🇬🇧 Vent de panique cyber en Grande-Bretagne

Salut 👋, voici ce qu’on te propose de retenir du digital et de la cyber cette semaine.

À la une :

🇬🇧 Vent de panique cyber en Grande-Bretagne,

Décode l’actu :

🚪 Gigabyte corrige une faille de sécurité majeure avec une mise à jour du BIOS,

🔵 Des pirates ont déjà trouvé un moyen d'abuser du badge bleu "vérifié" de Gmail,

🇪🇸 Une banque espagnole victime du gang de ransomware Play,

👮 Le FBI met en garde contre une nouvelle forme de sextorsion utilisant les deepfakes,

🛎 La sonnette Ring d'Amazon utilisée pour espionner les clients,

On t’explique tout ça plus bas.

Retrouve le mag :

💼 La sécurité des cadres exécutifs en chiffres,

👔 Verizon le dit : “Les cadres supérieurs représentent une menace croissante pour la cybersécurité de nombreuses organisations”…

🍋 Des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture !

〰️ La reco du barman 〰️

🇬🇧 Vent de panique cyber en Grande-Bretagne

Une vulnérabilité de type “zero-day” récemment découverte dans un logiciel de partage de fichiers sécurisés suscite de vives inquiétudes au sein de la communauté de la cybersécurité.

Des pirates ont déjà exploité cette faille pour cibler un grand nombre d'entreprises à travers le monde. Au moins huit d'entre elles se trouvent au Royaume-Uni. Jusqu'à présent, seuls British Airways, Boots et la BBC ont confirmé l'attaque. Les experts en cybersécurité redoutent une vague d'extorsion dans les prochaines semaines.

Que s’est-t’il passé ?

Selon les déclarations de plusieurs entreprises et d'une province canadienne, des violations liées au produit de transfert de fichiers sécurisés MOVEit de Progress Software Corp ont été signalées.

Progress a confirmé que la vulnérabilité présente dans MOVEit avait permis aux pirates d’accéder à Zellis, un fournisseur de services de paie utilisant MOVEit, et par l'intermédiaire duquel les pirates ont eu accès à un grand nombre d'entreprises. Des coordonnées, des numéros d'assurance nationale et des données bancaires ont pu être dérobés lors de la violation.

Illustration : Sky News

Cette faille a rapidement attiré l'attention des autorités en matière de sécurité, notamment du ministère américain de la sécurité intérieure (DHS), du centre national de cybersécurité du Royaume-Uni (NCSC), de Microsoft Corp. et de Mandiant, une filiale de Google Cloud d'Alphabet Inc.

Le porte-parole de Progress, John Eddy, a souligné que des mesures d'atténuation immédiates avaient été prises dès la connaissance de la faille. L’entreprise n’a pas tardé à publier un correctif pour le logiciel. Si vous êtes utilisateur de MOVEit, appliquez immédiatement la mise à jour d’urgence.

Le ransomware Clop à la manœuvre

Dans un tweet publié ce lundi 5 juin, Microsoft a levé officiellement tous les doutes concernant les interrogations entourant l’identité des auteurs de cette attaque :

“Microsoft attribue les attaques exploitant la vulnérabilité CVE-2023-34362 MOVEit Transfer 0-day à Lace Tempest, connu pour ses opérations de ransomware et son site d'extorsion Clop. L'acteur de la menace a utilisé des vulnérabilités similaires dans le passé pour voler des données et extorquer des victimes”.

De plus, le gang de ransomware Clop a également confirmé son implication auprès de Bleeping Computer, indiquant être à l'œuvre depuis le samedi 27 mai. Il précise avoir volé les données de “centaines d’entreprises” et menace de les publier le 14 juin si les rançons ne sont pas payées.

Ce n’est pas la première fois que le gang de ransomware Clop fait parler de lui. Plus tôt cette année, il s’est déjà illustré dans une autre attaque de grande envergure basée sur un outil de transfert de fichiers, GoAnywhere MFT. Les pirates avaient alors revendiqué le vol de données auprès de plus de 130 organisations en une dizaine de jours seulement.

💼 La sécurité des dirigeants en chiffres

〰️ Vos shots 〰️

🚪 Gigabyte corrige une faille de sécurité majeure avec une mise à jour du BIOS

Dans un rapport du 31 mai, les analystes en sécurité de la société Eclypsium ont averti que plusieurs centaines de modèles de cartes mères du fournisseur informatique Gigabyte présentaient une porte dérobée active et répandue. Cette faille du micrologiciel UEFI (anciennement BIOS) permet aux attaquants d'injecter du code exécutable dans le noyau Windows.

Bien que l'enquête en cours n'ait pas confirmé d’exploitation spécifique par un acteur de menace, les chercheurs soulignent que cette porte dérobée constitue un risque pour les entreprises utilisant des systèmes Gigabyte. En réponse à cette découverte, le fabricant Gigabyte a annoncé le 1er juin avoir publié une mise à jour du BIOS pour résoudre ce problème de porte dérobée. La mise à jour du micrologiciel comprend des mesures de sécurité renforcées, telles qu'une validation stricte des fichiers téléchargés et des blocages pour les téléchargements provenant de serveurs sans certificats valides. Gigabyte a déclaré avoir mis en place des contrôles de sécurité plus stricts pour renforcer la sécurité du système lors du processus de démarrage du système d'exploitation.

🔵 Des pirates ont déjà trouvé un moyen d'abuser du badge bleu "vérifié" de Gmail

Seulement 1 mois après la sortie de sa fonctionnalité de vérification des comptes à la manière de Twitter, des experts en sécurité ont averti que des pirates informatiques exploitaient déjà la fonction “Blue Check Mark” de Gmail pour tromper les utilisateurs. Les pirates créent de fausses adresses électroniques semblables à celles de marques connues, incitant les utilisateurs à fournir des informations d'identification et à effectuer des paiements frauduleux.

Les experts en sécurité rapportent que Google a été informé de la faille peu de temps après sa découverte, mais qu’il a “ignoré le problème”. Fort heureusement, Google a très vite revu sa position et considère désormais ce bug comme un problème de première priorité ou “P1”. La faille, qui repose sur le détournement de la signature DKIM de Google, est en cours de correction. Plus de 1,8 milliard d'utilisateurs de Google sont potentiellement concernés par cette escroquerie. Pour le moment, il est recommandé aux utilisateurs d’examiner attentivement toutes les adresses e-mails “vérifiées” avant d'agir.

🇪🇸 Une banque espagnole victime du gang de ransomware Play

Le 1er juin, Globalcaja, une grande banque espagnole qui compte plus de 300 bureaux en Espagne et près d'un demi-million de clients, a été la cible d'une attaque de ransomware perpétrée par le groupe Play. Le groupe de pirates informatiques affirment avoir volé une grande quantité d’informations confidentielles, telles que des scans de passeports, des contrats et des documents de clients et d’employés.

D’après le communiqué de la banque publié le lendemain de l’attaque, suite à la découverte de l’incident, celle-ci aurait réagi rapidement en désactivant certains postes de travail pour limiter les opérations affectées. Globalcaja assure que les transactions et les comptes des clients n’ont pas été compromis. Pour l’heure, le montant de la rançon est encore inconnu et la banque n’a pas souhaité indiquer si la rançon sera payée aux attaquants avant le 11 juin, date de publication supposée des informations volées.

Le groupe Play, qui propage le rançongiciel éponyme Play, est en activité depuis l’été 2022. Il a notamment été responsable du vol de 557 giga-octets de données à la ville d’Anvers en Belgique en décembre dernier.

👮 Le FBI met en garde contre une nouvelle forme de sextorsion utilisant les deepfakes

Suite à une augmentation des signalements de victimes, le FBI a émis ce lundi 5 juin une alerte concernant une nouvelle variante de sextorsion encore plus pernicieuse. Contrairement aux schémas classiques qui impliquent le vol de photos ou vidéos, cette escroquerie utilise des deepfakes pour créer du contenu explicite à partir d'images ou de vidéos anodines trouvées sur le web. Les victimes, des adultes et même des enfants non consentants, voient leurs photos ou leurs vidéos modifiées et diffusées publiquement sur les médias sociaux ou les sites pornographiques dans le but de les harceler ou les faire chanter.

Cette nouvelle est d’autant plus inquiétante que les individus semblent surestimer leur capacité à identifier un deepfake. En effet, selon une nouvelle étude mondiale réalisée par Jumio menée auprès 8 055 consommateurs adultes répartis dans le monde, 67% d’entre eux déclarent être sensibilisés aux technologies d’IA générative et aux deepfakes. 52% déclarent même être capable de detecter une vidéo deepfake. Or, les deepfakes s'améliorent de manière exponentielle et aujourd’hui, leur niveau de sophistication est tel, qu'il est devenu impossible de les détecter à l'œil nu.

🛎 La sonnette Ring d'Amazon utilisée pour espionner les clients

Amazon a accepté de verser 5,8 millions de dollars à l’agence américaine chargée de la protection des consommateurs (FTC) pour une affaire d’espionnage de certain de ses clients détenteurs de la sonnette Ring. Cette affaire remonte avant l'acquisition en 2018 de Ring par Amazon. Ring est accusé de ne pas avoir mis en place les mesures de précaution nécessaires pour empêcher ses employés et ses sous-traitants d'accéder aux vidéos des caméras de surveillance de ses clients.

Et c’est aujourd’hui Amazon qui en paye le prix. La FTC lui reproche de ne pas avoir “mis en œuvre les mesures de base pour surveiller et détecter les accès inappropriés avant février 2019”. Parmi les cas d’espionnage, un ancien employé de l'unité Ring a été accusé d'avoir visionné “des milliers d'enregistrements vidéo” provenant d'utilisatrices qui “surveillaient les espaces intimes de leurs maisons”, comme leurs chambres à coucher et leurs salles de bains.

En plus de ce règlement de 5,8 millions de dollars, Amazon devra également payer 25 millions de dollars pour des allégations de violation de la vie privée des enfants, violations liées à son assistant vocal Alexa. Ces règlements font partie des efforts de la FTC pour responsabiliser les grandes entreprises technologiques et mettre l'accent sur la protection de la vie privée.

〰️ Dégustation 〰️

👔 “Les cadres supérieurs représentent une menace croissante pour la cybersécurité de nombreuses organisations”

Le rapport annuel Data Breach Investigations 2023 de Verizon Data vient de sortir. En 2022, les équipes de Verizon ont analysé 16 312 incidents de sécurité dont 5 199 violations de données confirmées et nous délivrent leurs résultats.

À retenir :

• Les attaques de type Business Email Compromise (BEC) ont presque doublé et représentent maintenant plus de 50 % des incidents liés à l'ingénierie sociale.

• Dans 74 % des violations, un facteur humain est impliqué, que ce soit par erreur, abus de privilèges, utilisation d'informations d'identification volées ou ingénierie sociale.

• 83 % des violations impliquent des acteurs externes. La motivation première des attaques reste principalement financière dans 95 % des cas.

• Les trois principales méthodes utilisées par les attaquants pour infiltrer une organisation sont le vol d'informations d'identification, le phishing et l'exploitation de vulnérabilités.

• Bien qu’ils n’aient pas augmenté, les rançongiciels restent omniprésents dans les organisations de toutes tailles et de tous secteurs et représentent près d'un quart de toutes les brèches (24 %).

• Le coût médian d'un ransomware a plus que doublé au cours des deux dernières années pour atteindre 26 000 dollars,

• Log4j était tellement présent dans les réponses aux incidents que 90 % des incidents avec l'action“Exploit vuln” contenaient les termes “Log4j” ou “CVE-2021-44228”.

Chris Novak, directeur général de Cybersecurity Consulting chez Verizon Business.

〰️ Cul sec - La question 〰️

🎯 Quelle est la cible privilégiée du groupe de ransomware Vice Society ?

A - Le secteur de la santé

B - Le secteur de l’industrie

C - Le secteur de l’éducation

D - Les organisations gouvernementales

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

💰 Cryptomonnaies - Le portefeuille de cryptomonnaies Atomic Wallet a été récemment victime de plusieurs attaques ayant entraîné le vol massif de 35 millions de dollars en cryptomonnaies.

🧬 Coup dur - Le 30 mai, Enzo Biochem, une société de tests biomédicaux basée à New York a confirmé avoir été victime le 6 avril dernier d’une attaque par ransomware. Près de 2,5 millions de personnes à travers les États-unis ont été touchés par cette violation de données médicales.

💎 Investissement - OpenAI a récemment dévoilé un programme de subvention de un million de dollars destiné à la cybersécurité. Le programme consiste à octroyer des subventions par tranches de 10 000 dollars sous la forme de crédits d’API ou de financements directs à des projets oeuvrant à renforcer les cas “d'utilisation défensive” de l’IA générative telle que GPT.

🚨 Vulnérabilités - Une vulnérabilité critique (CVE-2023-3079) a été découverte dans le navigateur Google Chrome. Cette faille pourrait permettre à un attaquant d'exécuter du code malveillant sur le système de l'utilisateur connecté. Ne perdez pas une minute et mettez à jour votre navigateur Google Chrome.

Le système d'exploitation Android de Google est également sujet à de nouvelles vulnérabilités dont la plus grave pourrait permettre une escalade des privilèges.

📃 Rapport - Il est sorti. Le rapport d’activité de l’ANSSI pour la période 2022 avec les mots de son nouveau directeur général Vincent Strubel. En seulement deux pages, il va droit au but.

〰️ Cul sec - Réponse 〰️

Réponse C - Le secteur de l’éducation

Selon un rapport de Malwarebytes sur les menaces, le groupe de ransomware russophone Vice Society se distingue particulièrement de ses homologues en ciblant principalement des institutions éducatives.

Au cours des 12 derniers mois, le gang de ransomware Vice Society a mené plus d'attaques connues contre des cibles du secteur de l'éducation dans le monde entier, que n'importe quel autre groupe de rançongiciel.

Entre avril 2022 et mars 2023, près de 70 % des attaques de ransomware connues dans le secteur de l'éducation au Royaume-Uni ont été attribuées à Vice Society.

Les établissements d'enseignement font face à des défis majeurs lorsqu'il s'agit de faire face aux rançongiciels. Ces attaques peuvent avoir des conséquences graves et les demandes de rançon peuvent atteindre des montants exorbitants. Malheureusement, le secteur de l'éducation ne dispose pas des mêmes ressources financières que les grandes entreprises, ce qui rend la protection contre ces attaques d'autant plus difficile.

〰️ Digestif 〰️

Une attaque d’ingénierie sociale rondement menée 😂

Merci d’être passé ! Rendez-vous samedi prochain pour ton nouveau Shake de l’actu cyber et digitale ! 👋

L’équipe travaille dur. 👉 On a besoin de ton soutien pour diffuser à tous la culture de sécurité et responsabilité digitale.

Rejoins Shakerz, abonne-toi pour recevoir la newsletter hebdo. Tu aimes les Shake et tu veux en faire profiter tes potos ? Alors… 👇👇👇

Des questions ou un avis à partager ? C’est simple, il suffit de répondre à cet email et d’envoyer tes quelques lignes.

“Shake it, don’t fake it”