Edito

Bonjour à toutes et à tous,

L’été approche à grand pas, ce qui signifie l’occasion pour tous de prendre des vacances bien méritées !

Nous vous proposons donc dans cette nouvelle édition pré-estivale, quelques rappels sur les bonnes pratiques à adopter face aux mails de phishing qui, statistiquement, sont plus efficaces généralement pendant la période estivale propice à un relâchement de notre vigilance.

Nous vous proposons également un focus sur les nouvelles mesures de protection mises en place au niveau européen en complément du RGPD pour renforcer la protection des internautes.

Bonne lecture et profitez-bien de votre été !

Christophe Borry

CISO (Chief Information Security Officer) du Crédit Agricole Pyrénées Gascogne

 

BON A SAVOIR

 

Le moyen le plus simple utilisé par les cybercriminels est aujourd’hui le mail. Ce ne sont pas moins de 215 milliards d’emails qui sont envoyés par jour dans le monde. Sur cette masse gigantesque de messages on considère que près de 2 emails sur 3 sont du Spam ou du Phishing . Si certains de ces messages indésirables sont facilement repérables, d’autres plus sophistiqués dans leurs conceptions, sont plus difficiles à détecter. Voici quelques éléments pour vous aider à y voir plus clair :

L’expéditeur

Connaissez-vous l’expéditeur ? Recevez-vous d’habitude ce type de message de votre fournisseur ? Là aussi l’adresse de celui-ci peut être riche d’enseignements pour déceler la supercherie. Si vous cliquez sur le nom de l’expéditeur dans l’en-tête du message vous pourrez obtenir des informations complémentaires comme sur l’exemple ci-dessous issu d’un signalement de phishing reçu ces jours-ci :

Le message reçu par notre client faisait apparaître comme expéditeur :

De : Assurance Régionale_.CA

Mais en regardant les informations du contact, l’adresse était :

carolinexxxx@orange.fr bien loin des adresses officielles de votre assurance !

 

La présentation

La présence de logos officiels d’entreprises ou d’administrations reconnues ne doit pas vous abuser, prenez le temps de bien regarder les messages qui vous sont destinés. Certains indices comme des fautes de syntaxe flagrantes ou un manque total de personnalisation doivent vous alerter (le message s’adresse-t-il à vous personnellement ?).

 

La présence d’un lien

Les liens des messages frauduleux sont souvent présents pour vous inciter à vous rendre sur un faux site à l’image de l’entreprise usurpée (dans le but de subtiliser des informations personnelles, bancaires).

Astuce : Placez votre curseur sur le lien sans cliquer. Vous verrez apparaître l’adresse complète du site vers lequel renvoie le lien ainsi que le nom de domaine, c'est-à-dire le mot qui précède le .fr, ou le .com, et qui doit correspondre à l’entreprise qui communique avec vous.

Pour le Crédit Agricole Pyrénées Gascogne depuis le 07 mai il s’agit de @ca-pyrenees-gascogne.fr par exemple.

 

L’objet du mail

La justification du message joue fréquemment sur des ressorts émotionnels basiques : l’urgence (dernière relance avant coupure, votre colis va repartir, dernier avis avant majoration…), l’empathie (une personne besoin de vous, un riche bienfaiteur cherche un héritier…) ou tout simplement la peur (des poursuites vont être engagées, votre responsabilité est mise en cause…)

 

Les bons réflexes :

Nous faisons régulièrement appel à votre vigilance comme vertu première face aux risques Cyber, les emails n’échappent pas à cette prérogative. En présence d’emails, mieux vaut faire preuve de prudence. Si vous avez le moindre doute sur l’authenticité d’un message n’ouvrez jamais les pièces jointes et ne cliquez pas sur les liens proposés. En ce cas il est préférable de vous rendre directement sur le site web de l’expéditeur supposé pour vérifier la véracité du message.

Vous retrouverez dans notre article « c’est arrivé près de chez vous » un exemple de ces indices qui ne trompent pas ;)

INDICATEURS SECURITE

 

  • +65% par rapport à l'année précédente, c'est l'augmentation des demandes auprès du site cybermalveillance.fr (173000 en 2021) (source vie-publique.fr)
  • 34% des entreprises ont été victimes d’au moins une cyberattaque entre 2020 et 2021 (source ANSSI)
  • 2,5 millions de visiteurs en 2021, sur le site institutionnel cybermalveillance.gouv.fr (source cybermalveillance.fr)
  • 61% des incidents cyber sont liés au vol de mot de passe en 2022 (source Journal du Net)

EVENEMENTS

 

  • 21 juin 2022 / Toulouse / Les Rencontres Cybersécurité Occitanie : RCO 2022 à Toulouse
  • 24-25 juin 2022 / Paris / Hack in Paris
  • 30 juin 2022 / Bordeaux / Cybermatinée Sécurité 2022
  • 27 juin-01 juill. 2022 / Saint-Etienne / Plate-Forme Intelligence Artificielle


C'EST ARRIVE AILLEURS
Bored Ape Yacht Club : Monnaie de singe ?

A l’origine de l’initiative Bored Ape Yacht Club, le collectif américain Yuga Lab a su surfer sur la déferlante des NFT . Celui-ci a lancé il y a plus d’un an une collection d’images de profils de singes à l’air blasé générée par un algorithme « maison ».

Cette collection limitée à 10000 exemplaires uniques et dont la diffusion est exclusivement réalisée sous forme de NFT, a rapidement connu un succès mondial au point de générer des records de vente en montant.

Ce type d’œuvres numériques sont appelées des « avatars NFT » et l’engouement autour de cet art numérique qui ne cesse de croître, a complètement explosé en 2021. On estime que les transactions autour de ce nouveau marché représentent plusieurs milliards de dollars de bénéfices.

Le principe de propriété de ce type d’œuvre est que l’acquéreur reçoit un jeton non fongible (le fameux NFT = Non Fongible Token) véritable acte de propriété numérique lui permettant de prouver qu’il détient l’unique version authentique de l’image.

Les transactions autour de la vente de ces œuvres ont vite pris de l’ampleur. La collection Bored Ape Yacht Club a été lancée lors d’une prévente le 23 avril 2021. Le prix de vente initial de chaque Bored Ape était fixé à 0.08 ETH (Ethereum est une crypto-monnaie), soit environ 220 $ à la sortie. Dès le mois d’août de la même année leur valorisation a explosé (le basketteur américain Stephen a par exemple fait l’acquisition d’un modèle unique pour 180000 $) et leur prix a continué à grimper. La valorisation de la collection complète de ces œuvres est estimée aujourd’hui à la somme vertigineuse de près de 3.5 milliards de dollars !! De quoi attiser toutes les convoitises…

La porte dérobée :

L’affaire remonte à fin avril et s’est traduite par une simple attaque de phishing…Il a suffi au cybercriminel de pirater les réseaux sociaux du BAYC pour poser les bases de cette escroquerie.

C’est en utilisant le compte Instagram du Bored Ape Yacht Club fraîchement piraté que l’attaquant a pu réussir son casse virtuel. Celui-ci, en prenant le contrôle du compte officiel du BAYC, a pu envoyer un message de phishing à destination des abonnés pour promouvoir une “opération spéciale“. Cette « promotion » promettait des NFT gratuits aux internautes qui connecteraient leur portefeuille de Bitcoin (Metamask) au site frauduleux monté par les pirates. Cela a permis à l’attaquant de voler les actifs détenus dans les portefeuilles, volant aussi au passage 4 œuvres originales de singes, ainsi que d’autres NFT. Le butin est estimé à une valeur avoisinant les 3 millions de dollars.

  

CA N'ARRIVE PAS QU'AUX AUTRES
Un hôpital français à nouveau en otage

C’est une tendance qui se confirme malheureusement au fil du temps, les centres hospitaliers sont désormais (trop souvent) une cible de choix pour les cybercriminels. Cette fois-ci, c’est dans la Marne que les pirates ont frappés il y a quelques semaines, ils ont attaqué l’hôpital de Vitry-le-François le mardi 19 avril paralysant l’établissement.

« Un piratage malveillant venu de l’étranger » c’est par ces termes que le Groupement Hospitalier de Territoire (GHT) Cœur du Grand Est a qualifié cette attaque lors de son communiqué de presse du 22 avril.

Si la prise en charge des patients a pu se poursuivre, la gestion opérationnelle de l’établissement a été fortement perturbée. Ce sont en effet une grande quantité de données informatiques administratives qui ont été volées. Les pirates ont pu récupérer sur les serveurs de l’hôpital des données relatives aux factures, aux coordonnées des fournisseurs mais également aux médecins ainsi qu’aux numéros de sécurité sociale des patients. L’objectif de ce vol était de menacer l’établissement d’une rançon d’1,3 millions de dollars sous peine de divulguer les informations confidentielles dérobées.

Cette menace, Jérôme Goeminne, directeur du GHT Cœur Grand Est qui compte huit hôpitaux, a décidé de la rejeter et de ne pas répondre favorablement à la demande de rançon, au risque de perdre l’accès aux 25 gigaoctets de données cryptées (donc inutilisables en l’état).

Si l’incident n’a pas eu de conséquences majeures sur la continuité des soins prodigués aux patients de l’établissement, un certain nombre de connexions avec l’extérieur (notamment les transmissions avec les laboratoires et l’assurance maladie) ont été suspendues occasionnant des retards sur le traitement des dossiers. Certaines de ces opérations ont dû être remédiées « à l’ancienne » à l’aide de fax et d’appels téléphoniques.

Au moment où nous écrivons ces lignes aucun des autres hôpitaux du groupe n’a été touché, mais les équipes informatiques veillent à sécuriser l’ensemble de l’infrastructure pour éviter une future attaque

"La cellule de cyberveille du ministère de la santé, l'ARS Grand Est et les services de police spécialisés sont en soutien du GHT Cœur Grand Est" précise le communiqué de presse et un "appel à la vigilance" concernant les possibles tentatives de phishing à venir va être communiqué à destination des personnels et des patients. Les données dérobées pourraient en effet être utilisées pour cibler les personnes dont les données personnelles ont été subtilisées pendant cette attaque.

 

  

C'EST ARRIVE PRES DE CHEZ VOUS
Arnaque aux droits de douane

Retour sur un message transmis par l’un de nos clients. Celui-ci a reçu, soit disant de la société de livraison Chronopost, un avis de blocage d’un colis par les douanes. Pour recevoir ce fameux colis le destinataire devait acquitter les droits de douane sans quoi le colis ne serait pas livré. Problème : le client n’a rien commandé ! Il s’agit bien entendu d’une arnaque…Une fois les frais payés plus de nouvelles du providentiel colis !

Quels indices ne trompent pas sur le caractère frauduleux du message ?
 
L’expéditeur : Le libellé de l’adresse est Chronopost mais l’adresse complète est noreply@agence-douanepost.fr (pas de référence à Chronopost), ce message est censé provenir de Chronopost mais le texte fait référence à DPD (société de livraison concurrente).
 
Le mode de paiement : Loin des paiements conventionnels (carte, virement…) le pirate propose un paiement via carte prépayée de 50€
 
Le destinataire du paiement : Les fonds sont à adresser via un code PIN vers une adresse de contact située…en Allemagne ! Le nom de domaine de l’adresse mail se termine par .de indicatif des sites situés chez nos voisins d’Outre-Rhin

  

LE SUJET DU MOIS
Le Digital Service Act

Première brique de l’arsenal de protection numérique dont s’est doté l’Union Européenne, le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur en mai 2018. Ce règlement concentrait ses efforts sur la bonne information des internautes européens ainsi que sur le renforcement de la protection des données personnelles. Le règlement imposait donc des règles strictes aux grands acteurs du web et était assorti de lourdes sanctions pour les entreprises qui y contreviendraient.

Son périmètre nécessitait toutefois d’être élargi et renforcé pour aller au-delà de ses prérogatives initiales.

C’est pourquoi le conseil européen a mis en place cette année, respectivement au mois de mars et d’avril, deux nouveaux textes pour encadrer encore plus les activités numériques : le DMA (Digital Market Act) et le DSA (Digital Service Act).

Alors que le RGPD se focalise sur la protection des données et que le Digital Market Act vise à lutter contre le monopole des GAFAM (les grands acteurs du numérique : Google, Apple Facebook, Amazon et Microsoft), le DSA s’attaque au contenu illégal et à la protection des droits des utilisateurs. C’est ce dernier qui s’inscrit le plus dans le prolongement des dispositions déjà mises en place à l’occasion de l’instauration du RGPD.

Genèse :

Initié en parallèle du Digital Market Act, le projet de texte délimitant le Digital Service Act a été présenté le 15 décembre 2020 par la Commission Européenne avec l’objectif central de « créer un espace numérique plus sûr dans lequel les droits fondamentaux de tous les utilisateurs de services numériques (réseaux sociaux, places de marché et autres plateformes numériques) seraient protégés… ».

Ce sont près de deux ans de travaux et de délibérations qui ont conduit à l’adoption de ce texte le 23 avril 2022 avec une entrée en vigueur en 2024. Ce texte est notamment porté par le commissaire européen Thierry BRETON (ancien Ministre de l'Économie, des Finances et de l'Industrie sous la présidence de Jacques CHIRAC).

Son objectif principal est de donner un cadre étendu aux dispositions de la directive e-commerce entrée en vigueur en 2000 à une époque où les plateformes numériques n’avaient pas l’ampleur qu’elles connaissent aujourd’hui. Le but étant, in fine, de mettre fin aux zones de non droits et d’abus qui coexistent sur internet.

Le texte vise majoritairement les réseaux sociaux, et plus globalement les sites comptant plus de 45 millions d'utilisateurs actifs au sein de l'UE. On peut citer par exemple des plateformes comme Facebook, Instagram, Tweeter, WhatsApp, YouTube, TikTok ou Amazon.

Ces sociétés ciblées seront confrontées à des règles plus strictes, et seront dans l’obligation d’opérer une modération minutieuse de leurs services. Des mesures de surveillance de la bonne application de ces dispositions seront réalisées par le biais d’audits annuels indépendants. En parallèle la loi veut imposer aux géants du numérique de permettre aux utilisateurs le signalement direct et facile du contenu afin de réagir rapidement à ces signalements.

Les dispositions du texte en résumé :

  • Des « Marketplaces » plus responsables :

    Les « Places de Marché » (sites de e-commerce) devront s’assurer que les produits vendus sont authentiques et sûrs. Le DSA obligera en outre les sites de vente en ligne à contrôler l'identité de leurs fournisseurs avant de proposer leurs produits.

  • Le retrait rapide des contenus illicites :

Ce nouveau règlement stipule l'obligation de retirer "au plus vite" tout contenu illicite (selon les lois nationales mais aussi européennes) dès qu'une plateforme en a connaissance (par signalements des utilisateurs). En outre et parallèlement au retrait des contenus, les réseaux sociaux seront obligés à suspendre les utilisateurs violant régulièrement les principes édictés par ce texte.

  • L’accès à l’algorithme :

Un des points-clés de la loi est la transparence demandée aux grands acteurs des réseaux sociaux concernant les algorithmes, sorte de « boîte noire » qui servent de moteurs de recommandation (et in fine à proposer de la publicité ciblée). Ces morceaux de code informatique fonctionnent de manière très secrète et manipulent des données sensibles, la commission souhaite donc avoir un droit de regard sur ceux-ci.

  • L’encadrement de la publicité ciblée :

Les plateformes vont être tenues de lever le voile sur les annonceurs qui occupent leurs espaces publicitaires. Les plateformes ne pourront en outre plus utiliser les données personnelles sensibles, telles que les opinions politiques ou la religion pour proposer de la publicité ciblée aux internautes.

  • La simplification des interfaces utilisateur (parcours de navigation) :

Le Parlement européen a introduit un tout nouvel article portant spécifiquement sur les dark patterns (ou chemins obscurs). Il s’agit des techniques employées pour manipuler les utilisateurs afin de les amener à faire quelque chose contre leur gré, orienter de manière forcée leur parcours su tel site pour les inciter à plus consommer ou à communiquer plus de données personnelles.

  • Les audits indépendants des grands acteurs du web :

Les plateformes visées par ce texte devront se soumettre à des contrôles indépendants, payés à leurs frais, et fournir des rapports annuels. Lorsque les rapports d’audits présenteront des écueils, ils devront être assortis de recommandations pour les corriger. Celles-ci devront alors trouver des mesures alternatives en cas de non-respect de ces recommandations (sous peine de sanctions).

  • Les sanctions - Pénalités et amendes :

Les entreprises concernées ont jusqu'au 1er janvier 2024 pour se conformer à ces nouvelles règlementations dans le cas contraire elles pourront écoper de lourdes amendes en cas de non-respect des règles, jusqu’à 6 % de leur chiffre d’affaires mondial (contre 4% aujourd’hui dans le cadre des sanctions définies par le RGPD). En cas de manquements répétés le DSA pourra actionner l’interdiction totale d’opérer sur le territoire.

Retrouvez les anciennes editions