Bonjour à toutes et à tous,
Nous nous retrouvons ce mois-ci avec une actualité toujours aussi chargée à vous partager. Les techniques de piratage sont toujours plus sophistiquées et la menace, comme vous pourrez le constater dans ces lignes, ne s'arrête pas à l'extérieur de nos frontières.
Heureusement, la lecture attentive des articles que nous vous proposons vous permettra à la fois d'en apprendre plus sur les méthodes utilisées par les pirates mais aussi et surtout de vous sensibiliser aux bons gestes d'hygiène de cybersécurité, gestion des mots de passe en tête !
Une fois n'est pas coutume, nous analysons dans cette édition un phénomène du web qui, s'il n'est pas directement lié à la cybersécurité, peut avoir des impacts significatifs sur notre vision de la réalité…
Bonne lecture,
Christophe Borry
CISO (Chief Information Security Officer) du Crédit Agricole Pyrénées Gascogne
Cette pratique se généralise en raison de la facilité d'exécution entre chaque compte, la rapidité du rappel d'un mot de passe connu et ne nous le cachons pas, un petit peu de paresse ;).
Choisir un mot de passe unique pour chaque site.
Le risque majeur de réutiliser ses mots de passe sur plusieurs comptes, c'est que si l'un des sites sur lequel un utilisateur est inscrit se fait pirater alors tous les autres comptes de celui-ci sont menacés, les pirates vont méthodiquement essayer de tester ce sésame sur tous les sites connus…
Les cybercriminels connaissent les habitudes des internautes et savent, en s'emparant des identifiants d'un utilisateur, qu'il y a une forte probabilité qu'ils puissent arriver à pirater d'autres comptes de leur victime potentielle.
La règle est simple et immuable : Un compte = Un mot de passe unique et robuste
De l'hygiène des mots de passe :
Se constituer une stratégie de mot de passe est la première des étapes. A cette fin vous devez en premier lieu vérifier si vos précieux sésames n'ont pas déjà été subtilisés.
Le site « Have i Been pwned? » qui répertorie méthodiquement l'ensemble des fuites de données connues, vous permet de savoir si votre adresse mail est apparue dans celles-ci. Il vous suffit d'y saisir votre adresse mail pour savoir si elle a été compromise et si vos mots de passe peuvent avoir été potentiellement récupérés.
Si c'est le cas, il convient de procéder à un changement systématique de tous les mots de passe attachés à ce mail et d'en générer de nouveaux.
Chercher et remplacer les doublons
Ensuite il convient de s'astreindre à remplacer les mots de passe que vous réutilisez pour en faire des clés uniques pour chaque site sur lesquels vous détenez un compte. C'est le passage obligé pour limiter le risque de propagation en cas de fuite.
Vos meilleurs amis, les gestionnaires de mots de passe
En dehors de l'astuce qui consiste à suffixer au mot de passe un identifiant pour chaque site (FB pour facebook, IG pour instagram, …), pour pallier l'énorme tâche de création et de mémorisation de mots de passe complexes et uniques, votre meilleur allié peut être le gestionnaire de mots de passe.
Celui-ci fonctionne comme un coffre-fort électronique qui va stocker de façon sécurisée vos sésames et vous permettra d'y accéder à tout moment pour les utiliser au moment opportun.
Le gros avantage de ces logiciels, c'est qu'en général ils disposent d'outils pratiques pour générer des mots de passe complexes. Ainsi une fois ce type d'applications installées sur votre ordinateur, tablette, smartphone… Celui-ci s'occupe de tout : il génère des mots de passe lorsque vous vous enregistrez pour un nouveau service, ou s'occupe de saisir pour vous un mot de passe complexe qu'il a stocké précédemment pour un compte que vous détenez déjà.
Un mot de passe pour les gouverner tous
La sécurité de ces logiciels se fait au travers d'un mot de passe que nous vous conseillons de rendre le plus complexe et unique possible (ce sera le dernier et seul à retenir).
En 2020, 4 personnes sur 10 estiment qu'il est plus important d'avoir un mot de passe facile à retenir qu'un mot de passe sécurisé… La route est encore longue !
 |
|
Le géant de l'informatique dont le système d'exploitation Windows truste le marché de l'informatique tant dans le domaine professionnel que domestique, a été victime d'une attaque visant son client de messagerie à destination des professionnels : Microsoft Exchange.
Ce logiciel de messagerie utilisé par des centaines de milliers d'entreprises à travers le monde a donc été visé dans le but de pouvoir récupérer les données des utilisateurs.
Les pirates ont pu exploiter plusieurs failles « zero days » du logiciel (faille non encore découverte par l'éditeur du logiciel). Ces brèches (au nombre de 4) ont permis aux cybercriminels de pouvoir accéder librement à des informations concernant des milliers d'entreprises…
Les premiers constats font état de plus de 30000 entités touchées (administrations et entreprises), mais ce chiffre pourrait être largement en deçà de la réalité.
Les attaques par rebond :
Si les Etats-Unis semblent avoir été principalement visés, d'autres organisations dans le monde ont été également touchées. C'est le cas par exemple de l'Autorité Bancaire Européenne en France (dont les bureaux sont installés à Paris La Défense) qui a déclaré le 7 mars dernier avoir été ciblée au cours de cette attaque. Ses serveurs de messagerie Exchange ont pu être consultés par les pirates. Les dégâts sont en cours d'analylse au moment où nous écrivons ces lignes.
Comme nous l'avions évoqué pour le cas du piratage de SolarWinds, les pirates ont désormais compris l'intérêt de cibler dans leurs attaques des entreprises technologiques qui disposent d'un confortable portefeuille de clients à travers le monde, ainsi la surface d'attaque devient exponentielle. (Voir aussi l'article « ça n'arrive pas qu'aux autres » de cette édition).
Usual suspect…
La Chine est une nouvelle fois pointée du doigt. Il s'agirait en effet d'un groupe de cyber espionnage chinois, dénommé Hafnium selon les dirigeants de Microsoft.
Ce groupe basé en Chine mais disposant de serveurs sur le sol américain a déjà sévi par le passé dans le territoire de l'oncle Sam en ciblant de nombreuses entreprises américaines.
Tom Burt, dirigeant de Microsoft a indiqué le 02 mars que des correctifs avaient été mis en place pour résorber les brèches à l'origine de l'attaque. Il encourageait vivement les clients à effectuer sans tarder les mises à jour proposées.
Conseil :
La messagerie est un point central de votre vie numérique, en ce sens elle est susceptible d'être ciblée par les pirates. Rappelez-vous que ce n'est pas un espace de stockage, il ne faut pas y garder des informations importantes (mots de passe, documents privés…, pensez à purger régulièrement les éléments envoyés). Si celle-ci est piratée c'est une porte ouverte sur votre vie, vos contacts, vos documents. Soyez prudents.
Pour faire écho à l'attaque visant le logiciel de messagerie de Microsoft, qui a été le vecteur d'entrée pour récupérer des milliers de données utilisateurs parmi les centaines de milliers de clients du géant américain, c'est cette fois-ci sur le territoire français que les pirates ont sévi, utilisant la même technique que dans l'affaire précitée.
Cette fois-ci le vecteur d'attaque a été le logiciel français de supervision informatique Centreon. Si cette information a été divulguée par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) le 15 février, il s'agit dans les faits d'une attaque au long cours qui a infecté les serveurs des victimes depuis 2017. Cette infiltration a pu être réalisée grâce à deux « portes dérobées » (failles informatiques) existante au sein du logiciel destiné à la gestion des réseaux informatique et à la supervision des applications.
Centreon compte parmi ses clients des grandes organisations françaises comme Total, Airbus, le Ministère de la Justice, EDF, Thales… Les répercussions de l'exploitation des vulnérabilités de ce logiciel pourraient être particulièrement préoccupantes, mais l'éditeur de cette solution de gestion a indiqué dans un communiqué du 16 février qu'aucun de ses clients n'avaient à sa connaissance été de quelque façon que ce soit, touchés par ce piratage.
L'entreprise précise que si danger il y a, celui-ci réside essentiellement dans la version gratuite et open source de son logiciel qui n'est plus supportée depuis 5 ans (pas de mise à jour).
L'ANSSI a indiqué également que l'attaque présentait de nombreuses similitudes avec les actions du groupe de hackers Russes du nom de Sandworm déjà connus pour leurs faits d'armes dans d'autres attaques.
Un démenti franc et massif de la Russie
Le Kremlin a aussitôt réagi en démentant toute implication de la Russie dans cette attaque en relevant toute l'absurdité de ces accusations.
Pourtant le groupe Sandworm supposément identifié par l'ANSSI (selon la méthode d'attaque) a été associé en octobre dernier par la justice américaine à l'unité 74455 de la Direction du Renseignement Russe le GRU…
Bien entendu, Moscou qui a pour habitude de démentir méthodiquement toute forme d'accusation relative au cyberespionnage, a déclaré par l'intermédiaire du porte-parole du Kremlin Dmitri Peskov : « La Russie n'a jamais eu, n'a pas, et ne peut avoir le moindre rapport avec la cybercriminalité quelle qu'elle soit »…
Cette attaque n'est pas sans rappeler celle de Solarwinds, le logiciels Orion de Solarwinds propose de façon assez similaire des fonctionnalités identiques à Centreon et tous deux ont servi de vecteur d'attaque par rebond dans le but de pirater leurs entreprises clientes. Espérons que les conséquences de cette découverte française soient moins désastreuses que l'attaque américaine.
Une fois n'est pas coutume, nous avons l'habitude de relater dans cette rubrique, des cas de fraudes d'arnaques ou de tentatives d'intrusions survenues auprès de nos clients. L'idée étant de sensibiliser nos lecteurs à la réalité des risques qui se trouvent si proches de nous. Or c'est sur notre territoire qu'une attaque significative s'est produite en ce début du mois de mars et sa particularité c'est que la victime n'est pas une entreprise quelconque, il s'agit d'un hôpital…
C'est donc le lundi 8 mars que nous apprenions la terrible nouvelle d'une attaque sur un hôpital de notre territoire, précisément au centre hospitalier d'Oloron Sainte-Marie dans les Pyrénées-Atlantiques.
La découverte en début d'après-midi ce lundi-là d'une activité anormale sur les flux sortants du Système d'Information de l'hôpital a alerté immédiatement l'ingénieur en charge de l'infrastructure informatique Rémi RIVIERE qui, réagissant rapidement a pris les mesures nécessaires.
Cependant le mal était fait et les attaquants s'étaient déjà emparés du système.
Une rançon de 50 000$
C'est un virus de type Rançongiciel (Ransomware) qui a paralysé l'informatique du centre hospitalier. Le logiciel pirate, une fois présent dans le système, rend illisibles l'ensemble des données en les cryptant. Vient ensuite la demande de rançon de la part des pirates qui promettent de révéler la clé de déchiffrement pour pouvoir récupérer l'ensemble des données.
Bien évidemment les victimes n'ont aucune certitude sur le fait que les pirates respectent leurs promesses. La conduite à tenir dans ces situations est de ne surtout pas payer.
Les conséquences sont lourdes pour le centre hospitalier, en attendant de rétablir la situation, les 600 employés sont obligés de travailler « à l'ancienne » armés de papier et de stylos, mais le plus préoccupant est que sans informatique certaines opérations pourraient même être retardées…
C'est un constat malheureux mais la propension des pirates à cibler le secteur de la santé ces derniers mois est toujours aussi inquiétant, comme nous en parlions par exemple avec le piratage de l'application DoctoLib.
Déjà début février un autre hôpital du Sud-Ouest, celui de Dax, était ciblé de la même façon par un ransomware, et la récente découverte d'une fuite de données santé de près de 500 000 personnes également en ce début d'année confirme l'attrait persistant de cette cible pour les pirates.
Ceux-ci espérant peut-être qu'en présence d'enjeux de santé, les victimes seraient plus promptes à payer les rançons. Reste que les conséquences sanitaires de ce type d'attaque mettent en balance des vies humaines ce qui est particulièrement préoccupant.
Définition Wikipédia : Le deepfake, ou hypertrucage, est une technique de synthèse d'images basée sur l'intelligence artificielle. Elle sert à superposer des fichiers audio et vidéo existants sur d'autres vidéos (par exemple : le changement de visage d'une personne sur une vidéo). Le terme deepfake est un mot-valise formé à partir de deep learning (« apprentissage profond ») et de fake (« faux »).
Un peu d'histoire…
A l'origine, de ce phénomène nous trouvons une technique inventée en 2014 par Ian Goodfellow chercheur en informatique. Cette technologie dénommée GAN pour Generative Adversarial Networks (Réseaux Antagonistes Génératifs) est construite à base de réseaux de neurones artificiels dont la puissance de calcul permet de générer des contenus hautement réalistes. Concrètement cette technique combine deux algorithmes qui sont mis en compétition. Le premier dit Réseau Générateur produit des images de contrefaçon aussi réalistes que possible en se basant sur des données existantes. Le second dit Réseau Discriminateur vérifie l'authenticité des images créées par le Réseau Générateur et traque les erreurs (les faux).
C'est cet apprentissage combiné qui permet au Réseau Générateur d'apprendre et d'améliorer au fur et à mesure ces simulations en créant des clones d'images de plus en plus parfaites, en produisant le moins d'erreurs possibles découvrables par le Réseau Discriminateur.
Deepfake Audio & Deepfake Vidéo :
Cette technologie qui utilise le Deep Learning comme moteur d'apprentissage en utilisant l'intelligence artificielle, a vu ses premières applications en 2017. C'est cette année là où un utilisateur du réseau social Reddit nommé « Deepfakes » a posté des fausses vidéos à caractère pornographique mettant en scène le visage de célébrité en lieu et place des vraies actrices. Les premières dérives commençaient donc à se faire jour.
Par la suite sont apparues de nouvelles applications mobiles et autres filtres sur les réseaux sociaux qui ont apporté cette technologie au plus grand nombre.
Une utilisation plus marginale de cette technologie car plus complexe à mettre en œuvre, réside dans la reproduction audio de la voix d'un individu, c'est le Deepfake Audio.
Moins facile d'accès, ce procédé permet de dupliquer la voix d'un individu mais nécessite une énorme quantité de données (d'enregistrements) de la voix de la personne dont on souhaite « cloner » la voix.
De l'utilité des Deepfakes…
Cette technique révolutionnaire peut trouver des usages évidents dans l'industrie audiovisuelle. Certains studios de cinéma s'en servent régulièrement pour apposer une image rajeunie d'un acteur dans la force de l'âge pour filmer une scène se passant dans sa jeunesse, ou bien pour faire jouer un acteur ou une actrice disparue… Récemment les producteurs de la série « Plus belle la vie » ont dû user de ce stratagème pour « remplacer » une de leurs actrices (cas contact Covid) dans un des épisodes de la saga de France 3.
Depuis peu un site de généalogie propose à ses abonnés de faire « revivre » les photos de leurs ancêtres disparus en utilisant les possibilités de cette technique. A l'aide d'une simple photo le logiciel anime le portrait que l'on lui soumet et le sujet semble prendre vie en esquissant quelques mouvements de visage, c'est assez surprenant !
… aux risques qu'ils représentent
Dans la récente actualité, le « Buzz » de fausses vidéos de Tom Cruise sur le réseau social TikTok passées à la moulinette des Deepfakes a relancé le débat et remis en perspective les dangers de leur utilisation.
Les dérives des deepfakes seront de plus en plus nombreuses : Désinformation, manipulation, harcèlement et humiliation, ingénierie sociale... Tout autant d'usages pervertis de cette technologie qui pourront avoir des impacts sur notre vie numérique.
Si l'on prend par exemple les Deepfakes audio, ceux-ci ont été utilisés à plusieurs reprises pour la mise œuvre de « fraudes au président », comme par exemple en 2019 où les pirates s'en sont servis pour duper les collaborateurs d'une grosse entreprise allemande. Ils ont usé de cette technologie pour imiter la voix du CEO de cette entreprise et effectuer des virements frauduleux.
Les Deepfakes peuvent également générer la désinformation, en court-circuitant les discours d'une personnalité ou d'un dirigeant politique en pervertissant leurs discours.
Enfin, et c'est tout aussi préoccupant, cette technologie est très populaire chez les jeunes. Utilisée via les réseaux sociaux et les applications de messagerie instantanées qui propose des options de « faceswapping » (application pour échanger des visages), celle-ci pourrait conduire à des la création de vidéos truquées de pauvres victimes qui subiraient ce harcèlement numérique…
Comment s'en protéger ?
Il est de plus en plus difficile de démêler le vrai du faux, les grands acteurs d'internet travaillent à créer des outils de détection à l'image de Google qui a pris le problème très au sérieux. Pour autant, voici quelques indices qui peuvent vous aider à identifier les fausses vidéos :
Les variations de lumière d'une image à l'autre : la plupart des Deepfake utilisent une séquence réelle sur laquelle les faussaires viennent incruster le visage truqué ainsi il peut souvent y avoir des différences d'éclairage entre le corps et le visage.
La synchronisation des mouvements : là aussi même si la technique évolue on note souvent de léger décalage entre le discours et le mouvement de lèvres.
La pigmentation de la peau du sujet : Comme pour la lumière, des différences sensibles peuvent être remarquées à la jonction du faux visage et de la tête sur laquelle il est incrusté
Les yeux : Les clignements sont également un bon indice, car ils peuvent certaines fois être complétement absents ou très mal reproduits.
En résumé, plus que jamais, restez vigilants et sceptiques, le questionnement sera toujours la meilleure arme contre les contrefaçons !
