Edito

Bonjour à toutes et à tous,

A l’aube de la période estivale, nous vous proposons pour cette édition de juin un nouveau florilège de cas concrets de cyberattaques survenues ces dernières semaines.

Avant de profiter de vacances très certainement bien méritées (et nous vous le souhaitons, hors de chez vous), prenez quelques minutes pour consulter nos articles afin de vous informer sur les derniers risques en date.

Vous retrouverez notamment les vidéos thématiques qui ont été mises en ligne sur notre nouveau site Sécurité ainsi qu’un article sur le nouveau phénomène des NFT beaucoup médiatisé ces derniers mois et dont nous décortiquons le fonctionnement dans cette édition.

Bonne lecture,

Christophe Borry

CISO (Chief Information Security Officer) du Crédit Agricole Pyrénées Gascogne

 

BON À SAVOIR

Si vous êtes fidèles lecteurs de notre newsletter, vous le savez : la sensibilisation est un des axes forts de notre démarche d’accompagnement de nos clients face aux nouveaux risques en cybersécurité.

A cette fin nous avons mis en ligne une nouvelle version de notre espace sécurité au début de ce mois. Ce nouvel espace dédié à la cybersécurité et à la lutte contre la fraude, bénéficie de nombreux articles et vidéos pour vous aider et vous informer sur les démarches et astuces pour se prémunir de ces dangers.

Ce site regroupe un certain nombre d’outil et de services afin de répondre à vos questions et de vous accompagner en cas de fraudes ou d’escroquerie en ligne.

Ainsi, des vidéos que nous vous proposons de découvrir aujourd’hui et qui ont été mises en ligne pour expliquer de façon simple et claire les différents types de risques.

Bon visionnage ;)

 

 

 

 

PHISHING

Hameçonnage en français

Comment ne pas mordre à l’hameçon ?
 

 

 

 

VISHING

Combinaison de Vocal et de Phishing.
En français : hameçonnage par téléphone.

Méfiance en cas d’appel douteux
 

 

 

 

MALWARE

Maliciel en français, contraction de logiciel et malveillant

Protégez vos appareils connectés
 

 

 

 

ACHATS EN LIGNE

Les bonnes pratiques pour acheter sur internet en toute sécurité

 

 

 

QUIZ

Testez vos connaissances sur la protection de la fraude
 

INDICATEURS SÉCURITÉ

 

  • 92 % des logiciels malveillants sont livrés par courrier électronique
  • 17 700 $ sont perdus chaque minute en raison d'attaques d'hameçonnage.
  • 66% des intrusions sont causées par la négligence d’un employé
  • 2,3 millions de $ C’est le coût de l’attaque de phishing à l’encontre du district scolaire du Texas.

EVÉNEMENTS

 

  • 24 juin / Tour de France de la cyber sécurité 2021 / Dijon
  • 28 juin / Hack à Paris / Paris
  • 29 juin / Les Rencontres Cybersécurité d'Occitanie  / Toulouse
  • 6 juillet / 18e conférence internationale sur la Sécurité et la Cryptographie / Paris


C'EST ARRIVE AILLEURS
Apple se fait voler des secrets industriels

La société taiwanaise Quanta qui assemble les appareils électroniques de nombreuses grandes marques dont nombre de produits phares d'Apple comme les MacBooks, a fait l'objet d'un piratage par un groupe de hackers russes nommé REvil.

Le groupe REvil :

Le groupe REvil (pour Ransomware Evil) est notamment connu par ses précédents faits d’armes comme plusieurs attaques sur des entreprises très connues. Ils ont tenté de rançonner des sociétés comme Tata Steel, Asteelflash ou encore Acer. Le logiciel que ce groupe utilise, Sodinobiki est un ransomware (rançongiciel) qui est apparu pour la première fois en avril 2019 et a récemment infecté les serveurs du groupe pharmaceutique Pierre Fabre.

Ces pirates sont arrivés à mettre la main sur de nombreux documents relatifs à l’assemblage des futurs produits d’Apple tenus secrets jusqu’alors. La faille informatique ainsi utilisée les a conduits à menacer la société Quanta de diffuser ces documents sensibles, si celle-ci ne versait pas une rançon de 50 millions de dollars.

Afin de prouver leur méfaits, les pirates ont immédiatement publié en ligne des documents relatifs à des schémas de montage d’appareils Apple, en particulier des plans de MacBook à ce jour inconnus.

Comme la société Quanta a refusé de payer et de se soumettre aux desiderata des pirates, ceux-ci ont décidé dans un deuxième temps de s’adresser directement à Apple dont la divulgation des documents pourrait être fortement préjudiciable. La culture du secret fait en effet partie de l’« ADN » de la marque.

Une « remise » pour la marque à la pomme :

Devant le refus de Quanta, les pirates ont décidé de retirer les documents mis en ligne et ont adressé à Apple un ultimatum, accompagné d’une remise « Commerciale ».

Si la marque à la pomme ne venait pas à verser une rançon de 20 millions de dollars avant la date du 5 mai - ce qui fait tout de même une réduction de 30 millions de dollars par rapport à la demande initiale – les hackers menacent encore de révéler de nouveau documents dont le futur logo de la marque….

Ne pas créer de précédents

Il est plus que probable qu’Apple ne soit pas disposée à payer et à assumer les conséquences de la publication de ces documents. Car payer placerait l’entreprise dans une situation délicate : cela créerait un précédent et inciterait les pirates en tout genre à s’attaquer à elle car elle aurait déjà cédé…

  

CA N'ARRIVE PAS QU'AUX AUTRES
« Colis privé » victime d’une cyberattaque

Spécialiste de la livraison à domicile et en relais, la société « Colis Privé » a donc annoncé le 29 avril via son compte Twitter qu’elle avait été frappée par une cyberattaque.

Le message sibyllin indiquait que l’attaque « avait été rapidement contenue » sans toutefois s’étendre sur les conséquences précises de l’incident.

La direction de la maison mère de Colis Privé, la société Hopps Group, a été forcée de communiquer sur l’incident suite au long communiqué publié par une section syndicale de l’entreprise qui relatait la survenance de l’attaque en date du 26 avril.

Au moment où nous écrivons ces lignes ce qui est très surprenant c’est qu’aucun élément précisant le type d’attaque et son origine, ni d’informations sur les conditions de reprise d’activité ou de rétablissement de service n’ont été communiquées. Même si en règle générale, les entreprises attaquées tardent à communiquer, celles-ci le font en général de façon plus détaillée.

Des retards en cascade

Cette attaque a occasionné de multiples retards dans les livraisons de Colis Privé en raison de l’arrêt préventif dus système d’information du service de livraison. Le suivi des envois a été rendu indisponible pour les clients et de nombreuses plaintes ont été enregistrées.

Pour seule explication, un message sur le site de Colis Privé indiquait que leurs « opérations techniques pourront être perturbées ».

Une communication hasardeuse

Aucune information précise n’a filtré sur cette attaque, y a-t-il eu violation de données personnelles des utilisateurs, quelle est l’ampleur de dégâts ? Toutes ces questions n’ont pas trouvé écho dans la communication de cette société, mais il y a fort à parier que le gendarme de l’informatique, la CNIL (Commission Nationale Informatique et Liberté) va veiller à enquêter sur cette affaire. Rappelons qu’en cas de violations de données la CNIL peut être amenée à infliger de lourdes sanctions aux entreprises contrevenantes.

  

C'EST ARRIVE PRES DE CHEZ VOUS
Nous savons tout sur vous !

Une de nos clientes nous a alerté pour recueillir notre avis sur un mail inquiétant qu’elle venait de recevoir :

Jouant sur deux mécaniques très utilisée dans le monde des pirates, la peur et l’urgence, le présumé « Hacker » utilise le bluff pour tenter de piéger des victimes qui tomberaient dans cette escroquerie assez grossière.

Il n’a bien entendu aucun accès à la messagerie personnelle de ses potentielle victimes. Pour preuve, il clame qu’il détient les données de cartes bancaire et qu’il compte les vendre sur le Darknet, mais au lieu de les utiliser, il demande une rançon de 100€…. Pas très futé !

  

LE SUJET DU MOIS
Le point sur les NFT

Bien que les premiers NFT soient apparus en 2017, c'est bien en 2021 que ceux-ci ont inondé notre paysage digital. Chaque jour ou presque, a droit à sa vente d'un NFT dont l'équivalent en dollars se compte en millions ! Si cette forme d'art numérique semble être un token comme un autre, il diffère par son caractère unique.

Qu’est-ce qu’un NFT ?

Il s’agit d’un concept nouveau étroitement lié à la blockchain et aux cryptomonnaies , car son fonctionnement est similaire. Un NFT (Non Fungible Token) ou jeton non-fongible en bon français est un actif numérique unique qui tire sa valeur justement de son caractère unique et inaltérable, conféré par la blockchain.

En d’autres termes, il s’agit d’un titre de propriété et d’authenticité infalsifiable (comme vu précédemment, garanti par la blockchain).

Au même titre qu’un certificat d’authenticité accompagne une œuvre d’art, le NFT se place comme un certificat d’authenticité numérique inviolable. Il permet tout simplement de sécuriser une œuvre d’art, une image, un montage photo, un tweet, ou n’importe quel objet numérique en garantissant sa rareté et son origine.

À l’image d’une signature électronique qui certifie un fichier .pdf, le NFT renferme à la fois le fichier numérique convoité et son certificat d’authenticité. Par ailleurs, adossé à la blockchain, la date de création, des transactions, et l’actuel portefeuille propriétaire, sont publiquement traçables.

Les premiers NFT sont apparus en 2017. Il s’agissait de cryptokitties, des chats colorés virtuels que l’on pouvait collectionner à la manière des cartes Panini ou plus proches du phénomène Pokémons. Assez vite, les échanges autour de ces « cryptokitties » ont atteint des sommes stratosphériques avec même des transactions avoisinantes les 5 millions de dollars.

Le NFT est tout d’abord un jeton numérique qui est une forme de cryptomonnaies, un peu comme le Bitcoin ou l’Ethereum. Mais contrairement à une cryptomonnaies classique standard de la blockchain Bitcoin, un NFT est unique et ne peut pas être échangé à l'identique (c’est de là qu’il tire son caractère « non-fongible » - non-remplaçable)

Les types de NFT sont extrêmement variés, mais ils prennent souvent la forme d'une œuvre d'art numérique ou d'un fichier musical - tout ce qui pourrait être stocké numériquement et considéré comme ayant de la valeur.

Essentiellement, ils sont comme n'importe quel autre objet de collection physique, mais au lieu de recevoir une peinture à l'huile sur toile à accrocher sur votre mur, par exemple, vous obtenez un fichier JPG.

Ce jeton est généralement lié à un actif physique (un produit de marque, une œuvre d’art…) ou numérique (un attribut de personnage dans un jeu vidéo, un pouvoir, une carte de jeu virtuelle). Ses caractéristiques ainsi que l’identifiant unique du propriétaire du token sont stockées et certifiées par la blockchain. Il s’agit donc d’un titre de propriété irréfutable. C’est la raison pour laquelle les NFT sont désormais utilisés par les marques de luxe pour authentifier leur produit et éviter ainsi la contrefaçon.

Nouveau marché ou bulle spéculative ?

La folie qui entoure les transactions autour des NFT est assez spectaculaire. Par exemple, les collectionneurs s’échangent aujourd’hui sur la plateforme « Top Shot » des séquences vidéo de matches de Basket, sous forme de clips de quelques secondes mettant en scène les exploits des stars de la NBA (National Basketball Association). Certaines de ces vidéos dépassent même les 200 000 € !! Ce qui est le plus étrange dans ce type de transactions c’est que nombres de ces objets visuels sont téléchargeables gratuitement par ailleurs sur le Net…

Un des NFT les plus médiatisés est celui qui concerne la vente du tout premier Tweet (premier message publié sur l’application Twitter le 21 mars 2006) par Jack DORSEY cofondateur et PDG de Twitter. La version authentifiée (« NFT ») de ce message a été cédée à près de 2,5 millions de dollars. Si l’on considère que ce message était composé de cinq mots, cela ramène à 500 000 dollars le mot !

Même si ce nouveau type de support peut être favorable à l’expansion du marché culturel et à favoriser l’émergence de nouveau artiste, on peut tout de même s’interroger sérieusement sur les dangers de la spéculation qui sous-tend le phénomène.

Les risques de ce nouvel eldorado

Comme tout phénomène nouveau et potentiellement lucratif, le « boom » des NFT, entraîne dans son sillage de nombreuses dérives.

Les Arnaques : procédé complexe à appréhender dans un premier temps, les NFT peuvent séduire par les gains virtuellement possibles liés aux transactions sur ces objets « uniques ». Surfant sur cet engouement manifeste il y a fort à parier que les cybercriminels vont s’emparer du phénomène pour escroquer les internautes mal avisés comme ils l’ont déjà par exemple avec les BitCoins .

Notre conseil : n’investissez qu’en connaissance de cause et documentez-vous autant que possible avant de vous décider.

La Propriété intellectuelle : un des autres problèmes des NFT est que toutes les plateformes ne prennent pas la peine de s’assurer que le déposant du fichier numérique en est le créateur. Cela veut dire que le NFT peut devenir une contrefaçon non pas en tant que tel (c’est un objet unique.), mais en détournant et en réutilisant l’œuvre originale d’un artiste. Le fraudeur s’enrichit bien au détriment du réel auteur.

Impacts écologiques : un des aspects non-négligeables lié à l’expansion fantastique des NFT (il est bon de préciser qu’il en est de même pour le BitCoins.) c’est leur impact sur l’environnement.

La BlockChain (chaîne de blocs) et les milliards de calculs qui l’accompagnent nécessiternnt une quantité d’électricité colossale, qui est proportionnelle à l’engouement soudain que revêtent ces nouveaux instruments financiers. Ces coûts environnementaux très importants représentent une problématique majeure dans le contexte actuel du réchauffement climatique.

Retrouvez les anciennes éditions