🇸🇦 X (ex-Twitter) accusé d’aider l’Arabie saoudite à commettre des violations des droits de l'homme

Salut 👋, voici ton digest du digital et de la cyber pour cette semaine.

À la une :

🇸🇦 X (ex-Twitter) accusé d’aider l’Arabie saoudite à commettre des violations des droits de l'homme,

Décode l’actu :

🇷🇺 La Russie mène des campagnes d’influence en Afrique,

🇯🇵 L'agence nationale de cybersécurité japonaise espionnée depuis des mois,

🎣 Okta alerte sur des attaques sophistiquées visant ses clients américains

🇰🇵 Des chercheurs mettent en garde contre les cyber armes d’une filiale du groupe Lazarus,

On t’explique tout ça plus bas.

Retrouve le mag :

🔑 Quelques règles d’or à appliquer pour lutter contre la “Prompt Injection”,

📈 Hausse inquiétante de 8% des cyberattaques hebdomadaires mondiales au deuxième trimestre 2023,

🍋 Des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, devine quoi… la question de la semaine.

〰️ La reco du barman 〰️

🇸🇦 X (ex-Twitter) accusé d’aider l’Arabie saoudite à commettre des violations des droits de l'homme

La plateforme X (ex. Twitter), est au cœur d'une action en justice aux États-Unis. Selon la plainte, Twitter aurait aidé l'Arabie saoudite à commettre de graves violations des droits de l'homme en divulguant des données confidentielles sur ses utilisateurs à la demande des autorités saoudiennes, à un rythme bien plus élevé qu'aux États-Unis, au Royaume-Uni ou au Canada.

L'action en justice a été intentée par Areej al-Sadhan, la sœur d'un travailleur humanitaire saoudien victime de disparition forcée et condamné à 20 ans de prison. L'affaire tourne autour de l'infiltration par trois agents saoudiens en 2014 et 2015, qui se faisaient passer pour des employés de Twitter, et qui ont révélé l'identité de milliers d'utilisateurs anonymes dissidents. Certains de ces utilisateurs auraient ensuite été détenus et torturés par le gouvernement saoudien.

Les avocats d'Al-Sadhan allèguent que Twitter, sous la direction de l'ancien PDG Jack Dorsey, a délibérément ignoré ou eu connaissance de la campagne du gouvernement saoudien pour réprimer les critiques à son encontre. Cependant, en raison de considérations financières et de liens étroits avec l'Arabie saoudite en tant qu'investisseur majeur, Twitter aurait apporté son soutien au royaume.

Cette nouvelle action en justice met en lumière la transformation de Twitter, autrefois considéré comme un outil essentiel pour les mouvements démocratiques (printemps arabe), en une source d'inquiétude pour le gouvernement saoudien dès 2013.

Escalade de la répression du gouvernement Saoudien

Cette nouvelle plainte intervient quelques semaines après la condamnation à mort, par un tribunal Saoudien, de Muhammad al-Ghamdi, un enseignant saoudien retraité âgé de 54 ans.

Les autorités saoudiennes lui reprochent d'avoir géré deux comptes sur les réseaux sociaux, qui avaient un total de seulement 10 abonnés et moins de 1 000 tweets pour partager principalement des retweets de critiques bien connus du gouvernement. Son activité sur Youtube a également été retenue comme preuve contre lui.

Ce verdict a immédiatement suscité l'indignation à l'échelle internationale. Human Rights Watch a qualifié cette condamnation de “parodie de justice” et d'“escalade” de la répression gouvernementale contre la liberté d'expression et la dissidence pacifique en Arabie saoudite. Joey Shea, chercheur sur l'Arabie saoudite à Human Rights Watch, a exprimé son inquiétude face à cette condamnation, déclarant : “La répression en Arabie saoudite a atteint un nouveau sommet terrifiant lorsque qu'un tribunal peut prononcer la peine de mort pour rien de plus que des tweets pacifiques.”

〰️ En image 〰️

🔑 IA: 5 règles d’or pour lutter contre la “Prompt Injection”

〰️ Vos shots 〰️

🇯🇵 L'agence nationale de cybersécurité japonaise espionnée pendant des mois

Le Centre national japonais de sécurité des systèmes d'information (NISC) a récemment été la cible d'une violation de sécurité, mettant en danger la confidentialité de données sensibles et d’informations personnelles. La faille s’est produite en octobre 2022 et n’a été détectée que 9 mois plus tard, en août dernier, lorsque des activités non autorisées ont été repérées dans le système de messagerie de l'agence, suscitant des craintes de divulgation de données à des pays étrangers.

L'impact international de cette attaque pourrait avoir des répercussions au-delà des frontières japonaises, touchant également les utilisateurs à l'étranger et suscite également des inquiétudes aux États-Unis, remettant en question le partage d'informations sensibles entre les deux pays.

Bien que les autorités japonaises n'aient pas divulgué l'identité des pirates derrière cette intrusion, des sources anonymes américaines s’adressant au Financial Times, attribuent cette attaque à des pirates sponsorisés par la Chine.

Ce n’est pas la première fois que le Japon fait face à des incidents de sécurité majeurs. Dans un rapport publié début août 2023 par le Washington Post, des sources anonymes révélaient que des acteurs étatiques chinois avaient pénétré dans le réseau de défense du pays lors d'une faille de sécurité survenue en 2020 et qu'ils y étaient restés pendant des années. Plus récemment, en juillet dernier, l’activité du port de Nagoya avait été interrompue pendant 2 jours en raison d’une attaque du groupe de ransomware LockBit.

🇷🇺 La Russie mène des campagnes d’influence en Afrique

Comme on pouvait s’y attendre, la Russie exploite l'instabilité résultant des coups d'État en Afrique pour mener des campagnes d’influence, selon une enquête de Microsoft. Et ça marche, puisque l’on a vu récemment fleurir de plus en plus de drapeaux russes dans de multiples manifestations pro coup d'État.

Selon le rapport du géant de l’informatique, la Russie a lancé des médias de propagande, a courtisé le soutien des populations anti-français, et a créé de fausses organisations civiles dans des pays africains en proie à des bouleversements politiques.

Cette campagne vise à profiter de l'instabilité provoquée par les coups d'État au Mali, en Guinée, au Burkina Faso, au Niger et au Gabon pour manipuler les médias et alimenter l'animosité envers la France, en faisant l'éloge des putschistes et en dénigrant la France, tout en encourageant le retrait des diplomates occidentaux. Les putschistes ont également fait taire les principales sources d'information francophones occidentales (Radio France Internationale - RFI - et France 24), ouvrant ainsi la voie à des récits “alternatifs”.

🎣 Okta alerte sur des attaques sophistiquées visant ses clients américains

Okta, le fournisseur américain de solutions en gestion des identités et des accès, a signalé que plusieurs de ses clients basés aux États-Unis, disposant de comptes avec des privilèges élevés (administrateur), ont été la cible d'attaques d'ingénierie sociale.

Dans une alerte de sécurité publiée jeudi 31 août, Okta déclare que “la stratégie des attaquants consiste à convaincre une personne du service d’assistance de réinitialiser tous les facteurs d’authentification multifactorielle (MFA) enregistrés par des utilisateurs très privilégiés” pour ensuite leur permettre “d’usurper l’identité d’utilisateurs au sein de l’organisation compromise”.

Selon le responsable de la sécurité chez Okta, David Bradbury, entre fin juillet et le 19 août, au moins quatre incidents de cette nature ont été enregistrés. Il est possible que ces attaques soient l'œuvre de Scattered Spider, un groupe également identifié sous les noms UNC3944, Scatter Swine, et Muddled Libra.

Cette annonce rappelle qu'Okta avait déjà été la cible, l’année dernière, d'une campagne de cybercriminalité nommée Oktapus, qui avait permis aux attaquants de compromettre 10 000 identifiants Okta. Cependant, tout lien entre les deux événements demeure, pour le moment, incertain.

🇰🇵 Des chercheurs mettent en garde contre les cyber armes d’une filiale du groupe Lazarus

Dans une étude publiée la semaine dernière, des analystes en sécurité de la société sud-coréenne Ahnlab avertissent que le groupe Lazarus, via sa filiale Andariel, utilise des cyberarmes dans ses attaques. Andariel, également connu sous les noms de Nicket Hyatt ou Silent Chollima, est un sous-groupe du groupe nord-coréen Lazarus, actif depuis 2008 et l'un des groupes de menace avancées (APT) les plus actifs en Corée et dans le monde.

Lazarus cible principalement des institutions financières, des entreprises de défense, des agences gouvernementales, des universités, des fournisseurs de cybersécurité et des entreprises du secteur de l'énergie pour financer des activités d'espionnage et générer des gains financiers. Parmi les faits d’armes du groupe : le cyber braquage de la Banque centrale du Bangladesh en 2016, où 81 millions de dollars US ont disparu pour une tentative de vol de 951 millions de dollars US.

Les attaques d'Andariel exploitent divers vecteurs d'infection, tels que le spear-phishing, les watering holes (attaque par point d’eau, par exemple de sites web connus comme étant visités par les cibles) et les attaques de la chaîne d'approvisionnement. Ils utilisent une large gamme de logiciels malveillants, tels quue Gh0st RAT, DTrack, YamaBot, NukeSped, Rifdoor, etc.

Le groupe a également été lié à QuiteRAT, utilisé dans des intrusions ciblant Zoho ManageEngine ServiceDesk Plus et s’est fait remarqué récemment, en février 2023, en exploitant des vulnérabilités dans Innorix Agent pour distribuer des portes dérobées et un reverse shell basé sur le langage Golang (Go) appelé 1th Troy.

〰️ Dégustation 〰️

📈 Hausse inquiétante de 8% des cyberattaques hebdomadaires mondiales au deuxième trimestre 2023

Le rapport semestriel sur la sécurité de 2023 de Check Point Research met en lumière une préoccupation croissante : au cours du deuxième trimestre, les cyberattaques mondiales hebdomadaires ont augmenté de manière alarmante de 8 %. Cette augmentation représente la plus importante hausse en deux ans et met en évidence la manière dont les cybercriminels ont habilement combiné les technologies d'IA de pointe avec des outils traditionnels tels que les périphériques USB pour mener des attaques. En outre, le rapport signale également une intensification des attaques par rançongiciel au cours du premier semestre de l'année, avec l'émergence de nouveaux groupes de rançongiciels.

À retenir :

• Les groupes de rançongiciels ont renforcé leurs tactiques en exploitant les failles des logiciels d'entreprise largement répandus, abandonnant ainsi l'approche traditionnelle de chiffrement des données au profit du vol de données.

  • 48 groupes de rançongiciels ont touché plus de 2 200 victimes

  • Lockbit3 est le plus actif avec une augmentation de 20 % du nombre de victimes par rapport au premier semestre 2022.

  • De nouveaux groupes de rançongiciels tels que Royal et Play sont apparus suite à la disparition des groupes Hive et Conti.

  • 45% des victimes se trouvent aux États-Unis

  • Les domaines de l'industrie et du commerce de détail ont enregistré le plus grand nombre de victimes.

• Les clés USB sont réapparues comme des menaces significatives, avec des acteurs étatiques utilisant activement ces dispositifs comme vecteurs d'infection pour cibler des organisations à l'échelle mondiale.

• L'hacktivisme a enregistré une hausse, avec des groupes motivés politiquement lançant des attaques contre des cibles spécifiques.

• L'exploitation abusive de l'intelligence artificielle a gagné en ampleur, avec l'utilisation croissante d'outils d'IA générative pour créer des emails d'hameçonnage, des logiciels malveillants de surveillance de la frappe au clavier et des codes de ransomware. Ceci met en évidence le besoin accru de réglementations plus strictes. Cette nouvelle tendance appelle à des mesures réglementaires plus strictes.

〰️ Cul sec - La question 〰️

☁️ Qu’est-ce que le “prompt injection” ?

Propositions de réponses :

A - Une méthode pour améliorer la vitesse de chargement des pages web.

B - Une technique utilisée par des attaquants pour manipuler les modèles de langage (LLM)

C - Une pratique utilisée pour augmenter la sécurité des réseaux informatiques en injectant des commandes de renforcement de la sécurité.

D - Une technique permettant de transformer un texte brut en une présentation graphique.

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

🥷 Lazarus again - L’entreprise NSO, spécialiste israélienne du cyber-espionnage, vient de se faire prendre sur le vif (il y a moins de 2 semaines) avec une nouvelle technique d’attaque des utilisateurs d’iPhones. C’est le Citizen Lab de l’Université de Toronto qui l’a révélé jeudi. Cette attaque passe via la réception d’un Message, sans aucune action de l’utilisateur, au travers d’une image malveillante. Les dernières versions d’iPhones sont vulnérables (16.6). Apple vient de mettre à disposition une mise à jour urgente (16.6.1).

🔐 Dans les pas de Chrome - Comme Chrome en juin dernier, Microsoft Edge va se doter d'un gestionnaire de mots de passe amélioré pour rester concurrentiel. Les ajouts les plus notables comprennent la possibilité de catégoriser vos mots de passe et d'ajouter des notes.

🍏 Keynote - La prochaine Keynote d’Apple aura lieu le mardi 12 septembre prochain. Les prochains iPhone 15 et sans doute l'Apple Watch Series 9 devraient y être dévoilés.

🎓 Formation - Pour lutter contre les cyberattaques dans l’industrie aéronautique, le constructeur d’avion européen AirBus lance à cette rentrée 2023, un master de “spécialiste cybersécurité dans le domaine aérospatial”. Cette nouvelle formation fait suite au lancement l’an dernier de sa “Cybersecurity School” sur son site de Saint Eloi à Toulouse.

🎰 Piratage - Stake, le fournisseur australien de services de paris sportifs et de casinos de crypto-monnaies, a été victime d'une attaque ce lundi, entraînant une perte de 41,3 millions de dollars.

🔄 Mises à jour - Google Chrome pour Desktop a été mis à jour vers 116.0.5845.179 pour Mac et Linux et sera mis à jour vers 116.0.5845.179/.180 pour Windows dans les semaines à venir. Cette mise à jour comprend également 4 correctifs de sécurité.

🐞 Vulnérabilité - Trois vulnérabilités d'exécution de code à distance de gravité critique (9,8/10) ont été découvertes sur les routeurs ASUS RT-AX55, RT-AX56U_V2 et RT-AC86U, permettant potentiellement aux acteurs de la menace de détourner les appareils si les mises à jour de sécurité ne sont pas installées.

〰️ Cul sec - Réponse 〰️

Réponse B - Une technique utilisée par des attaquants pour manipuler les modèles de langage (LLM)

La semaine dernière, le centre national de cybersécurité du Royaume-Uni (NCSC) a publié une mise en garde sur l’utilisation de l’intelligence artificielle et notamment sur une nouvelle cybermenace baptisée “prompt injection”.

Cette attaque consiste à manipuler des requêtes pour contourner les mécanismes de sécurité intégrés aux modèles de langage, en exploitant notamment le fait que les IA ne sont pas en mesure distinguer les requêtes et les données nécessaires à leur exécution.

Pour illustrer ce problème, prenons l'exemple d'une banque qui développe un assistant capable d'exécuter les instructions de ses clients. Dans ce contexte, une attaque pourrait consister à soumettre une demande de transaction qui dissimule en réalité une requête. Lorsque l'IA analyse les transactions à la demande du client, elle exécute la requête dissimulée et transfère de l'argent à l'expéditeur de la requête à l'insu de la victime.

Alors qu’on pourrait croire que ce type de menace est pour l’instant, purement théorique, un chercheur en cybersécurité a démontré plus tôt cette année le potentiel de ce type d’attaque pour manipuler des modèles de langage avec le cas des transcriptions de vidéos YouTube via des plugins ChatGPT.

〰️ Digestif 〰️

🎣 Quand les tests de phishing nous rendent trop confiants

Votre Shake de l'actu cyber et digitale vous attend chaque samedi !

Vous avez un avis ou une question ? Répondez simplement à cet e-mail, nous serons ravis de vous lire !

Aidez-nous à faire grandir la culture numérique responsable. Partagez avec vos proches.

Un ami vous a transféré cette édition ? Pour nous soutenir, vous pouvez-vous abonner 👇👇👇

“Shake it, share it”