🇪🇺🇺🇸 Sh*t. La Commission (ré)autorise le transfert des données personnelles des citoyens de l'UE vers les USA

Salut 👋, voici ce qu’on te propose de retenir du digital et de la cyber cette semaine.

À la une :

🇪🇺 UE et USA : nouvel accord sur la “protection” des données,

Décode l’actu :

🇨🇳 Deux logiciels espions chinois trompent 1,5 million d'utilisateurs du Google Play Store,

🔄 Le ransomware Big Head se propage via de fausses mises à jour Windows,

⛈️ Les pirates "SCARLETEEL" perfectionnent leurs techniques,

🇷🇺 Le groupe de menace RomCom est de retour en marge du sommet de l’Otan,

On t’explique tout ça plus bas.

Retrouve le mag :

🇪🇺🇺🇸 4 raisons essentielles de l’échec des accords de transfert de données entre l’UE et les USA,

🔎 L'observabilité : capacité essentielle pour réduire le coût des pannes numériques non planifiées,

🍋 Des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture !

〰️ La reco du barman 〰️

🇪🇺 L'UE adopte un nouvel accord avec les États-Unis pour renforcer la protection des données

L’UE et les USA tombent d’accord

L'Union européenne a officiellement adopté ce lundi 10 juillet un nouvel accord avec les États-Unis afin de garantir une meilleure protection de la vie privée des utilisateurs et des données échangées entre les entreprises technologiques américaines et les utilisateurs européens. Cette décision vient rassurer les entreprises américaines qui étaient sous la surveillance de l'UE depuis l'expiration du bouclier de protection des données (Privacy Shield).

Suite à l'invalidation (Schrems II) d'un accord transatlantique sur le transfert de données (Privacy shield) par la Cour de justice de l’Union européenne (CJUE) il y a trois ans, la Commission européenne a conclu que les États-Unis ont depuis, mis en place des garanties adéquates pour protéger les données des citoyens de l'UE. Cela inclut la mise en place d'une cour de révision de la protection des données pour les citoyens européens qui estiment que leurs données personnelles ont été collectées de manière abusive par les services de renseignement américains.

Cet accord est le fruit de longues années de négociations diplomatiques entre les États-Unis et l'UE pour surmonter les divergences en matière de protection de la vie privée et de programmes de surveillance américains.

Qu’en est t-il vraiment ?

Aussitôt l’accord officialisé, l’organisation de protection de la vie privée NOYB, dont Max Schrems est le co-fondateur, s’est prononcée sur ce prétendu "nouveau" cadre transatlantique de protection des données personnelles.

Selon l’organisation, ce nouvel accord n’est qu’en grande partie une copie du “Privacy Shield” (Bouclier de protection des données UE-États-Unis) qui a déjà échoué auparavant.

L’association reconnait les efforts de relations publiques fournit par la Commission européenne mais regrette que la législation américaine et l'approche adoptée par l'UE restent inchangées. Selon elle, le coeur du problème n’a toujours pas été abordé par les États-unis : la loi FISA 702.

Le FISA (Foreign Intelligence Surveillance Act) et en particulier son article 702, est une loi des États-Unis autorisant les procédures de surveillance électroniques de personnes étrangères si elles sont stockées sur des serveurs américains (au sein des frontières du pays). Selon l’association, le problème avec cette loi, c’est que les États-unis “considèrent toujours que seuls les ressortissants américains peuvent prétendre à des droits constitutionnels.”

Quelle suite ?

Selon NOYB, plusieurs options de contestation sont sur la table. Un recours est déjà prêt à être déposé devant la Cour de justice de l'Union européenne (CJUE). L’organisation s’attend également à ce que les premières entreprises mettent en œuvre le nouveau système dans les prochains mois, ouvrant ainsi la voie à d'éventuels recours de personnes concernées par le transfert de leurs données.

Selon toute vraisemblance, Il est probable qu'un recours parvienne à la CJUE d'ici la fin de 2023 ou début 2024. Si cela se produit, la CJUE pourrait alors suspendre le "cadre" pendant la procédure. Une décision finale de la CJUE est attendue en 2024 ou 2025. Quelle que soit l'issue du recours, le "cadre transatlantique de protection des données" sera clarifié dans les deux prochaines années.

Max Schrems ajoute “qu’au cours des 23 dernières années, tous les accords entre l'UE et les États-Unis ont été déclarés invalides rétroactivement, rendant ainsi illégaux tous les transferts de données effectués dans le passé par les entreprises”.

〰️ En image 〰️

🇪🇺🇺🇸 4 raisons essentielles de l’échec des accords de transfert de données entre l’UE et les USA

〰️ Vos shots 〰️

🇨🇳 Deux logiciels espions chinois trompent 1,5 million d'utilisateurs du Google Play Store

Un logiciel malveillant a réussi à tromper environ 1,5 million d'utilisateurs du Google Play Store en se faisant passer pour deux applications distinctes de gestion de fichiers (“File Recovery and Data Recovery” et “File Manager”). 

Ces deux applications, qui sont liées au même développeur ont été découvertes par les chercheurs en sécurité de Pradeo, leader français et européen de la sécurité mobile. À la différence de nombreuses applications malveillantes qui s’appuient sur l'utilisation effective par la victime pour réussir à diffuser le logiciel malveillant, les analystes ont découvert que ces deux applications utilisaient des autorisations élevées pour extraire des données sensibles sans action de l'utilisateur. Elles sont ainsi capables, grâce à leur niveau d’autorisation avancée, de provoquer le redémarrage de l'appareil et de lancer automatiquement l’application chargée du logiciel espion au redémarrage.

D’après les chercheurs, les logiciels espions en question seraient liés à la Chine. Google a immédiatement supprimé les applications de son store après avoir été informé de la situation. En revanche, si les application sont déjà présentes sur votre smartphone, il est recommandé de les désinstaller immédiatement.

🔄 Le ransomware Big Head se propage via de fausses mises à jour Windows

Une nouvelle menace de rançongiciel nommée Big Head, en cours de développement, se propage par le biais de fausses mises à jour de Microsoft Windows. Documenté pour la première fois le mois dernier par Fortinet FortiGuard Labs, des chercheurs de Trend Micro viennent de proposer une nouvelle analyse du rançongiciel et nous apporte des détails supplémentaires concernant son fonctionnement interne. 3 variantes de Big Head ont été identifiées et les échantillons nous viennent principalement des États-Unis, d'Espagne, de France et de Turquie, pays les plus touchés jusqu'à présent.

La première variante consiste à afficher “une fausse interface utilisateur de Windows Update pour faire croire à la victime que l'activité malveillante est un processus légitime” . La seconde variante présente à la fois des comportements de rançongiciel et de voleur en s'appuyant sur l’outil open-source WorldWind Stealer pour collecter l'historique du navigateur Web, les listes de répertoires, les processus en cours d'exécution, les clés de produit et les informations relatives au réseau. Enfin, la dernière variante intègre un infecteur de fichiers appelé Neshta. Celui-ci permet d'insérer un code malveillant dans les exécutables de l'hôte infecté offrant ainsi une technique de camouflage pour la charge utile finale du ransomware.

“Cette nature multiforme donne au logiciel malveillant le potentiel de causer des dommages importants une fois qu'il est pleinement opérationnel, ce qui rend la défense des systèmes plus difficile, car chaque vecteur d'attaque nécessite une attention distincte.” expliquent les chercheurs de Trend Micro.

Pour l’heure, l’origine exacte du rançongiciel reste inconnue. Néanmoins, les premières pistes semblent suggérer une origine indonésienne. Face à cette menace croissante, les chercheurs appellent à la prudence et recommandent de toujours procéder aux mises à jour logicielles via les sources officielles.

⛈️ Les pirates "ScarletEel" perfectionnent leurs techniques

Découvert pour la première fois au printemps dans des attaques s’en prenant aux environnements cloud et Kubernetes, le groupe de pirates informatiques connus sous le nom de "ScarletEel" poursuit son évolution et peaufine ses techniques d'infection et d'exfiltration d'identifiants cloud selon une nouvelle analyse de l’entreprise de sécurité informatique Sysdig.

Le groupe démontre une grande expertise dans l'utilisation des outils AWS, infiltrant avec succès les environnements cloud et exploitant les fonctionnalités intégrées d'AWS pour se déplacer de manière latérale. En ayant les bons privilèges d'accès, ce groupe est connu pour accomplir un double objectif : implémenter des logiciels de cryptomining tout en volant simultanément la propriété intellectuelle.

De plus, selon les dernières informations recueillies par Sysdig, ScarletEel affinerait ses tactiques en échappant aux mécanismes de détection de la sécurité du cloud et en atteignant le moteur de calcul Fargate d'AWS, peu utilisé. Il aurait également ajouté à sa liste de techniques d’exploitation le DDoS-as-a-service.

Lors de sa dernière campagne, Le groupe de pirates a déposé pas moins de 42 instances de logiciels de cryptomining via un compte compromis. Malheureusement pour eux, leurs activités a fait suffisamment de bruit pour qu'ils soient rapidement détectés et éliminés. Les chercheurs estiment que si l'attaque avait pu se poursuivre, elle aurait rapporté environ 4 000 dollars en cryptomonnaie par jour.

🇷🇺 Le groupe de menace RomCom est de retour en marge du sommet de l’Otan

Ce mardi 11 et mercredi 12 juillet a eu lieu le sommet de l’Otan à Vilnius, capitale de la Lituanie située à seulement 35 km de la Biélorussie, fervent allié de Vladimir Poutine. Ce sommet a permis aux alliés de réitérer leur soutien ferme à l’Ukraine et d’évoquer l’avenir du pays au sein de l’organisation.

En marge de ce sommet, des chercheurs de BlackBerry Threat Research and Intelligence ont découvert une campagne de phishing ciblant des participants au sommet et ayant pour objectif de recueillir des informations sur leurs systèmes. Les chercheurs ont notamment découvert deux documents malveillants envoyés à partir d'une adresse IP en Hongrie attribuée à RomCom, un acteur de la menace connu pour cibler les organisations pro-Ukraine. L'un des documents usurpe l'identité de l'organisation Ukrainian World Congress, et l'autre est un faux document de lobbying en faveur de l'Ukraine.

D’après la nature du sommet, et l’origine des pirates, il ne fait nul doute que les cibles visées sont “des représentants de l'Ukraine, des organisations étrangères et des personnes soutenant l'Ukraine" écrit l’équipe de chercheurs. Bien que les documents n’aient été découverts que le 4 juillet dernier, les chercheurs pensent que RomCom a débuté sa campagne aux alentours du 22 juin.

〰️ Dégustation 〰️ Contenu partenaire

🔎 L'observabilité : capacité essentielle pour réduire le coût des pannes numériques non planifiées

Dans étude parue au printemps, Splunk, le leader de la cybersécurité et de l'observabilité, en collaboration avec Enterprise Strategy Group, ont interrogé 1 750 praticiens, responsables et experts de l’observabilité pour étudier l’état de l’observabilité dans le monde.

À noter : Le rapport définit les leaders de l'observabilité comme des organisations ayant au moins 24 mois d'expérience avec l'observabilité.

À retenir :

• En matière d'observabilité, les leaders sont quatre fois plus enclins à résoudre rapidement les temps d'arrêt imprévus ou les problèmes de service majeurs en quelques minutes plutôt qu'en heures ou jours.

• Cette observation revêt une importance capitale étant donné que 76 % des personnes interrogées affirment que les temps d'arrêt peuvent entraîner des coûts allant jusqu'à 500 000 dollars par heure.

• Les leaders connaissent en moyenne 33 % de pannes en moins par an par rapport aux débutants.

• L'observabilité permet à un peu plus de 80 % des organisations de trouver et résoudre les problèmes plus rapidement.

• Selon 95 % des personnes interrogées, leurs responsables de l'observabilité travaillent en étroite collaboration avec les responsables opérationnels pour élaborer des stratégies de résilience. Cela inclut notamment l'investissement dans des solutions qui permettent de rétablir les services aux clients plus rapidement et de remédier de manière plus efficace aux incidents.

• En matière d'observabilité, les secteurs des communications et des médias se distinguent en termes de maturité. (13 % d'entre elles qualifiées de leaders). Les industries manufacturière et des services financiers arrivent ensuite avec chacune 8 % de leaders.

• Le secteur public connaît une progression parmi les leaders. En effet, il compte désormais 4 % d'entreprises leaders en matière d'observabilité, contre 0 % en 2022, ce qui suggère des possibilités de croissance prometteuses dans ce domaine.

• Davantage d'organisations unifient la surveillance de la sécurité et l'observabilité. Pourquoi ?

  • Pour obtenir un contexte plus riche sur les incidents

  • Pour découvrir et évaluer davantage de vulnérabilités de sécurité grâce à la visibilité offerte par les solutions d'observabilité.

  • Pour accélérer la résolution des incidents grâce aux capacités de remédiation fournies par les solutions d'observabilité.

〰️ Cul sec - La question 〰️

🌄 Le Conseil régional d'Île-de-France vient d'attribuer le marché de déploiement de son CSIRT (ou CERT). Quel va en être le coût pour les 4 prochaines années ?

Propositions de réponses :

A - 7,3 millions d’euros

B - 15,3 millions d’euros

C - 20,3 millions d’euros

D - 29,3 millions d’euros

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

🤡 Escroquerie - Martin Lewis, un journaliste financier et animateur TV britannique a été contraint de prendre la parole sur Twitter pour démentir toute affirmation selon laquelle il serait à l'origine d'une publicité sur facebook promouvant un investissement dans l'intelligence artificielle quantique. La publicité utilise en réalité une vidéo deep fake de Lewis pour duper des investisseurs peu méfiants.

🎬 Clap de fin - Ce lundi 10 juillet, Microsoft a annoncé que plusieurs éditions de Windows 11, version 21H2, atteindront la fin de service dans trois mois, le 10 octobre 2023. À compter de cette date, ces éditions ne recevront plus de mises à jour de sécurité.

🚢 Rançongiciel - Le port de Nagoya, le plus grand port commercial du japon a subi une cyberattaque du rançongiciel LockBit 3.0 lié à un groupe de hackers russophone, qui a gravement affecté ses opérations. Les experts estiment que l’incident de sécurité aura un impact financier considérable sur le port.

📙 Guide - Suite à une consultation publique au cours de laquelle les retours de 24 organismes ont été recueillis et analysés, la CNIL a publié le 7 juillet dernier une recommandation technique relative au partage de données par API.“Tous les acteurs concernés sont invités à prendre connaissance de la recommandation et à en tirer les conséquences sur les mesures à mettre en œuvre afin de respecter les obligations légales” explique-t-elle.

🎂 Anniversaire - Ce lundi 10 juillet, la célèbre ONG internationale de protection des libertés sur Internet Electronic Frontier Foundation (EFF) a fêté ses 33 ans. 33 années à batailler contre “les règles qui vous empêchent de contrôler les services que vous utilisez et les appareils que vous possédez ; les politiques d'entreprise qui censurent les impuissants ; la collecte effrénée de données par les entreprises et les gouvernements ; et les lois qui briseraient le cryptage”.

☢️ La vengeance est un plat qui se mange froid chaud - Une professeure en médecine nucléaire de 43 ans a été placé en garde à vue ce lundi pour avoir supprimé définitivement 4 550 documents confidentiels ou stratégiques, indispensables pour la traçabilité des équipements de son ex-employeur (l’hôpital du Kremlin-Bicêtre). Elle n’aurait pas apprécié qu’on lui signifie la fin de son contrat à durée déterminée…

🤖 Semi-conducteurs - Le Parlement européen a adopté le “Chips Act”. Ce mardi 11 juillet, les députés européens ont adopté à une large majorité un règlement visant à garantir l’approvisionnement de l’Union européenne en semi-conducteurs, des atouts stratégiques pour les principales chaînes de valeur industrielles;

🦅 (ab)nomination. Fiona Scott Morton. La lobbyiste américaine et professeure d’économie à l’université de Yale est attendue pour rejoindre la Commission européenne au 1er septembre 2023. En tant que cheffe économiste de la Direction Générale de la Concurrence de l’UE. Avec d’anciens clients tels qu’Apple, Amazon ou Microsoft, cela interroge. Autant des parlementaires européens comme Yannick Jadot, l’ancien directeur général de l’ANSSI Guillaume Poupard, ou le ministre en charge du Numérique Jean-Noël Barrot qui demande à la Commission de « réexaminer son choix ». Décidément, cette semaine, avec aussi l’annonce de l’accord UE-USA de transfert des données, la souveraineté européenne en matière numérique aura pris des coups.

〰️ Cul sec - Réponse 〰️

Réponse D - 29,3 millions d’euros

Le Conseil régional d'Île-de-France a récemment accordé un contrat de déploiement de son CSIRT (ou CERT) pour lutter contre les menaces cyber. Le marché, d'une valeur de 29,3 millions d'euros sur quatre ans, comprendra une plateforme technologique, une assistance téléphonique et les moyens informatiques nécessaires pour gérer efficacement les incidents.

L'appel d'offres est divisé en deux lots :

1. DCS EASYWARE a remporté le premier lot pour 7,8 millions d'euros. Leur mission consistera à mettre en place les services du CSIRT et développer et intégrer la plateforme technique.

2. Le deuxième lot, remporté par Orange CyberDéfense, Almond et Intrinsec pour 21,5 millions d'euros, concerne l'investigation numérique, le pilotage et la remédiation de crise.

Le troisième lot, qui visait à évaluer la cybersécurité des communes de la région Île-de-France, a quant à lui “été déclaré sans suite pour motif d'intérêt général”. Il comprenait notamment une évaluation semestrielle de toutes les communes de plus de 1 000 habitants, ainsi qu'une évaluation hebdomadaire de 300 communes critiques de la région.

〰️ Digestif 〰️

“Les produits de sécurité de mon entreprise sont parfaitement intégrés”

L’intégration en question >>>

Merci d’être passé ! Rendez-vous samedi prochain pour ton nouveau Shake de l’actu cyber et digitale ! 👋

L’équipe travaille dur. 👉 On a besoin de ton soutien pour diffuser à tous la culture de sécurité et responsabilité digitale.

Rejoins Shakerz, abonne-toi pour recevoir la newsletter hebdo. Tu aimes les Shake et tu veux en faire profiter tes potos ? Alors… 👇👇👇

Des questions ou un avis à partager ? C’est simple, il suffit de répondre à cet email et d’envoyer tes quelques lignes.

“Shake it, don’t fake it”