Bonjour à tous,
Les récents événements nous ont montré que les choses vont très vite, qu'il est de plus en plus nécessaire d'être en mesure de s'adapter avec diligence aux changements profonds qui peuvent se présenter à nous.
Nous avons dû nous réinventer, revoir nos modes de travail, de déplacement, d'approvisionnement. Cette période transitoire nous a bousculé, elle nous a éprouvé pour beaucoup et a pu dans certains cas ébranler nos certitudes.
Cette crise sanitaire qui s'accompagne d'une réévaluation des priorités ne doit pas se faire au détriment des risques Cyber.
De nouvelles menaces opportunistes apparaissent. Les pirates n'hésitent pas à profiter des événements pour capitaliser sur nos préoccupations. Ils ont su vite s'adapter comme vous allez pouvoir le constater dans cette édition.
Plus que jamais soyons vigilant pour nous protéger de ces risques qui eux ne sont malheureusement jamais confinés.
Bonne lecture,
Christophe Borry
CISO (Chief Information Security Officer) du Crédit Agricole Pyrénées Gascogne
Un malware est un virus informatique qui, une fois installé sur votre poste de travail, votre tablette ou tout simplement votre smartphone, sera en mesure de traiter un certain nombre d'informations personnelles voire même de les modifier à votre insu.
Concernant les malwares bancaires, ceux-ci sont spécialisés dans le traitement et l'exploitation des informations bancaires afin de se substituer aux utilisateurs en récupérant leurs identifiants et en réalisant des opérations financières à leur place.
Les vecteurs d'infection :
Quelque soit le type d'objet, leurs points communs sont la collecte, le traitement et l'analyse des données qu'ils sont amenés à collecter. Que ce soit dans le domaine de la santé (bracelets connectés, balances, brosses à dents…), de la domotique (la maison connectée est gourmande en objets connectés de toute sorte : ampoules, serrures, alarmes, thermostats…) ou bien des loisirs (montres GPS, casques, mobilité…), tous ces appareils disposent d'informations très personnelles sur vous, vos habitudes, votre style de vie…
Ces données doivent être protégées afin de ne pas tomber entre les mains de personnes peu scrupuleuses qui découvriraient à coup sûr une façon lucrative de les utiliser !
Quelles précautions prendre ?
Sur l'ordinateur :
Le plus souvent ce type de malware infecte votre poste de travail à l'aide de mails de type phishing ou de spams qui font référence à un problème précis (facture due, commande bloquée, paiement carte refusée.). Certains antivirus les détectent et les bloquent d'autres passent au travers des mailles du filet. Ces malwares sont généralement identifiés par une référence « Trojan » (Chevaux de Troie) dans leur intitulé.
Sur le smartphone :
Là aussi, cliquer sur un lien vers un site frauduleux ou télécharger une pièce jointe peut avoir des graves conséquences, mais le vecteur d'infection le plus dangereux est le téléchargement d'applications. Selon l'éditeur de logiciels de protection McAfee les fausses applications représentent à elles seules 50% de l'activité malveillante sur l'année 2019.
Ces applications imitent à la perfection des applications légitimes (Comme WhatsApp, Facebook, Spotify.) en reprenant leur logo et leurs icônes pour tromper leurs utilisateurs, mais leur but est de collecter des données personnelles. Elles sont souvent proposées hors des boutiques d'applications de nos smartphones (AppStore pour Apple et PlayStore pour Android). Mais peuvent également tromper les validations des stores officiels et se retrouver disponibles au milieu d'applications elles, légitimes.
Un nouveau malware a été découvert courant avril par des chercheurs en sécurité, celui-ci dénommé Even Bot a la particularité de cibler les données bancaires des utilisateurs Android en prenant là aussi la forme d'une application légitime... Une fois installé, le logiciel frauduleux demande des dizaines d'autorisations à l'utilisateur et peut ensuite s'introduire dans les comptes bancaires et ainsi voler des fonds.
Que faire ?
Le premier conseil est de toujours être vigilant avant de télécharger une application quelle qu'elle soit, il faut toujours être sceptique et ne pas hésiter à comparer les applications similaires pour ne pas se tromper :
- Le nombre d'installations peut être un indice, une application peu téléchargée doit vous alerter.
- Les notes des utilisateurs donnent une bonne tendance mais c'est surtout le retour d'expérience présent dans les avis postés qui vous aideront dans le choix de télécharger ou non une application dont vous n'êtes pas sûr.
- En cas de doute sur une application déjà présente sur votre smartphone ou votre PC, vous devez vérifier que votre antivirus est à jour (il en existe également pour les smartphones) et faire un scan de votre appareil. Il est également nécessaire de modifier votre mot de passe à partir d'un autre ordinateur.
 |
|
Les adaptations nécessaires que nous avons connues pour faire face à l'épidémie de Covid-19, ont entrainé l'ensemble du territoire dans un long confinement où il a fallu très vite s'adapter à la mise en place du télétravail pour le plus grand nombre.
Dans ce contexte, l'utilisation de plateformes collaboratives s'est avérée souvent indispensable pour permettre la communication entre les millions de salariés confinés chez eux et leurs collègues.
Au milieu d'une offre assez large, une application s'est très vite imposée comme référence pendant ce confinement pour les échanges en visioconférence, l'application ZOOM.
ZOOM, victime de son succès ?
Cette application est devenue populaire en raison de sa simplicité d'usage, sa version gratuite efficace et l'avantage de pouvoir converser avec jusqu'à 100 personnes. Ces atouts et les besoins grandissants de l'usage de la vidéo en télétravail ont propulsé le logiciel dans le top 3 des applications les plus téléchargées pendant le confinement.
Méconnue avant la crise sanitaire, cette application créée en 2011, totalisait un solide portefeuille de 10 millions d'utilisateurs actifs au mois de février. Avec la mise en place du confinement le 17 mars, celle-ci a connu une progression fulgurante en passant à plus de 200 millions d'utilisateurs dès la fin du premier mois de confinement !
Son usage s'est même étendu à la sphère privée en offrant la possibilité aux utilisateurs d'organiser des réunions familiales, de suivre ou d'animer des cours en ligne (sport, bricolage...), des concerts.
Bien entendu ce succès a attiré rapidement les cybercriminels qui ont exploité de nombreuses failles du logiciel.
De la confidentialité au Zoom-Bombing
Les premiers errements constatés provenaient d'un scandale apparu il y a quelques années qui concernait la possibilité pour des pirates de pouvoir accéder aux webcams des utilisateurs de Zoom bien évidemment sans leur consentement. Mais le problème principal que pose Zoom est la confidentialité. La simplicité effective de l'application permet de se connecter avec un simple lien sans toutefois avoir besoin de s'identifier, cela pose bien entendu des problèmes évidents cela veut dire que n'importe qui peut s'inviter dans une réunion dans la mesure où il récupère le lien d'invitation.
D'un autre côté, suite aux révélations faites par The Intercept fin mars, la sécurisation des échanges a été mise en doute. Le chiffrement des échanges sur ce type de média nécessite un chiffrement de bout en bout (même si l'on arrive à récupérer les échanges ceux-ci sont cryptés).
Pour ce qui concerne Zoom, les échanges s'appuient sur le chiffrement TLS standard, ce qui revient à dire que les données sont bien chiffrées lors du transfert (donc indéchiffrables en cas d'interception) mais le problème c'est qu'elles sont accessibles en clair sur les serveurs de l'entreprise, et ainsi potentiellement visibles par les collaborateurs de Zoom ou par des pirates qui arriveraient à prendre le contrôle de ces serveurs. C'est pourquoi aujourd'hui les dirigeants de Zoom ont entrepris de racheter une entreprise spécialisée dans le cryptage afin de mettre en place un chiffrement de bout en bout pour son logiciel.
Un autre écueil est la généralisation du « Zoom-Bombing », cette pratique consiste à intervenir dans les réunions où l'on n'est pas invité, pour s'insérer et espionner les discussions en cours, ou bien dans le but de parasiter ces réunions par exemple en partageant des images choquantes.
On le voit bien ici, la simplicité n'est pas toujours synonyme de sécurité !
C'est le jeudi 30 avril que le célèbre quotidien français le Figaro a reconnu publiquement avoir par erreur laissé en accès libre une base de données contenant des informations personnelles.
La découverte par les chercheurs en cybersécurité de SafetyDetectives a contraint le journal à communiquer sur cette bévue qui exposait ses données sur le net.
Le serveur où étaient conservées les données était en effet accessible seulement par son adresse IP, aucun mot de passe n'était nécessaire !! Ce sont donc potentiellement 8 Téraoctets de données qui étaient disponibles aux vues de tout le monde si l'on savait où chercher.
Une faille inexploitée ?
Etaient présents sur le serveur les logs relatifs aux différents sites du Figaro sur les trois derniers mois. Le problème principal c'est que ces données étaient également composées des informations personnelles de connexions des nombreux internautes abonnés aux sites internet du Figaro.
Noms et prénoms, mails, adresses postales, adresses IP voire les mots de passe (c'était le cas dans le cadre d'une nouvelle inscription, le mot de passe figurait en clair dans les logs). Cela concernait les 40000 nouveaux utilisateurs inscrits entre février et avril dont les données personnelles étaient ainsi disponibles à la vue de tous. Cette brèche a été essentiellement exposée entre le 08 et le 28 avril 2020.
Le journal, dans son communiqué du 30 avril a indiqué qu'aucune fuite de données n'a été constatée suite à cette faille.
Une migration de serveur.
Selon les explications du quotidien, cette faille potentielle aurait été permise à l'occasion de la migration d'un serveur dans le cadre d'une opération de maintenance. Dès qu'elle a eu connaissance de la faille, la direction a mis en place les mesures nécessaires afin de corriger immédiatement cette brèche et a déclaré l'incident auprès de la CNIL (Commission Nationale Informatique et Liberté) comme l'exige la réglementation en vigueur.
Le Figaro a prévu dans un deuxième temps de prendre contact avec les utilisateurs afin de présenter des excuses et rassurer ceux-ci sur la non-divulgation de leurs informations.
Des informations de valeur ?
Si ce type d'information n'avait pas a priori de valeur marchande propre, elles représentent une petite mine d'or pour n'importe quel hacker qui souhaiterait élaborer une attaque ciblée sur les propriétaires de ces données. Les identifiants par exemple sont souvent (et c'est un tort !) réutilisés par les internautes sur d'autres sites, des pirates en possession de ceux-ci et surtout des informations d'identités relatives aux personnes les utilisant pourraient tenter d'accéder à d'autres comptes comme la messagerie personnelle ou les réseaux sociaux. Sans parler des données personnelles, qui servent des scénarios de phishing ou d'ingénierie sociale...
Les pirates redoublent d'imagination ! C'est ce que nous pouvons constater depuis plusieurs mois avec l'augmentation des tentatives de fraudes par Sms comme en témoigne ce sms reçu par l'une de nos clientes début avril :
Ce type de sms est qualifié de « smishing » (contraction des mots « sms » et « phishing »), son but est de tromper la vigilance de la personne qui reçoit le message afin que cette dernière suive le lien de remboursement et donne ses informations bancaires qui une fois récupérées serviront aux pirates à vider le compte de leur victime.
Fort heureusement notre cliente a su être vigilante et ne pas donner suite.
Notre conseil : Si vous recevez un sms de ce type (par exemple de votre fournisseur d'énergie), et que vous avez un doute, il vous suffit pour vérifier l'information reçue, d'aller vous-même sur le site de l'expéditeur (sans cliquer sur le lien présent dans le message).
Le confinement a provoqué de brusques changements dans nos modes de vie. En un temps record, l'ensemble de la population s'est vu contraint de rester à la maison et de se créer de nouveaux rythmes, de nouvelles façons de vivre.
Le recours massif au numérique pour occuper notre temps libre a été une aubaine pour les pirates. En augmentant de façon substantielle, la consommation digitale a mécaniquement augmenté la surface d'attaque et donc le nombre de victimes potentielles des hackers.
Effet notable de la crise sanitaire, les pirates ont profité des craintes liées au coronavirus pour adapter leurs scénarios au contexte de peur et d'incertitude de la situation.
Le chiffre parle de lui-même. L'éditeur en Sécurité Barracuda Networks estime dans un rapport produit en avril qu'au mois de mars, les attaques de phishing ont augmenté de 667% par rapport au mois de février de cette année.
Cette hausse spectaculaire des attaques que nous avons également pu constater auprès de nos clients et sur nos territoires pendant cette période, témoigne de cette réalité.
Nous avons donc décidé de vous présenter une sélection de différents types d'attaques que nous avons pu rencontrer ces dernières semaines.
Fausses attestations
Avec les nouvelles obligations et règles liées au confinement, de nombreux sites se sont multipliés pour permettre la création des attestations de déplacement dérogatoire à imprimer.
Le problème c'est que ces sites pouvaient en profiter au passage pour récupérer vos données personnelles. Le but étant de pouvoir ensuite marchander ces informations. Il faut savoir que sur les marchés parallèles des informations précises d'identité se négocient à prix d'or car elles servent à pouvoir monter des opérations de spams publicitaires ciblées ou bien pour alimenter des campagnes de phishing.
Ce mode de récupération « silencieux » des données est parfaitement indolore puisque au final l'utilisateur ne prend pas conscience qu'il se fait siphonner ces informations. Pour ne pas prendre de risque, il était bien entendu impératif de passer par le site du ministère de l'Intérieur.
Chantage à la webcam
Comme nous le rappelions dans notre article sur Zoom, nous ne nous sommes jamais servi autant de nos webcams pour communiquer que pendant cette crise sanitaire.
Effet de bord de l'usage intense des vidéo-conférences, le retour en force de la bien connue arnaque à la webcam.
Le principe ? L'internaute reçoit un email où l'expéditeur déclare avoir piraté sa webcam et l'avoir filmé à son insu avant d'exiger une rançon en bitcoin pour ne pas dévoiler les images à tous ses contacts. L'effet est souvent anxiogène, même si la potentielle victime n'a rien à se reprocher.
Bien entendu il ne s'agit que de bluff, ces affirmations sont complètement fausses et ne visent qu'à faire paniquer la victime pour l'inciter à payer, les pirates misent sur la peur pour piéger les internautes avec cette escroquerie.
Arnaques aux colis
La fermeture obligatoire de nombreux commerces non alimentaires a conduit la population à se tourner massivement vers les commandes en ligne. Là aussi cette croissance n'a pas échappé aux pirates qui ont adapté les mails de phishing en conséquence. C'est pourquoi de nombreuses campagnes de phishing qui ciblent les usagers de La Poste sont apparues.
Il s'agit souvent d'un sms d'information sur des problèmes concernant la réception d'un colis et contenant un lien dirigeant vers un faux site de La Poste où la victime doit saisir ses coordonnées personnelles ou bancaires pour se faire rembourser. Bien évidemment tout est faux et ces informations seront ensuite exploitées à des fins scrupuleuses.
Achat de masques
Kits de dépistage, gels hydro-alcooliques, masques. Ces articles se sont retrouvés très vite au centre de toutes les discussions dans le courant du mois de mars. Face à la pénurie et aux « Fake News » qui ont contribué à accentuer le climat de doute, les arnaques se sont aussi multipliées pour vendre en ligne des produits non homologués souvent de provenance et d'efficacité douteuse voire n'existant même pas. La plus connue est un faux mail du Ministère de la Santé proposant un « kit de confinement » distribué gratuitement sous réserve que l'utilisateur fournisse, là aussi, ses données personnelles ainsi que ses coordonnées bancaires. Nous vous laissons deviner la suite.
Faux sites de streaming
Les services de diffusion de média en ligne comme Netflix, MyCanal, Amazon Prime Vidéo ont permis à beaucoup de Français de tromper leur ennui pendant les longues heures passées à la maison ces dernières semaines. C'est l'occasion qu'ont saisi des hackers qui ont bien senti l'envolée des inscriptions à ces sites.
Pour se donner une idée du phénomène voici quelques chiffres : le nombre des abonnés de Netflix a bondi de 16 millions entre le mois de mars (début du confinement) et le mois d'avril. Les Français ont reconnu, pour 72% d'entre eux, que le confinement a été la raison principale de leur souscription à un service de streaming par abonnement.
Les pirates profitent régulièrement de la popularité du plus emblématique de ces services, Netflix, qui représente plus de 70% des abonnements en France. Le confinement n'a pas échappé à la règle.
Surfant sur la vague massive des souscriptions au service américain de streaming, les pirates ont créé une campagne ciblée avec envoi de mails de phishing reprenant fidèlement l'identité visuelle du site et proposant la gratuité de visionnage pendant toute la durée du confinement. Un lien présent renvoyait vers un faux site : netflix-usa.net lui aussi assez réaliste.
Une fois l'internaute inscrit bien entendu le piège se referme, des informations communiquées ont été récupérées et seront exploitées plus tard.
