shots 〰️
🏥 LockBit s’excuse d’avoir attaqué un hôpital
Le 19 décembre dernier, l’hôpital pour enfants malades de Toronto (The Hospital for Sick Children) avait annoncé avoir été victime d’une cyberattaque affectant plusieurs systèmes de son réseau et entraînant des retards de diagnostic ou de traitement. Dans une déclaration du 31 décembre, le groupe de ransomwares LockBit a reconnu que l’un de ses affiliés avait enfreint ses règles et utilisé son logiciel pour cibler l’hôpital.
Pour mémoire, selon une interview publique de 2021 avec un membre présumé de LockBit, la politique du groupe serait de ne pas attaquer les organisations du secteur de la santé, de l'éducation, des oeuvres sociales et des services sociaux. Ce n’est pourtant pas la première fois qu’un affilié ne respecte pas la politique du groupe. En août dernier, le ransomware LockBit avait déjà été utilisé contre le Centre Hospitalier Sud Francilien (CHSF). Les pirates ont réclamé une rançon de 10 millions de dollars (que l’hôpital n’a pas payé) pour restaurer l’accès aux systèmes et données.
Ainsi suite à cette attaque de l’hôpital pour enfants malades de Toronto, le partenaire à l’origine de l’attaque aurait été bloqué et ne ferait désormais plus partie du programme d'affiliation de LockBit. En guise de repentance, LockBit a mis à disposition de l’hôpital un décrypteur gratuit pour le ransomware utilisé dans cette opération.
🎓 Un “piratage” d’ampleur à l’origine des menaces d’attentat le jour de la rentrée ?
Ce début de semaine, période de rentrée scolaire, une vingtaine d’établissements scolaires, principalement des collèges et lycées situés dans le nord de la France, ont été victime de menaces d’attentats. Ces menaces ont occasionné parfois des fermetures temporaires, des confinements d’élèves et des opérations de déminage. Selon une source proche de l’enquête, l’interpellation d’un élève ayant envoyé un email aurait permis de mettre en évidence le piratage d’un ou plusieurs comptes ENT (portail internet permettant aux parents, enseignants et élèves de se connecter et d'échanger des informations). Le ou les comptes ENT piratés auraient ensuite été utilisés pour diffuser les mails alarmants. Selon cette même source, “les expéditeurs des mails ne sont pas les auteurs” et “l’unité de lutte contre la cybercriminalité est associée très étroitement à l’enquête”. Affaire à suivre !
💸 Un pionnier du Bitcoin perd sa fortune dans un piratage
L’année 2023 ne pouvait pas plus mal commencer pour Luke Dashjr, développeur depuis plus de 20 ans ayant longuement travaillé sur Bitcoin Core et participé à l’activation de la mise à jour Segwit. Dans une série de tweets, Luke Dashjr a déclaré avoir été victime d’un hack lors du réveillon du 31 décembre 2022. Selon lui, sa clé PGP (Pretty Good Privacy) aurait été compromise et les pirates auraient eu aussi accès “d'une façon ou d'une autre à son portefeuille froid”. Beaucoup, si ce n’est la totalité de ses bitcoins (216,9 bitcoins) ont été dérobés. Soit plus de 3,5 millions de dollars au cours actuel. Désemparé face à la situation et ne pouvant avoir recours ni à l’IC3 ni au FBI, Luke s’est tourné vers les médias sociaux pour trouver de l’aide et des explications. En réponse, entre autres, le PDG et fondateur de Binance, Changpeng Zhao, s’est engagé a geler les fonds piratés s’ils étaient amenés à transiter sur sa plateforme. De nouveaux détails devraient émerger prochainement afin que l’on comprenne comment un membre influent de la communauté Bitcoin a-t-il pu perdre une si grande somme d'argent, surtout si elle était effectivement conservée dans un portefeuille froid. Étrange 🤔
💄 Un malware Linux opère depuis plus de 3 ans sur Wordpress
Dans un communiqué du 30 décembre 2022, les analystes de Doctor Web ont révélé avoir découvert un malware Linux qui pirate des sites web basés sur le très célèbre CMS WordPress. Selon les chercheurs, le malware exploite 30 vulnérabilités dans un certain nombre de plugins et de thèmes Wordpress. Les sites web utilisant des versions obsolètes et non corrigées de ces modules complémentaires sont particulièrement vulnérable à l’injection de scripts javascript malveillants. Ainsi, lorsqu’un utilisateur clique sur lien présent sur un site compromis, il est alors redirigé vers un autre site. Selon les spécialistes de Doctor Web, ce malware pourrait être l’outil utilisé depuis plus de 3 ans par les cybercriminels pour mener ces attaques et monétiser la revente de traffic.
La découverte de vulnérabilités dans des plugins Wordpress n’est pas exceptionnelle. En décembre dernier, une vulnérabilité SSRF (Server-Side Request Forgery) a été découverte dans le plug-in Google Web Stories. Celle-ci permettait à un attaquant de collecter les métadonnées de sites WordPress hébergés sur un serveur AWS et, éventuellement, de se connecter à une instance du cloud pour exécuter des commandes.
🔓 Okta et Lastpass : 2 leaders de l’authentification révèlent de nouveaux incidents de cybersécurité
Une nouvelle fois, les fournisseurs de solutions d'authentification et de gestion des accès sont des cibles privilégiées de cybercriminels. Dans un communiqué, Okta révèle avoir été alerté par Github au début du mois de décembre pour un accès potentiellement suspect à ses répertoires de codes source. Après investigation, les équipes d’Okta ont conclu que cet accès avait été utilisé pour copier les répertoires de son code source. Néanmoins, Okta se veut rassurant et indique qu’ils “ne compte pas sur la confidentialité de son code source pour la sécurité de ses services”.
Nouveau rebondissement dans l’affaire du piratage de LastPass, gestionnaire de mots de passe, d’août 2022. Après avoir initialement déclaré que les données de ses clients étaient en sécurité, puis avoir finalement admis que les données des clients avaient été compromises mais que les mots de passe des utilisateurs restaient, quant à eux, en sécurité, LastPass vient finalement d’admettre dans un communiqué fin décembre que les pirates avaient pu obtenir une sauvegarde des coffres-forts. Les informations et mots de passe contenu dans ces coffres-forts sont chiffrés. Cependant un pirate pourrait les déchiffrer en utilisant votre mot de passe principal. Mais cela ne s’arrête pas là : l’implémentation de la cryptographie qui protège les mots de passe des clients de LastPass ne respecte pas les recommandations actuelles.
Si vous êtes utilisateur de LastPass, il est vivement recommandé de le changer immédiatement, voire d’utiliser un fournisseur de gestionnaire de mots de passe plus sérieux sur la cryptographie.
〰️ Cul sec - La question 〰️
Qu’est-ce que le Pig Butchering ? 🐷
A. Une technique visant à noyer des informations dans un flow de contenu érotiques sur les réseaux sociaux,
B. Une technique d’extorsion en ligne basée sur la confiance,
C. L'art et la science de la construction d’un portefeuille d’actions basé sur l'imitation des choix d'actions des meilleurs investisseurs.
D. Une compétition de dépeçage de cochon
—> Réponse à la sortie du bar.
〰️ À La carte 〰️
👨🏻 Portrait - Dan Kaminsky, décédé en avril 2022, a été l'un des principaux acteurs de l'histoire de Black Hat. Sa présentation lors de Black Hat 2008 sur la "grande vulnérabilité du DNS", où il s'est présenté en patins à roulettes et a expliqué pourquoi l'ensemble de l'internet était en danger et exposé aux cyberattaques, restera l’une des interventions les plus mémorables des conférences Black Hat.
⏪ Rewind - Le 19 janvier 2022, le Comité international de la Croix-Rouge (CICR) annonçait être la victime d’une cyberattaque d’ampleur. Les données de plus de 515 000 personnes vulnérables auraient été exfiltrées. Les services de la Croix-Rouge ont été perturbés dans le monde entier. Des analystes ont ensuite découvert que l’opération était liée à une opération d’influence organisée depuis l’Iran.
⚖️ Évènement - Le 26 janvier prochain, ne ratez pas Le Panorama de la cybercriminalité présenté par le Clusif à Puteaux. Cet évènement annuel incontournable, accessible en présentiel et en streaming, dressera le bilan de la cybercriminalité de l'année 2022 ainsi que des événements sociétaux et accidentels liés à la sécurité de l'information. Des experts reconnus dans ce domaine, membres du Clusif et invités spéciaux, ont sélectionné les faits marquants de l'année écoulée qui auront des répercussions en 2023. Pour vous inscrire à l’événement, complétez le formulaire d’inscription.
〰️ Cul sec - Réponse 〰️
Réponse B - Une technique d’extorsion en ligne basée sur la confiance
Le "Pig Butchering" est une forme d’escroquerie en ligne qui consiste à créer une relation de confiance avec une personne (généralement isolée, ayant un problème de santé ou des problèmes familiaux) afin de mieux lui voler son argent.
Le procédé est simple. Le pirate contacte généralement sa victime sous une fausse identité, via un sms, un appel, une messagerie, un réseau social ou une application de rencontre, prétextant parfois une erreur de destinataire pour entamer la conversation. Les échanges peuvent parfois durer des mois et même se transformer en flirt. Un fois la confiance établi, le pirate prétend disposer d'investissements rentables, souvent en cryptomonnaies, et persuade la victime d'investir également, mais sur une fausse plateforme. La suite vous la connaissez.
Cette technique d’extorsion de plus en plus courante nécessite beaucoup de temps et d’échanges avec la victime. Pour que cela soit rentable, les groupes criminels ont industrialisé cette pratique en faisant appel à des travailleurs majoritairement sud asiatiques. En juillet 2022, une enquête menée par Wired révélait comment des milliers de travailleurs sud-asiatiques tombaient dans le piège de fausses offres d'emploi et se retrouvaient contraints de travailler dans des centres appelés "scam centers" au Cambodge, où ils étaient obligés de soutirer de l'argent à des personnes à l’autre bout du monde.
〰️ Digestif 〰️
Face à l’IA, nos emplois sont sains et saufs … pour le moment
À moins de vivre dans une grotte, il est impossible que vous n’ayez pas encore entendu parler de ChatGPT, cette intelligence artificielle développée par OpenAI, qui défraie la chronique depuis quelques semaines.
Alors ChatGPT, ca vaut le coup ? Nombreux sont ceux à en vanter les capacités, à juste titre pour être tout à fait honnête avec vous. Mais comme toute nouvelle solution, il faut rester prudent et ne pas s’emballer. Dans certaines situations, l’IA a en effet une fâcheuse tendance à donner de fausses informations. 🤪
Merci d’être passé ! Rendez-vous samedi prochain pour votre nouveau Shake de l’actu cyber et digitale ! 👋
Rejoignez les Shakerz, abonnez-vous pour recevoir la newsletter hebdomadaire et soutenir notre travail.
“Shake it, don’t fake it“
Reply