[Cyber] Revue de presse Semaine 15 2023
Edito :
Bienvenue dans la revue de presse hebdomadaire dédiée à la cybersécurité. L’actualité est particulièrement variée en attaques, ce qui souligne l’ingéniosité des cyberattaquants. De façon réciproque, les entreprises françaises en comprennent les enjeux et investissent massivement dans des solutions. Dans un contexte de menace croissante de la guerre hybride, les experts mettent en avant le rôle de coordinateurs que doivent endosser les institutions européennes et nationales sur ces sujets. A titre d’exemple, l’ANSSI a publié récemment un corpus documentaire sur la remédiation dans un contexte de crise cyber tout en appelant les acteurs privés à apporter leur expertise.
Bonne lecture !
Cyberattaques :
12/04/2023 : La nouvelle faille de sécurité zero-day dans Windows est exploitée par le ransomware Nokoyawa. Microsoft a corrigé une faille de sécurité zero-day exploitée dans le cadre d’attaques de ransomware.
13/04/2023 : L’après Pegasus est arrivé. Comme le précise Microsoft, le nouveau logiciel espion « REIGN est une suite d’exploits, de logiciels malveillants et d’infrastructures conçus pour exfiltrer des données à partir d’appareils mobiles. » – À ce jour, ce logiciel espion aurait été utilisé contre au moins 5 personnes (située sur différents continents, dont l’Europe) qui ont pu être identifiées, même si les noms ne sont pas rendus publics.
https://www.it-connect.fr/espionnage-des-iphone-le-logiciel-espion-reign-cest-lapres-pegasus/
Western Digital fait l’objet d’un chantage à plusieurs millions de dollars : Fort d’avoir récupéré 10 To de donnée concernant ses clients, des pirates menacent le groupe de diffuser en ligne les données. Au-delà d’une décision de principe, l’organisation devra prendre en compte le coût des éventuelles actions collectives qu’elle encoure en cas d’atteinte à la confidentialité des données si la négligence est prouvée.
https://www.zataz.com/western-digital-geant-de-la-sauvegarde-pirate/
14/04/2023 : Attaque de l’hôpital de Bourg en Bresse : dans la nuit du 10 au 11 avril, Le centre hospitalier de la préfecture de l’Ain a été victime d’une intrusion informatique.
17/04/2023 : Météo-France victime d’une cyberattaque par déni de service. L’attaque a consisté à générer un grand nombre de connexions vers leur site web, dans le but de saturer leurs serveurs et de les rendre indisponibles. Bien que généralement symboliques et sans conséquences durables, ces attaques sont de plus en plus courantes en Europe depuis l’invasion de l’Ukraine par la Russie. Le mois dernier, le site de l’Assemblée nationale avait également été touché par une telle attaque.
17/04/2023 : BRL, le groupe d’ingénierie spécialisé dans la gestion de l’eau et l’environnement est victime d’un ransomware. Les données clients seront sans doute réutilisées, notamment les identifiants. L’occasion pour BRL de communiquer sur le sujet « nous vous invitions à modifier ce mot de passe sur les autres applications pour lesquelles vous l’utilisiez également ».
19/04/2023 : Le département de Saône-et-Loire a été victime d’une arnaque qui a permis de détourner un virement destiné à une subvention à l’organisation du congrès national annuel des sapeurs-pompiers à hauteur de 350.000 euros.
Autres articles :
La CNIL italienne pose ses conditions à l’utilisation des IA grand public _ Publié le 12/04/2023 :
La CNIL italienne a explicité ses conditions à OpenAI pour lever le blocage de ChatGPT en Italie d’ici au 30 avril, en raison des actuelles violations du RGPD qui lui sont reprochées, notamment l’insuffisance des informations à l’attention des personnes concernées. Un accord de principe a été négocié.
En parallèle, la CNIL en France examine également deux plaintes.
https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9874751#english
https://www.presse-citron.net/chatgpt-menace-par-deux-plaintes-de-la-cnil-en-france/
Présentation de la certification OSCP _ Publié le 14/04/2023
L’article met en avant la certification OSCP (Offensive Security Certified Professional) pour les professionnels de la sécurité informatique en mettant l’accent sur les compétences pratiques en matière de piratage éthique. Il rappelle les compétences essentielles pour se préparer, ainsi que des conseils pour passer la certification.
https://blog.nohackme.com/2023/04/offensive-security-certified-professional-oscp/
L’ANSSI a publié un corpus documentaire sur la remédiation et fait appel à des commentaires _ Publié le 17/04/2023 : L’agence propose un corpus de guides destinés aux acteurs de l’informatique et de la cybersécurité, couvrant les différents niveaux de décision (stratégique, opérationnel et technique). La remédiation est l’ensemble d’actions visant à reconstruire et rétablir la sécurité des systèmes d’information après un incident de sécurité. Cela peut inclure la restauration des données et des systèmes affectés, l’identification des vulnérabilités qui ont été exploitées, la mise en place de mesures correctives pour empêcher une répétition de l’incident et la communication appropriée aux parties prenantes.
Les cybercriminels associés au groupe du ransomware Vice Society utilisent un outil codé en PowerShell pour exfiltrer des données de machines compromises _ Publié le 18/04/2023 : Le script PowerShell utilisé (w1.ps1) répertorie tous les lecteurs de la machine, parcourt leur contenu et exfiltre les données vers un serveur externe via des requêtes POST en HTTP. Le script effectue des exclusions pour ne pas exfiltrer certains fichiers et utilise un système de file d’attente pour envoyer les données progressivement vers le serveur distant afin de ne pas consommer trop de ressources sur la machine compromise. Cette méthode d’exfiltration est difficile à détecter et illustre le principe de la double extorsion, où les ransomwares exfiltrent les données des entreprises pour les divulguer sur le DarkWeb.
https://www.it-connect.fr/le-ransomware-vice-society-exfiltre-les-donnees-avec-un-script-powershell/
Une nouvelle campagne de phishing vise à infecter les ordinateurs avec le malware Qbot _ Publié le 18/04/2023 : Cette campagne utilise des fichiers PDF malveillants et des scripts WSF. Qbot, qui est initialement un trojan bancaire, va ainsi permettre aux cybercriminels d’accéder à la machine infectée et de déployer d’autres logiciels malveillants, y compris des ransomwares.
Illustration d’une cellule de crise cyber dans un centre hospitalier de Bretagne _ Publié le 18/04/2023 : L’article décrit un exercice de crise simulant une cyberattaque. Parmi les énièmes recommandations de préparation, il est essentiel de constituer une équipe de crise avec des astreintes, d’avoir listé l’ensemble des actifs supports de l’organisation, d’avoir pensé à une to-do-list en fonction des scénarios préalablement détectés et d’avoir formé le personnel à fonctionner en mode dégradé. Là, l’exercice peut enfin commencer.
« L’Europe prend son destin en main selon Thierry Breton »_ 18/04/2023 : La guerre en Ukraine aura été un événement marquant pour que l’Union Européenne prenne conscience de sa faiblesse selon le commissaire européen. Parmi les grandes résolutions à l’échelle du continent, on retient l’ « EU Chips Act » pour stimuler l’industrie des semi-conducteurs. Également, la création d’un « bouclier européen » pour détecter les attaques avec des contingents cyber dédiés dans chaque pays membre.
Un professeur d’une université australienne met en exergue l’interdépendance des sujets de cybersécurité à l’échelle mondiale _ Publié le 18/04/2023 : Dans un article intitulé « la cyber sécurité dans le monde », il décrit les cyberattaques comme faisant partie de la menace croissante de la guerre hybride, où les acteurs malveillants peuvent aussi bien s’enrichir que provoquer des guerres. L’auteur propose une recherche à l’échelle internationale pour que les entreprises sortent de la torpeur collective et investissent en connaissance des risques encourus.
La cybersécurité progresse dans les entreprises françaises_ Publié le 19/04/2023 : Wavestone, société de conseil, réalise chaque année une étude sur la maturité cyber des entreprises auprès de 100 clients (dont 60 sont des grands comptes situés en France et 40 localisés dans d’autres pays) et sur la base des référentiels NIST et ISO 27001 et 27002. Elle constate une accélération majeure dans l’industrie qui était jusqu’ici très en retard. A l’inverse, le secteur public semble lui, en baisse. De manière générale, l’étude dénote un effort sur la détection et la réponse à incident pour répondre aux attaques de type ransomware. Également, des progrès sont à saluer sur la gestion des identités (IAM) et la mise en place de méthode d’authentification multifacteur (MFA).
