Chaque dimanche, une revue de presse de l'actu tech en général et de la cybersécurité en particulier
Bonjour à tous,
C'est une revue de presse bien chargée cette semaine puisqu'il s'agit de notre spéciale cybermenaces !
Bonne lecture...
L'agenda
SANS Institute a lancé un hackaton sur les solutions IA de cybersécurité.
Les inscriptions sont ouvertes. La date limite pour rendre un projet est fixée au 15 mars. Le 1er prix est fixé à 3,500$.
Jusqu'au 26 juillet 2025, au 37 rue de Turenne Paris 3e se tiendra
l'exposition Chaosmos. Douze artistes du monde entier nous y livrent leur vision des "nouvelles manières d’habiter la planète entre espèces humaines et animales".
L'entrée est libre et gratuite pour les visites individuelles, les groupes sont invités à réserver. Des visites guidées sont également possibles, et un livret de visite en braille est mis à disposition.
En complément, un
programme de conférences, de spectacles et d'activités pour tous âges se déroulera durant la saison. Nous ferons écho ici aux événements liés aux sciences et techniques.
Tendances
Ça monte
- Commençons avec le thème de la semaine en soulignant les tendances lourdes des cyberattaques : le phishing avec 900 millions de tentatives recensées par Kapersky en 2024, et le vol de données sensibles, dont le nombre a triplé en un an. (Nous verrons dans la rubrique suivante les nouveautés et les évolutions récentes de la cybercriminalité)
- Le rapport Insight 2025 sur les innovations dans le numérique met en avant l'IA (sans surprise), le cloud hybride, la rationalisation des portefeuilles d'applications, la connectivité privée 5G et l'informatique spatiale (qui permet une interaction fluide entre les objets numériques d’un côté, et de l'autre l’environnement réel et les utilisateurs).
- Selon les chiffres Médiamétrie de 2024 sur les usages du numérique en France, internet est désormais incontournable ici, avec 94 % de foyers connectés contre 82% il y a 10 ans. En outre, le smartphone est devenu l'écran principal de la navigation en ligne des français. Autre tendance française : plus d'un utilisateur sur cinq utilise un mobile reconditionné selon le baromètre de Recommerce.
- Enshittification : selon Wikipedia, c'est une "dégradation de qualité qui affecte progressivement les plate-formes numériques qui opèrent sur un marché biface", parce que la plateforme attire des utilisateurs et les rend dépendants à perte, puis favorise progressivement les intérêts des annonceurs. Un concept magnifiquement illustré cette semaine : une étude Avast note une recrudescence des escroqueries sur les réseaux sociaux, notamment sous forme de malvertising.
- L'IA générative continue sa conquête du public : alors que ChatGPT dépasse les 400 millions d'utilisateurs, au même moment MistralAI totalise plus d'un million de téléchargements sur smartphone moins de deux semaines après son lancement.
Ça descend
- Alors que l'IA générative monte, ce qui s'effondre, c'est c'est notre jugeote : une étude de Carnegie Mellon et Microsoft démontre qu'un usage professionnel régulier de l'IA générative diminue l'esprit critique même quand il augmente la productivité.
- La compétitivité française dans le domaine du numérique n'est pas au rendez-vous : la Cour des Comptes s'inquiète du retour sur investissement de l'argent public engagé dans ce domaine sans objectifs de productivité ou de rentabilité. Et au niveau européen, Mario Draghi vient de remettre un rapport sur la compétitivité, dans lequel il s'inquiète d'un écart qui se creuse avec les États-Unis, qui ont su profiter de l'essor du numérique. Il préconise de développer notre capacité à former nos experts dans ce domaine, ainsi que notre indépendance vis-à-vis des GAFAM.
- Et à propos de GAFAM, ce n'est pas la grande forme non plus pour Amazon, qui a pris la décision de Fermer Chime. La raison avancée à l'insuccès de leur solution de visioconférence est sa focalisation excessive sur les usages professionnels.
- On prend les mêmes et on recommence ? Les conditions de travail se dégradent à nouveau chez Orange, avec un recul de la fierté d'appartenance et de l'autonomie au travail, alors que la charge de travail et l'insécurité de l'emploi augmentent.
Les campagnes de la semaine
Les techniques qui montent
Ce mois de février confirme
l'évolution des ransomwares, qui gagnent en complexité, mais aussi en résilience et en volume avec la prolifération des Ransomware-as-a-Service (RaaS). Les techniques en vogue incluent la double extorsion (vol de données préalable au chiffrement, afin de pouvoir menacer d'une exposition publique) et la triple extorsion (lancement de dénis de service contre les payeurs récalcitrants).
Les vecteurs d'attaques se sont diversifiés, avec une prévalence des failles de sécurité nouvellement patchées dans les solutions couramment employées en entreprise (Faites vos mises à jour !)
Il a également été noté des progrès spectaculaires dans la rapidité de mise en œuvre des attaques : il faut désormais
17 heures en moyenne à partir de l'intrusion initiale dans un système pour réaliser le chiffrement des données, et certains groupes comme Akira et RansomHub peuvent réduire ce temps à 4 à 6h.
Un rapport de WatchGuard Technologies note une augmentation de
+300% des attaques de malwares détectées sur des terminaux entre les 2e et 3e trimestres 2024. Parmi les malwares détectés, les cryptomineurs sont en augmentation.
L'ingénierie sociale et le détournement de sites web ou de documents légitimes à des fins malveillantes sont couramment employés pour introduire le payload. Dans le domaine de l'exploitation de services légitimes, les plug-in WordPress vulnérables gagnent en popularité.
Les experts recommandent de se préparer dès maintenant à contrer
les nouvelles menaces que l'informatique quantique va faire émerger. A titre d'exemple, le chiffrement RSA pourrait être déprécié à partir de 2028. Or, les attaquants anticipent le changement de paradigme en stockant pour plus tard des données indéchiffrables à ce jour.
Il est donc recommandé de planifier dès à présent une migration vers la sécurité quantique incluant progressivement une infrastructure à clés publiques post-quantique (PKI-PQC).
Les phishings frais de la semaine
Question méthodologie, il y a aussi du nouveau : une
nouvelle méthode d'obfuscation utilise les caractères unicode invisibles pour représenter des valeurs binaires, et ainsi envoyer du code JavaScript malveillant en toute discrétion.
Darcula, un service PhaaS (Phishing as a Service) pour utilisateurs sinophones, sort une nouvelle version. Il sera désormais plus facile aux béotiens en matière de piratage de créer des kits de phishing customisés et difficilement repérables par les cibles.
Applications de messagerie : les brouillons d'Outlook exploités
FinalDraft est une backdoor qui établit des communications avec un serveur C2 dans le but d'exfiltrer des données de la machine infectée. Jusqu'ici, rien d'original. La particularité, c'est que ce malware envoie et reçoit des ordres à partir des brouillons d'Outlook. Les commandes reçues sont ensuite effacées automatiquement. Les chercheurs d'Elastic Security Labs, à l'origine du rapport sur son fonctionnement, ont également observé une variante compatible avec Linux.
Spywares
Le spyware SpyLend a été téléchargé plus de 100,000 fois depuis Google Play. Il fait partie d'une famille de malwares, les SpyLoans, qui se présentent faussement comme des outils financiers ou des services de prêt sur les sites de téléchargement, mais qui volent des données une fois installés. Ces données servent ensuite à harceler, faire chanter et extorquer de l'argent.
Celui-ci se présentait sous le nom de "Finance Simplified", et visait en particulier les consommateurs indiens. Il a depuis été retiré de Google Play, mais le problèmes des appareils déjà infectés reste entier.
Et quand on parle de logiciels d'espionnage, on pense bien-sûr au célèbre
Pegasus, qui refait parler de lui en visant désormais des dirigeants dans la finance, l'immobilier et la logistique, originaires d'Europe ou du Bahreïn. La présence du spyware n'a pas été détecté par le système de protection d'Apple.
Trojans, PDF, fonds d'écrans, gaming , fausses MàJ et fausses messageries
Il y a eu plusieurs attaques dans l'univers du jeu vidéo cette semaine. Début février, un
jeu gratuit nommé PirateFi est apparu sur Steam et y est resté une semaine. Il s'agissait en fait du wrapper (logiciel légitime contenant un programme malveillant dissimulé à l'intérieur) de Vidar, un infostealer.
S'il est vraisemblable que PirateFi avait été conçu dès le départ pour servir de cheval de Troie, il existe aussi
des versions trojanisées de jeux populaires. Une campagne récente de ce type a diffusé le cryptominer XMRig à des gamers russes, biélorusses, brésiliens, allemands et kazakhs, à travers des versions piégées de jeux tels que BeamNG.drive, Garry’s Mod ou Dyson Sphere Program. L'intérêt de cibler des gamers pour du cryptomining est que leur PC est souvent puissant.
De fausses versions des messageries
Signal, Line et Gmail ont été diffusées en Chine. Elles contenaient en fait un malware capable d'altérer les défenses de l'appareil, d'éviter la détection et d'exfiltrer des données sensibles.
D'innocents fonds d'écrans sont utilisés pour installer le RAT (Remote Access Trojan)
AsyncRAT à l'insu de sa victime. La méthodologie employée dans cette campagne permet d'éviter la détection par les mesures de sécurité traditionnelles et d'assurer la persistance.
DriverEasy est une application malveillante qui
se fait passer pour une mise à jour de Goggle Chrome. Il s'agit en fait d'un infostealer lié à ma campagne nord-coréenne "Contagious interview".
Une campagne de fichiers LNK contenant l'infostealer Lumma
se dissimule sous la forme de fichiers PDF d'apparence légitime. Lumma est un MaaS (Malware as a Service) conçu pour exfiltrer les données sensibles telles que les mots de passe, les infos du navigateur et les identifiants de portefeuille de cryptomonnaie. Il s'agit d'un malware sophistiqué, employant des moyens de communication non-conventionnels avec son serveur C2, comme des profils Steam. Les cibles se trouvent dans les secteurs de la finance, de la santé, de la technologie et des media.
FrigidStealer
Parmi la longue liste d'infostealers qui ont fait couler de l'encre cette semaine, c'est sans doute celui qui a le nom le plus catchy. A l'instar de DriverEasy décrit plus haut et d'autres trojans,
FrigidStealer s'introduit dans le système ciblé par le bais d'une fausse mise à jour de navigateur. Ce qui le rend spécial, c'est qu'il est spécifique à MacOS. Une fois téléchargé, il récolte les mots de passe, les cookies de navigation, les données relatives aux cryptomonnaies, et même les Apple Notes.
Le ransomware de la semaine : NailaoLocker
Orange Cyberdéfense a pu retracer les étapes d'une campagne ayant eu lieu de juin à octobre 2024, et qui a ciblé les hôpitaux européens avec
le ransomware NailaoLocker. C'est le VPN de la marque Check Point qui a servi de point d'entrée. Si l'ensemble des techniques et tactiques employées permet de lier l'attaque aux APT chinoise, l'attribution n'a pu être plus précise pour le moment, notamment en raison
de procédés inhabituels dans ce genre d'attaque. Principalement parce que NailaoLocker est un outil "relativement peu sophistiqué" pour ce type d'acteurs.
XCSSET : le cryptostealer qui affole les développeurs de chez Apple
Une nouvelle version du hit de 2022 est sortie :
XCSSET bénéficie maintenant d'une obfuscation plus efficace, d'une meilleure persistance, et de nouveaux moyens de propagation. A part ça, il s'agit toujours d'un cryptostealer qui récolte les données des Apple Notes et des fichiers système. La nouvelle version n'a été observé que dans des attaques de portée limitée jusqu'à présent, mais son potentiel a attiré l'attention des spécialistes.
l'IA dans tous ses états
Non seulement
Grok3 a été jailbreaké un jour seulement après sa sortie, mais par 3 méthodes différentes, il a été possible de lui faire révéler son système de prompt et d'obtenir des réponses qu'une IA ne devrait pas pouvoir fournir (comment fabriquer une bombe, comment se débarrasser d'un corps…) Adversa, la société qui l'a audité, estime que son niveau de sécurité est très faible.
DarkMind est une backdoor ayant pour particularité d'exploiter la chaîne de raisonnement des LLM, et non des mots-clés qui agissent comme élément déclencheur, ce qui la rend plus difficile à détecter que les autres backdoor du même type. De plus, cela crée un paradoxe où les LLM les plus performants sont aussi les plus vulnérables au fonctionnement particulier de DarkMind. Son existence appelle des mesures de mitigation robustes, comme un algorithme de détection des anomalies conçu pour identifier les irrégularités dans les chaînes de raisonnement.
Ce qui s'est passé en Italie n'est pas nouveau en soi, mais illustre simplement à quel point les
arnaques au président ne connaissent plus de limites en termes de crédibilité. Cette fois, c'est donc le ministre de la Défense qui a été manipulé par un deepfake audio, jusqu'à verser un million d'euros en croyant œuvrer pour la libération d'otages. Ce problème du clonage vocal a été évoqué lors du sommet de l'IA à Paris.
Les deepfakes vidéo ne sont pas en reste, avec
une nouvelle série d'attaques "Scam-Yourself", visant les traders et les cryptobros. Le scam exploite une chaîne YouTube vérifiée mais compromise, sur laquelle est publiée un vidéo générée par IA qui incite les viewers à cliquer sur un lien téléchargeant un malware tel que NetSupport ou Lumma Stealer.
Ça fuit de tous les côtés
Parmi les points de fuites, nous avons :
En bref
Depuis plusieurs jours, les pare-feux Palo Alto subissent des attaques multiples suite à une faille de sécurité sur son interface de gestion PAN-OS, qui permet de contourner l'authentification, puis de modifier à distance les configurations du pare-feu. Busted !
La fraude "HashFlare", une pyramide de Ponzi impliquant du minage de cryptomonnaie, a connu un épilogue avec
le plaider-coupable des deux auteurs, qui reconnaissent avoir empoché 577 millions de dollars aux dépens des victimes. Ils risquent 20 ans de prison.
Une autre procédure de plaider-coupable a eu lieu dans
l'affaire du piratage d'AT&R et de Verizon, dite "affaire Snowflake", dans laquelle un soldat de l'armée américaine a été impliqué. Ce piratage avait été l'un des pires de l'année 2024.
Voila, c'est tout pour cette semaine. Merci de votre attention et à la semaine prochaine !
https://fedi.thechangebook.org/settings/editor/?f=&rpath=%2Fhq
