IA et cyber

[Cyber] Revue de presse (spéciale IA) Semaine 23 2023

Edito :

Bonjour et bienvenue dans notre nouvelle revue de presse cyber. Cette semaine, nous mettons à nouveau l’accent sur l’intelligence artificielle, un sujet d’une importance croissante. Les articles sélectionnés en soulignent l’intérêt tant du point de vue de la défense que de l’attaque . Ils mettent également en évidence la nécessité d’une régulation équilibrée pour encadrer son développement. S’en suivent les cyberattaques répertoriées par la presse. Également d’autres articles traitant du cyber, à l’instar d’un guide de Ransomware (à l’usage des honnêtes gens) publié par un hacker.

Bonne lecture.

Focus sur l’intelligence artificielle :

Les experts de la cybersécurité ne seront pas (encore) remplacé par l’IA _ Publié le 05/06/2023 : L’article il met en évidence que les professionnels de la cybersécurité restent essentiels pour superviser et enseigner à ces outils, ainsi que pour gérer les erreurs potentielles. L’utilisation de l’IA en conjonction avec les professionnels de la cybersécurité ne permettrait que de réduire leur charge de travail et de mieux faire face aux menaces (et c’est déjà beaucoup).

https://securityboulevard.com/2023/06/guest-essay-using-generative-ai-to-support-not-replace-overworked-cybersecurity-pros/

L’apport de l’IA à la cybersécurité en matière décisionnel _ Publié le 05/06/2023 : Intéressant article sur l’avantage que l’IA peut apporter à la cybersécurité :

  • L’IA peut fonctionner jour et nuit, sans avoir besoin de repos, ce qui permet une analyse continue des données pour détecter les menaces.
  • Elle peut éliminer les erreurs humaines, qui sont souvent une faiblesse dans la chaîne de sécurité.
  • L’apprentissage automatique permet une détection efficace des menaces, même pour les nouvelles formes d’attaques.
  • L’IA améliore l’authentification biométrique, rendant les connexions plus fluides et plus sécurisées.
  • En cas de cyberattaque réussie, un système de sécurité alimenté par l’IA peut atténuer les dommages et réduire les pertes financières.

Cependant, il existe également des inconvénients à l’utilisation de l’IA dans la cybersécurité :

  • La présence de biais dans les systèmes d’IA peut entraîner des décisions biaisées, tant au niveau des algorithmes que de la société.
  • Le manque de transparence de l’IA rend difficile la compréhension de la manière dont les décisions sont prises.
  • L’intégration des systèmes de sécurité existants avec ceux basés sur l’IA peut poser des problèmes.
  • Les faux positifs peuvent survenir en raison de l’incompréhension des processus de décision de l’IA, ce qui peut mettre en danger les systèmes face aux véritables menaces.

https://www.makeuseof.com/ai-decision-making-cybersecurity/

L’IA aura des répercussions meurtrières d’ici 2 ans selon un expert _ Publié le 06/06/2023 : Selon Matt Clifford, conseiller technologique de Rishi Sunak, l’intelligence artificielle (IA) pourrait causer des avancées qui pourraient « tuer de nombreux humains » dans les deux prochaines années, à moins que des réglementations mondiales ne soient mises en place. Il a averti que les systèmes d’IA pourraient devenir « très puissants » et difficiles à contrôler, avec des risques immédiats tels que la création d’armes biologiques et de cyber-armes pouvant causer de nombreuses morts. Cette analyse fait écho avec celles des pionniers de l’IA qui ont mis en garde contre les risques de la technologie, affirmant qu’ils doivent être traités avec la même urgence que les pandémies ou la guerre nucléaire.

https://news-24.fr/le-conseiller-en-intelligence-artificielle-de-sunak-previent-que-la-technologie-pourrait-aider-a-produire-des-armes-meurtrieres-dici-deux-ans/

Des postes compromis détectés grâce à l’IA _ Publié le 07/06/2023 : Cet article présente deux cas de compromission de comptes Microsoft 365 détectés grâce à l’intelligence artificielle. Dans le premier cas, elle a détecté des anomalies telles qu’une augmentation soudaine du trafic d’e-mails sortants et une connexion inhabituelle depuis une adresse IP située dans un autre État. Grâce à une compréhension globale des activités de l’utilisateur, l’IA a pu reconnaître ces événements comme une tentative de vol d’identifiants. Dans le deuxième cas, un compte Microsoft 365 du département des comptes a été compromis, et l’IA a pu suivre les mouvements de l’attaquant dans la boîte de réception, identifiant ainsi une attaque de phishing ciblée.

https://fr.darktrace.com/blog/how-darktraces-ai-caught-two-microsoft-365-account-takeovers

L’ENISA encadre des propositions d’encadrement dans le domaine de l’IA _ Publié le 08/06/2023 : L’Agence de l’Union européenne pour la cybersécurité (ENISA) a publié 4 rapports lors d’une conférence sur la supervision de l’IA sécurisée et fiable, abordant les défis liés à la cybersécurité dans le domaine de l’intelligence artificielle (IA). L’objectif était de promouvoir la coopération au sein de la communauté de la cybersécurité de l’IA afin de réfléchir à la proposition d’une réglementation de l’UE sur l’IA, permettant ainsi à l’UE de devenir un pionnier dans la réglementation de l’IA. Les rapports présentent un cadre de bonnes pratiques en matière de cybersécurité pour les systèmes d’IA, soulignent les menaces et vulnérabilités liées à la cybersécurité et à la vie privée dans deux cas d’utilisation spécifiques, et identifient les besoins de recherche pour sécuriser l’IA.

https://www.enisa.europa.eu/news/is-secure-and-trusted-ai-possible-the-eu-leads-the-way

Augmentation des attaques par DeepFake _ Publié le 08/06/2023 : Le FBI signale une augmentation des sextorsions basées sur des deepfakes, avec des maîtres-chanteurs utilisant des images ou des vidéos falsifiées pour faire du chantage aux victimes. Cette tendance souligne les nouvelles opportunités offertes aux acteurs malveillants et la nécessité de sensibiliser les utilisateurs autour de ces menaces.

https://www.zdnet.fr/actualites/les-sextorsions-basees-sur-des-deepfakes-en-augmentation-39959198.htm#xtor=123456

Les cyberattaques dans la presse :

02/06/2023 : Suite à une attaque de cybercriminels par le groupe Play, les services en ligne du prestataire informatique suisse Unico Data ont été compromis, affectant les cinémas Pathé à Genève et Lausanne. Unico Data travaille à rétablir les services touchés, qui incluent la vente de billets en ligne, la consultation des horaires et l’utilisation des bornes de réservation.

https://www.watson.ch/fr/suisse/hacker/817233331-pathe-lausanne-et-geneve-des-hackers-ont-pirate-le-systeme

 04/06/2023 :  Le logiciel de transfert MOVEit Transfer a été victime d’une cyberattaque de grande envergure en raison d’une vulnérabilité découverte. Cette attaque a principalement visé les grandes organisations qui utilisent ce logiciel pour partager des fichiers et des données volumineuses sur le web. Progress Software, la société mère d’Ipswitch, le développeur du logiciel, a confirmé l’existence de cette vulnérabilité et a recommandé à ses clients de désactiver l’accès à Internet pour leur système MOVEit Transfer.

https://www.fredzone.org/les-pirates-lancent-une-autre-vague-de-piratages-de-masse-ciblant-les-outils-de-transfert-de-fichiers-de-lentreprise-rbc234

05/06/2023 : La police fédérale et l’armée suisse ont été victimes d’une cyberattaque indirecte visant un prestataire informatique, menée par le groupe de hackers Play. Les pirates ont réussi à mettre la main sur 907 giga-octets de données, et déjà des milliers de fichiers, représentant près de 3 giga-octets, ont été publiés sur Internet. Ces documents comprennent des informations sur des projets informatiques avec la police fédérale, les polices cantonales, les douanes et l’armée suisse.

https://www.lefigaro.fr/flash-eco/l-administration-suisse-victime-collaterale-d-une-cyberattaque-20230603

https://www.usine-digitale.fr/article/la-police-et-l-armee-suisses-victimes-collaterales-d-une-cyberattaque.N2139647

https://www.linformaticien.com/magazine/cybersecurite/60939-suisse-une-cyberattaque-d-envergure-a-vise-l-administration.html

06/06/2026 : Kaspersky, la société russe spécialisée en cybersécurité, a été la cible d’une attaque informatique de très haut niveau, visant spécifiquement les iPhones de plusieurs de ses employés. Le malware Triangulation, un logiciel espion dissimulé en cheval de Troie, a été utilisé pour infecter les terminaux, exploitant des vulnérabilités d’iOS. Le malware est extrêmement difficile à détecter et siphonne des données telles que des enregistrements audio, des photos, des historiques de messagerie et de géolocalisation, les renvoyant vers des serveurs distants.

https://www.generation-nt.com/actualites/kaspersky-victime-cyberattaque-haut-niveau-triangulation-2036938

https://www.lesnumeriques.com/mobilite/malware-triangulation-le-russe-kaspersky-victime-d-une-cyberattaque-de-haut-niveau-n210271.html

 06/06/2023 : La presse revient sur un certain nombre d’attaques à l’encontre de grands groupes britanniques à l’instar de British Airways, de la BBC ou encore Marshall Construction. 100.000 employés seraient concernés.

https://www.lefigaro.fr/societes/une-vaste-cyberattaque-touche-de-grands-groupes-britanniques-20230606

https://www.rfi.fr/fr/europe/20230607-royaume-uni-des-hackers-lancent-un-ultimatum-apr%C3%A8s-une-cyberattaque-massive

 06/06/2023 : Retour sur l’attaque à l’encontre de l’agence « Voyageurs du monde ». Nous parlons à présent de 10.000 passeports sur le Darknet. Le groupe LockBit en serait à l’origine. Le dernier article rappelle qu’une plus grande implication du DPO dans les processus de conservation des données aurait pu diminuer l’impact sur l’incident.

https://www.capital.fr/entreprises-marches/une-agence-de-voyages-francaise-victime-dune-cyberattaque-10000-passeports-sur-le-darknet-1470500

https://www.clubic.com/antivirus-securite-informatique/actualite-473010-des-milliers-de-passeports-francais-atterrissent-sur-le-darknet-apres-la-cyberattaque-d-une-grande-agence-de-voyages.html

https://www.lemagit.fr/tribune/Voyageurs-du-Monde-y-a-t-il-un-DPO-dans-lavion

07/06/2023 : L’université d’Aix-Marseille a été victime d’une cyberattaque qui a paralysé son réseau et rendu le site web inaccessible. L’attaque, qui semblait provenir d’un pays étranger, a été détectée rapidement, permettant de couper le réseau pour éviter des dégâts plus importants. Bien que les cours n’aient pas été perturbés, certains services sont désormais privés d’outils de travail, et les équipes travaillent pour rétablir la situation.

https://france3-regions.francetvinfo.fr/provence-alpes-cote-d-azur/bouches-du-rhone/marseille/l-universite-d-aix-marseille-visee-par-une-cyberattaque-plus-d-acces-au-site-web-ni-a-internet-2789882.html

Autres articles :

L’intérêt des EDR par rapport aux antivirus _ Publié le 17/05/2023 : Cet article explique les différences entre les antivirus traditionnels et les solutions de protection endpoint avancées comme l’EDR et l’EPP. Les antivirus traditionnels se basent sur des signatures pour détecter les logiciels malveillants, mais ils sont limités face à l’évolution des cyberattaques. Les solutions d’EDR utilisent l’analyse comportementale et les indices de compromission pour détecter les menaces inconnues en temps réel. Les antivirus traditionnels offrent une première couche de protection contre les attaques moins sophistiquées, mais il est recommandé d’utiliser plusieurs solutions de protection endpoint et de privilégier l’intervention humaine dans l’analyse des incidents de cybersécurité.

https://www.stormshield.com/fr/actus/solution-de-protection-endpoint-et-antivirus-complementarite-et-difference/

Un guide de Ransomware à l’usage des honnêtes gens_ Publié le 05/06/2023 :  Un pirate a publié gratuitement un guide qui explique comment installer le serveur qui servira à l’attaque, exploiter l’OS KALI et ses outils, contourner les outils de cybersécurité de Sentinel One, Falcon, Sophos ; maltraiter les serveurs EXSI. Il n’est pas peine de coder selon l’auteur il suffit de « exploiter la bêtise humaine et la réticence à entrer des mots de passe complexes pour se connecter à la console pour se connecter au même EXSI via SSH ». En complément, une analyse du manuel faite par un expert.

https://www.zataz.com/bassterlord-manuel/

https://www.pwndefend.com/2023/05/26/the-manual-version-2-0/

Même les rançongiciels font l’objet de franchise _ Publié le 06/06/2023 : L’article met en évidence une série de cyberattaques revendiquées par différents groupes de ransomwares, tels que LockBit 3.0, Trigona, Monti et RansomHouse. Des chercheurs suggèrent qu’il pourrait y avoir une coopération entre certains de ces groupes, avec un attaquant utilisant plusieurs ransomwares pour compliquer la situation. Les attaques de ransomwares en mode service (RaaS) fonctionnent comme des franchises, où les opérateurs fournissent une plateforme aux affidés pour mener des attaques. De plus, il est souligné que les affidés peuvent conserver des moyens d’accès aux systèmes d’information des victimes, augmentant ainsi la possibilité de nouvelles attaques.

https://www.lemagit.fr/actualites/366539455/Cyberattaque-deux-rancongiciels-pour-un-seul-attaquant

Publication d’un rapport d’Oranger Cyberdefense sur la menace cyber _ Publié le 08/06/2023 : Selon le rapport Cy-Xplorer 2023 d’Orange Cyberdefense, le premier trimestre de cette année a enregistré une augmentation significative du nombre de victimes d’extorsion cybernétique (Cy-X), atteignant ainsi les niveaux les plus élevés jamais enregistrés. Bien que le secteur manufacturier demeure le plus touché, on observe une diminution du nombre de victimes dans ce secteur, avec une augmentation dans les secteurs des services publics, de l’éducation et des finances et assurances. La répartition géographique des victimes a également évolué, avec une diminution aux États-Unis et au Canada et une augmentation en Asie du Sud-Est, dans les pays nordiques et en Amérique latine.

https://betanews.com/2023/06/07/cyber-extortion-activity-reaches-new-highs/

https://www.orangecyberdefense.com/global/white-papers/cy-xplorer-2023

Une nouvelle plateforme de sécurité edge (SSE) _ Publié le 08/06/2023 : Cisco annonce la création d’une nouvelle plateforme de sécurité edge (Security Service Edge ou SSE). L’occasion de rappeler l’intérêt de cette solution qui vient renforcer la sécurité des applications en permettant aux entreprises de connecter de manière sécurisée à des ressources en périphérie, notamment des applications edge, privées et SaaS. Cette solution offre une gamme complète de fonctionnalités de sécurité, telles que l’accès réseau Zero-Trust Network Access (ZTNA), la passerelle web sécurisée (Secure Web Gateway, SWG) et le courtier de sécurité d’accès au cloud (Cloud Access Security Broker, CASB). De plus, un service Multicloud Defense a été annoncé pour protéger les charges de travail dans les environnements cloud.

https://www.lemondeinformatique.fr/actualites/lire-avec-networking-cloud-cisco-veut-unifier-la-gestion-du-reseau-90652.html