Embargo, ce nouveau groupe de ransomware qui fait du sur-mesure Menaces
Nomios rachète Dionach Actualités
IA : les gendarmes des données personnelles planchent sur une position commune Actualités
Mobile, IoT et OT : des vecteurs de menace toujours plus préoccupants Menaces
56% des professionnels de la cyber se disent épuisés  Études
IBM lance un projet pilote pour former des lycéens à la cybersécurité Actualités
Actualités

Pas de trêve des confiseurs pour les hackers

Les cybercriminels ne prennent pas de vacances et le secteur public a été particulièrement touché lors de la période des fêtes. Ainsi la compromission de l'autorité vietnamienne de certification a permis une attaque à plus large échelle par rebond. Plus proche de nous, le Père Noël n'a pas pu protéger le parlement finlandais d'un cyberespionnage en règle. La cybercriminalité ne dort jamais. Entre Noël et le Nouvel An, au moins deux cyberattaques majeures ont été détectées, l'une visant le parlement finlandais, l'autre l'autorité de certification vietnamienne. Dans le cas du VGCA, ou Vietnam government certification authority, ESET a mis au jour une attaque visant l'institution. Le site web de l'autorité a ainsi été compromis dans le courant de l'été, les attaquants en profitant pour injecter un malware dans plusieurs des applications proposées par la VGCA.  Car en plus de délivrer des certificats électroniques, l'organisme gouvernemental vietnamien fournit toute une suite d'applications permettant à l'utilisateur final d'apposer sa signature électronique sur un document. Ce sont deux de ces outils, dans leur version Windows, qui ont été ciblés par les attaquants, qui semblent avoir procédé par rebonds. En d'autres termes, l'attaque de la VGCA n'était qu'une première étape : ESET explique que le malware en question, de conception relativement simple, sert surtout de porte dérobée, surnommée PhantomNet par les chercheurs, et de relais à d'autres programmes malveillants, embarquant l'outil tristement célèbre Mimikatz et permettant par exemple de "récupérer la configuration du proxy de la victime et l’utiliser pour contacter le serveur de commande et de contrôle (C&C)".  Pour l'entreprise de cybersecurité, "cela montre que les cibles sont susceptibles de travailler dans un réseau d'entreprise".  Mais ESET n'a pas été en mesure de trouver des données quant au but des attaquants ou au nombre de victimes. Informée, la VGCA avait déjà connaissance de l'intrusion et a mis en oeuvre des mesures correctives. 
Espionnage en Finlande, paralysie à La Rochelle
Du côté de la Finlande, c'est en début de semaine que le Parlement a annoncé avoir été victime d'une attaque. Les pirates visaient ici les comptes email de certains élus. L'intrusion, qui n'a rien d'accidentelle selon la police finlandaise, a eu lieu cet automne, mais n'a été repérée qu'en décembre.  Un autre pays scandinaves, la Norvège, a lui aussi été touché par une attaque similaire cet automne mais, si la Finlande explique mener l'enquête en coopération internationale, elle ne fait pas le lien avec l'attaque dont son voisin a été victime. Dans le cas finlandais, des informations ont été dérobées sans que la police ne divulgue le nombre de membres du Parlement concernés. Si ces attaques ont eu lieu bien avant la période des fêtes, et si ce sont surtout les autorités et les chercheurs en cybersecurité qui n'ont pas pris de vacances, les méchants eux aussi sont actifs en cette fin d'année 2020. S'en veut la preuve la paralysie des services administratifs de la ville de la Rochelle, comme le rapporte Sud-Ouest.  L'agglomération rochelaise est victime depuis au moins dimanche d'une cyberattaque très probablement un cryptolocker. "Les deux serveurs ont été fermés à titre préventif. Les boîtes mails des deux collectivités sont également fermées" explique la collectivité dans un communiqué qui ajoute que "les équipes sont toutes mobilisées depuis la détection du problème pour sécuriser les données".
Des hôpitaux et EHPAD visés
De même, le Centre hospitalier Albertville-Moûtiers, en Savoie, a été victime lundi 21 décembre d'un ransomware qui a mis en panne "un certain nombre d'équipements, de serveurs, de logiciels, ainsi qu'une partie du réseau informatique" selon le communiqué émis par l'hôpital. Deux EHPAD associés au CHAM ont également été affectés par cette attaque, tandis que les liaisons avec l'hôpital de Chambéry, qui partage sa direction avec son voisin d'Albertville, ont été coupées par mesure de précaution. Si l'ensemble du réseau informatique du CHAM a été mis à l'arrêt, empêchant l'accès aux dossiers médicaux dématérialisés des patients, les blocs opératoires et leurs matériels fonctionnent normalement.  Quelques jours avant, c'est l'hôpital de Narbonne qui était victime d'une cyberattaque. Ici, point de ransomware mais une tentative de cryptojacking. "Cette cyberattaque voulait utiliser nos serveurs pour créer de la cryptomonnaie" indique à L'Indépendant Richard Barthes, le directeur du centre hospitalier. Mais dans sa tentative de limiter l'intrusion, l'hôpital a dû fermer une partie de son système informatique, coupant les accès Internet et vers l'extérieur. 
Actualités

Palantir membre de Gaia-X

La sulfureuse société américaine est devenue l’un des membres Day 1 de l’initiative européenne, qui l’est de moins en moins quand bien même Palantir ne lésine pas sur les efforts d’explications pour justifier son adhésion à Gaia-X. 

Gaia-X semble de moins en moins Européen ! Malgré les volontés affichées par les exécutifs français et allemand de construire une infrastructure de données européenne, malgré OVH et Deutsche Telekom qui en sont le fer de lance, le projet ne manque pas d’interroger quant à la “souveraineté” dont il se veut l’étendard. Surtout avec l’adhésion de géants qui n’ont rien d’Européen, à l’instar des Américains Salesforce, Google Cloud, AWS ou Microsoft, ou des Chinois Alibaba Cloud et Huawei, confrontés sur le terrain des réseaux à l’hostilité des autorités européennes. 

Autant d’entreprises accueillies à bras ouverts dont pourtant les pratiques de leurs États respectifs quant aux données des utilisateurs européens mécontentent sur le Vieux Continent. Les inquiétudes relatives au FISA ou encore au Cloud Act ont ainsi mené à l’annulation du Privacy Shield ou encore à la remise en cause de l’hébergement du HDH français sur Azure. Or une dernière annonce d’adhésion à Gaia-X a fait réagir les défenseurs de l’idée d’une souveraineté numérique européenne : celle de Palantir. 

Justifications

L’entreprise américaine spécialisée dans l’analyse de données, financée par le renseignement US et ô combien controversée, indique ainsi avoir rejoint l’initiative européenne en tant que “Day 1 Member”. Et en explique les raisons dans un long post sur Medium. “Il est raisonnable de se demander pourquoi une entreprise comme Palantir Technologies, fondée dans la Silicon Valley et dont le siège social mondial est à Denver, Colorado, devrait considérer sa participation au projet comme importante, appropriée et conforme aux objectifs déclarés de promotion de la souveraineté et de la disponibilité des données en Europe” attaquent d’emblée Harkirat Singh, responsable technique de Palantir installé à Londres, et Robert Fink, ingénieur basé à Munich.

En plus de 17 ans de travail dans certains des environnements de données les plus sensibles au monde, nous avons acquis une compréhension de la manière dont des solutions technologiques complexes peuvent et doivent être entrelacées avec la gouvernance des données plus large et les contextes normatifs dans lesquels la technologie doit fonctionner. C'est précisément le point fort de notre expérience et de notre expertise, que nous espérons apporter à GAIA-X et aux écosystèmes de données européens au cours des prochaines années. C’est pourquoi nous avons décidé de rejoindre GAIA-X. Palantir

L’œil de Sauron 

Très bonne question, en effet. Les deux salariés de Palantir justifient cette adhésion par l’adéquation entre les défis que Gaia-X entend relever et les activités de l’entreprise : “les valeurs au cœur du projet GAIA-X sont, en effet, au cœur de notre propre mission en tant qu'entreprise : la protection des données, la sécurité des données et la souveraineté numérique des institutions que nous soutenons et des groupes qu'elles servent” écrivent Harkirat Singh et Robert Fink. “Certains peuvent à nouveau voir une contradiction entre coopération d'une part et sécurité d'autre part, entre souveraineté et disponibilité des données. La tâche pour nous, informaticiens et ingénieurs en logiciel, est de réfuter cette dichotomie. Pour nous, cette perspective est à la fois une opportunité de tirer parti de nos investissements en ingénierie à ce jour et un formidable défi pour les années à venir” concluent-ils.

Ce qui ne répond pas in fine à la dichotomie entre entreprise américaine et initiative européenne, et accessoirement entre ambitions de souveraineté et liens avec le renseignement. Surtout, outre Palantir, l’adhésion à Gaia-X de nombreuses sociétés non-européennes risque d’éloigner du projet certains clients potentiels à la recherche d’une solution véritablement européenne et non pas d’un imbroglio soumettant potentiellement leurs données à la surveillance américaine et chinoise. 

Actualités

Ledger a-t-il minimisé l’ampleur de sa fuite de données ?

En juin dernier, le Français était victime d’un vol de données concernant ses bases e-commerce et marketing. Ce weekend, cette base a été publiée sur un forum, gratuitement et en libre accès, révélant que le nombre de personnes affectées est bien plus important que ne l’annonçait l’entreprise.

Mi-juillet, l'editeur français d'une solution de portefeuilles de cryptomonnaies, Ledger, révélait avoir été victime d'une fuite de données. Celle-ci avait eu lieu trois semaines plus tôt, lorsqu'une tierce partie non autorisée accédait à une portion de la base de données marketing et e-commerce de la plateforme, en exploitant une API apparemment défaillante. Dans sa communication, Ledger assurait que les informations personnelles dérobées contenaient un million d'adresses mail, utilisées à des fins de newsletter, ainsi que, pour 9500 clients, des informations supplémentaires telles que leurs noms, numéros de téléphone, adresses postales et produits commandés sur Ledger. Ces informations sont depuis exploitées par des cybercriminels dans le cadre de campagne de phishing. 

Mais un rebondissement vient de mettre à mal la communication officielle de l'entreprise. Dimanche, un utilisateur de forum RaidForum a mis en ligne deux fichiers, contenant des informations dérobées lors de cette attaque. Or si l'un des deux .txt contient le million d'adresses mails, l'autre comprend les informations relatives à 272 853 commandes passées sur le site de Ledger, dont 16 000 en France selon Bitcoin.fr, qui a le premier rapporté cette information. Si les doublons ne sont pas à exclure, le volume de données dérobées va bien au-delà des 9500 clients d'abord annoncés par la plateforme. 

Le CEO de Ledger, Pascal Gauthier, a pris la plume hier pour défendre l'entreprise, niant toute minimisation de l'impact de la violation de données. "Au moment de l’incident, en juillet, nous avons engagé une organisation de sécurité externe pour effectuer un examen très précis des informations (logs) disponibles. Cet examen nous a permis de confirmer qu’environ 1 million d’adresses e-mail avaient été volées et que 9 532 clients étaient concernés par une fuite d’informations personnelles plus détaillées (adresses postales, nom, prénom et numéro de téléphone)" écrit-il. Il reconnaît pourtant que la base de données publiée sur RaidForum concerne environ 272 000 utilisateurs, tout en soulignant que "ces détails ne sont pas disponibles dans les logs que nous avons pu analyser". 

9500 ou 272 000 ?

Pascal Gauthier insiste en outre sur le fait que les crypto-wallets et les assets qui y sont stockés sont en sécurité et n'ont pas été compromis par le vol. Par contre, les données dérobées sont utilisées dans le cadre de campagne de phishing, Les hackers cherchant justement à mettre la main sur les informations d'authentification des utilisateurs. "Notre priorité numéro 1 réside dans le fait de vous apporter la meilleure protection et sécurité pour protéger vos données digitales" martèle le CEO.

Pourtant, le responsable de la mise en ligne de la base de données semble en désaccord avec cette affirmation de Pascal Gauthier. "Vous devriez avoir honte de la manière dont vous conduisez votre business et gérez la confidentialité de vos utilisateurs" reproche-t-il à l'entreprise, dénonçant plus loin les "mensonges" de Ledger, aussi bien sûr l'ampleur de la fuite que sur son impact sur ses utilisateurs. L'auteur du post explique avoir vu sur un autre forum que la base avait été revendue pour 5 bitcoins. Il ajoute ultérieurement, après modification de la publication originale, ne pas être le premier à relayer cette base gratuitement, ni en être le propriétaire. 

L'hebdo de l'Info-CR

Abonnez-vous gratuitement 😊

 

Mon panier

 x 

Panier Vide

Notre préférence

Copyright © 2024 L'INFORMATICIEN
- L1FO par l'Informaticien -
Tous droits réservés L'Informaticien
Le magazine L'Informaticien et le site linformaticien.com sont édités par la société PC Presse
Contacts :
  • 88, boulevard de la Villette, 75019 PARIS - FRANCE
  • Tél. +33 1 74 70 16 30
  • Rédaction : [email protected]
  • Abonnements : [email protected]
  • Directeur de la publication : Gaël Chervet
  • Rédacteur en Chef : Bertrand Garé
  • Rédacteur en Chef Adjoint : Victor Miget
  • Partenariats / Publicité : +33 1 74 70 16 30 / [email protected]
  • Chef de studio : Franck Soulier
  • L'INFOCYBERRISQUES est édité par PC PRESSE SA au capital de 130.000 euros, 443 043 369 RCS PARIS
Une société du Groupe Ficade
Powered by Mediamatis