Cybersécurité : les réseaux sociaux comme porte d'entrée pour cibler les entreprises

Chronique de Raj Samani

McAfee

  Mis à jour le 06/12/21 15:45

Les réseaux sociaux font partie de notre quotidien. Que ce soit pour suivre les querelles entre célébrités, garder le contact avec des amis, ou pour chercher un emploi. Par ailleurs, nombreux sont ceux qui, dans la course aux likes, acceptent sur les réseaux de parfaits inconnus.

Les acteurs malveillants le savent, et des cadres ont été ciblés par de fausses promesses d'offres d'emploi émanant de groupes de menaces spécifiques. Il s’agit en effet de la méthode la plus efficace pour contourner les contrôles de sécurité traditionnels, et les hackers peuvent ainsi communiquer directement avec leurs potentielles victimes dans les entreprises ciblées.

Cette approche n’est pas nouvelle, mais elle est de plus en plus fréquente. Bien que la mise en place de faux profils requière plus de temps que la simple recherche d'une faille sur Internet, cibler des individus s'est avéré être un excellent procédé. Cela laisse à penser que l'utilisation de ce vecteur pourrait se développer non seulement par les groupes d'espionnage, mais aussi par d'autres acteurs de la menace cherchant à infiltrer des organisations pour leur propre profit criminel.

Impact potentiel et implications

Les conséquences et les implications potentielles pour un dirigeant ou une entreprise dont les réseaux sociaux ont été ciblés par des acteurs de la menace sont infinies. Il est par ailleurs notable que certains groupes d'États-nations utilisent des sites comme LinkedIn pour cibler des cadres, notamment des secteurs de la défense et de l'aérospatial. Depuis trop longtemps, les utilisateurs acceptent des connexions sur LinkedIn pour élargir leur réseau et depuis, les acteurs de la menace l'utilisent à leur avantage en créant des profils ressemblant à ceux de recruteurs légitimes. En suscitant l'intérêt d'un cadre et en gagnant sa confiance, ils peuvent alors le convaincre de télécharger une annonce d'emploi qui s’avère être un logiciel malveillant. S’il est surtout répandu sur Linkedin, ce type de d’attaque peut également être mené sur d’autres réseaux sociaux comme Twitter ou Instagram.

Techniques et tactiques

Auparavant, les faux profils sur les réseaux sociaux étaient relativement faciles à repérer, mais si l’on prend l’exemple la Corée du Nord (RPDC), les cybercriminels ont investi plus de temps dans la création de profils, dans leur immersion dans le milieu de l’infosécurité, dans l'acquisition d’abonnés et de connexions via LinkedIn, rendant la détection des comptes frauduleux plus difficile. Ainsi, lorsque les acteurs malveillants utilisent les réseaux sociaux, ils emploient des techniques et des tactiques que l'on retrouve dans le monde réel. Ils effectuent toutes les recherches nécessaires sur les types d'emplois qui pourraient intéresser leurs cibles, les incitant notamment à télécharger un contenu malveillant.

Les limites de la régulation

Nous vivons dans un monde régi par les réglementations, les territoires et les juridictions. Ainsi, pour tenir un acteur malveillant pour responsable, il est impératif de disposer de preuves numériques. Or, la réglementation de certains territoires ne permet pas d’y mener des enquêtes numériques, tandis que les traités d’extradition n’existent pas dans d’autres. Quand un état est tenu de respecter les règles, il n’en est pas de même pour les cybercriminels qui peuvent poursuivre leurs comportements malveillants sans aucune conséquence. Si bien que malheureusement, la cybercriminalité n’est pas répudiée. Les acteurs malveillants peuvent alors nier toute responsabilité et s'en tirent sans aucune condamnation.

L’importance de la prévention

La cybercriminalité sera toujours un problème et il est nécessaire que chacun soit davantage conscient des techniques et tactiques des cybercriminels. Il faut poursuivre le combat face aux acteurs malveillants, continuer de protéger les données déjà récoltées, mais surtout de créer du contenu à la disposition des RSSI et des dirigeants pour qu'ils sachent identifier les menaces et = réagir s’ils sont pris pour cible.

 

REF.:   https://www.journaldunet.com/solutions/dsi/1507239-cybersecurite-les-reseaux-sociaux-comme-porte-d-entree-pour-cibler-les-entreprises/?utm_campaign=Mon%20Carnet%20-%20l%27infolettre&utm_medium=email&utm_source=Revue%20newsletter

 

Photos privées : cacher des images avec Google Photos

 

Vous ne voulez pas que n'importe qui tombe sur certaines photos ou vidéos privées ? Avec Google Photos, vous pouvez créer un dossier verrouillé pour y placer des images sensibles, stockées localement sur votre mobile.

Il y a des photos et des vidéos que l'on aime montrer à des proches, ou même partager sur les réseaux sociaux. Et il y a les autres. Celles que l'on préfère garder pour soi, à l'abri des regards. Des images privées, secrètes, voire "intimes", que l'on ne souhaite surtout pas exposer. Las, les photos et les vidéos enregistrées dans la galerie d'un téléphone ou d'une tablette sont facilement accessibles. Un enfant, un conjoint, un parent ou un collègue un peu curieux, et la situation peut vite devenir embarrassante… 

Il existe heureusement des moyens de protéger certaines images, notamment en les plaçant dans un dossier privé. Un album protégé que seules les personnes peuvent ouvrir. Google a ainsi développé une fonction spéciale dans son application Photos. Elle consiste à créer un dossier verrouillé sur un mobile (téléphone ou tablette) pour y stocker les contenus que ne doivent pas être exposés à la vue de tous. Pour y accéder, il faut saisir un code de déverrouillage ou utiliser un système biométrique (empreinte digitale ou reconnaissance faciale). En outre, pour plus de sécurité, les images ainsi protégées sont en outre supprimées de l'espace de stockage de Google dans le cloud : elles ne sont donc plus accessibles depuis le service Web Google Photos ou tout autre appareil connecté au même compte Google. Les images demeurent dans l'espace de stockage local du smartphone ou de la tablette où elles ont été mises en sureté. Elles peuvent à tout moment être déverrouillées et rejoindre le cloud de Google. Pratique !

Cette nouvelle fonction est proposée depuis le printemps 2021 aux possesseurs de smartphones Google Pixel. Mais Google a décidé de l'étendre à d'autres appareils Android et même aux iPhone, via une simple mise à jour de l'application Google Photos. Nous avons déjà pu la mettre en œuvre sur plusieurs modèles (un Google Pixel 6 équipé d'Android 12, mais aussi sur un Samsung Galaxy S20+, un Samsung Galaxy Note 10+ et même un Xiaomi Redmi 9). Il faudra donc surveiller les mises à jour de l'appli Google Photos, et notamment la notification indiquant qu'une nouvelle fonction est disponible, pour en profiter. À noter qu'il ne sera pas nécessaire de posséder la dernière version du système Android pour en profiter. Seule la mise à jour de Google Photos est indispensable.

Télécharger Google Photos

Comment créer un dossier verrouillé avec Google Photos ?

Si vous avez une version récente de Google Photos, vous pouvez dès à présent utilisé la fonction de dossier verrouillé pour y enregistrer des photos et des vidéos "sensibles" qui resteront enregistrées sur votre appareil.

► Ouvrez l'appli Google Photos, puis appuyez sur Bibliothèque, en bas à droite de l'écran.

► Dans la page qui s'affiche, appuyez sur le bouton Suggestions utiles, en haut à droite.

► Faites défiler le contenu de la page jusqu'à la section Organisation. Appuyez sur Configurer le dossier verrouillé.

► Une nouvelle page s'affiche et présente les fonctions du dossier verrouillé. Prêtez notamment attention à la dernière information qui précise que, si vous désinstallez Google Photos, les éléments stockés dans le dossier verrouillé seront supprimés. De même, si vous changez de smartphone, il faudra aussi déplacer manuellement les clichés protégés pour les retrouver sur le nouveau mobile. Appuyez sur Configurer.

► Si vous avez défini une empreinte digitale pour déverrouiller votre mobile, vous êtes invité à l'appliquer. Vous pouvez également utiliser le code de déverrouillage de l'appareil (code PIN).

 

► Le dossier est maintenant créé. Il est pour l'instant vide. Vous pouvez commencer à y déplacer des images. Pressez le bouton Déplacer les éléments.

► Sélectionnez maintenant les images que vous souhaitez placer à l'abri des regards indiscret depuis la galerie de Google Photos. Lorsque votre choix est fait, appuyez sur le lien Déplacer en haut à droite de l'écran.

► Vous êtes invité de nouveau à saisir votre empreinte digitale. Google vous averti que seules les photos choisies seront protégées (et non les copies modifiées). Appuyez sur Continuer.

► Après un ultime avertissement, appuyez sur Déplacer.

► Notez qu'il n'est pas possible d'effectuer des captures d'écran des photos placées dans le dossier verrouillé.

► Pour accéder par la suite au dossier verrouillé, touchez le bouton Suggestions Utiles depuis le menu Bibliothèque et faites défiler le contenu de la page jusqu'à la section Dossier verrouillé.

 

REF.:   https://www.commentcamarche.net/securite/protection/25061-images-privees-dossier-verrouille-google-photos/?utm_campaign=Mon%20Carnet%20-%20l%27infolettre&utm_medium=email&utm_source=Revue%20newsletter

Shadowpad et Quarium utilisés pour le cyberespionnage

 

 Shadowpad et Quarium utilisés pour le cyberespionnage

Cyberespionnage : des attaques plus complexes, des attributions plus compliquées

Sécurité : À l’occasion de leur présentation sur les tendances de l’année 2022 en matière de cyberattaques, les chercheurs français de l’équipe GreAT de Kaspersky ont profité d’une présentation sur plusieurs groupes d’attaquants opérant en Asie pour souligner les difficultés croissantes de l’attribution des attaques, alors que l'écosystème cybercriminel se complexifie.

Par Louis Adam | Lundi 06 Décembre 2021

Les chercheurs de l’équipe GreAT de Kaspersky sont habitués à se pencher sur les groupes cybercriminels les plus sophistiqués, opérant notamment dans le domaine du cyberespionnage. Mais si certains indices pouvaient permettre auparavant d’attribuer certaines cyberattaques à des groupes, la complexification de l’écosystème et des cyberattaques compliquent considérablement la tâche des analystes. À l’occasion d’un retour sur plusieurs groupes APT (Advanced Persistent Threat, terme utilisé pour designer les groupes cybercriminels les plus sophistiqués), les chercheurs de Kaspersky ont voulu montrer à quel point l’attribution d’une cyberattaque à un groupe précis est aujourd’hui devenue compliquée.

« Auparavant, nous avions des méthodes assez simples pour attribuer des attaques à un groupe : en identifiant les outils utilisés, les modes opératoires ou encore certaines métadonnées, on pouvait identifier un groupe à l’oeuvre. Mais aujourd’hui, cela, devient de plus en plus difficile pour nous de faire de l’attribution » expliquait sur scène Pierre Delcher, chercheur chez Kaspersky.

Les limites de l’attribution

Exemple à l’appui : Paul Rascagneres est ainsi revenu sur l’exemple de GhostEmperor, un groupe APT identifié par Kaspersky au mois de juillet 2021. Ce groupe vise principalement des cibles en Asie du sud-est, et au Moyen-Orient. Il se distingue par l’utilisation d’un rootkit, et surtout de méthodes non documentées publiquement pour charger celui-ci dans la mémoire des appareils visés. « C’est le signe d’un attaquant très sophistiqué. Mais, en analysant les attaques menées par le groupe, nous avons constaté qu’ils partageaient leur infrastructure avec un autre groupe, connu sous le nom de Famous Sparrow »

Famous Sparrow est le nom donné à un autre groupe APT identifié et décortiqué en septembre 2021 par la société de cybersécurité ESET. Le rapport publié par ESET présente un groupe qui vise avant tout des hôtels à travers le monde, mais aussi des organisations gouvernementales diverses. Le tout en utilisant des modes opératoires assez similaires.

ESET notait déjà dans son rapport que l’attribution de ces attaques à un seul et même groupe était une tâche complexe : si le dénominateur commun des attaques attribuées à Famous Sparrow est l’utilisation d’un logiciel malveillant de type backdoor spécifique au groupe, la société de cybersécurité soulignait l’utilisation de plusieurs outils et serveurs exploités par d’autres groupes APT. Et Kaspersky remarque de son côté que le groupe GhostEmperor utilise également des serveurs précédemment utilisés par FamousSparrow dans d’autres opérations.

Vraie fausse disparition

Autre exemple présenté par les chercheurs : le groupe baptisé Iamtheking, aussi connu sous le nom de Slothfulmedia. Ce groupe, actif jusqu’à fin 2020, vise principalement des cibles gouvernementales basées en Russie. Puis à partir de 2020, le groupe se tourne vers des victimes basées en Asie. « Il se distingue par l’utilisation d’outils d’intrusions uniques et très évolutifs, ainsi que par l’utilisation de deux logiciels malveillants, Shadowpad et Quarium, généralement utilisés par les groupes APT dans la région asiatique », expliquent les chercheurs.

Une publication de l’agence de cybersécurité américaine en 2020 met en lumière les activités du groupe, qui disparaît des radars peu de temps après. « Mais on observe que que les infrastructures utilisées par le groupe sont reutilisées par d’autres groupes aujourd’hui » constatent les chercheurs de Kaspersky, qui s’interrogent sur la signification de cette évolution. S’agissait-il d’un seul groupe, ou de plusieurs opérateurs travaillant avec une même panoplie d’outils partagés ?

« Ce que l’on constate, c’est qu’il est aujourd’hui possible d’avoir des intrusions exploitant le même mode opératoire, mais qui conduisent parfois à des malwares différents, des campagnes d’attaques menées par des acteurs distincts contre un même groupe, ou encore des acteurs dont les capacités ont été détournées de leur usage initial » résument les chercheurs de Kaspersky. Et cette complexité ne fait pas l’affaire des chercheurs en sécurité : « Il faut bien se le dire, avoir plusieurs attaquants sur un même système c’est un cauchemar pour les analystes. Cela devient alors très complexe de savoir quel groupe fait quoi et comprendre la portée réelle d’une attaque. » 

 

REF.: Louis adam,

 https://www.zdnet.fr/actualites/cyberespionnage-des-attaques-plus-complexes-des-attributions-plus-compliquees-39933679.htm?utm_source=NL_cybersecurite&utm_medium=email&utm_campaign=ZD_NL_cybersecurite&utm_content=&utm_term=20211231

 

 

Le Québec se veut le nouvel eldorado vert des centres de données

Agence France-Presse

le 23 octobre 2021

Avec son électricité bon marché et renouvelable, le Québec rêve de devenir un nouvel eldorado pour les géants technologiques, qui y déploient de plus en plus leurs centres de données (data centers) dans un secteur en plein essor mais très énergivore.

Cinquante centres sont actuellement installés dans la province, contre 39 début 2019, dont certains sont détenus par des champions de ce secteur devenu stratégique pour l'économie numérique comme Amazon (leader du cloud, l'informatique à distance, avec sa filiale Amazon Web Services), Microsoft, Google ou encore IBM.

Encore loin derrière la Virginie aux États-Unis et son Data Center Alley qui revendique 70 % du trafic Internet mondial, ou l'Île-de-France, qui compte plus de 120 centres de données, le Québec veut devenir une option.

Au cours des dernières années, on a vu de nouveaux joueurs arriver, et de très gros joueurs, se félicite Stéphane Paquet, PDG de Montréal international, l'organisme chargé de la promotion économique de la métropole.

Microsoft s'installe à Québec

Le géant américain Google, déjà présent dans la province, a prévu de construire son premier centre de données, un investissement de 735 millions de dollars canadiens sur un terrain d'une soixantaine d'hectares. Même stratégie d'expansion pour Microsoft, qui a acheté un terrain dans l'agglomération de la ville de Québec.

L'un des pionniers, l'hébergeur français OVHcloud, a installé au Québec en 2012 l'un de ses 32 centres de données.

À l'intérieur d'une ancienne usine d'aluminium dans la grande banlieue de Montréal, des dizaines de milliers de serveurs sont entreposés dans de vastes conteneurs.

L'objectif était de nous implanter sur le continent américain et la porte d'entrée naturelle a été le Québec, où se trouvait aussi une source d'énergie renouvelable. Ce n'est pas la seule raison, mais ça a fortement joué dans la décision, explique Estelle Azemard, vice-présidente d'OVHcloud pour les Amériques.

Cette infrastructure de 10 000 mètres carrés est située à Beauharnois, à quelques dizaines de kilomètres de Montréal, près d'un barrage hydroélectrique.

L'entreprise, qui figure parmi les leaders mondiaux du cloud et de l'hébergement de sites web, a mis au point une technologie pour refroidir la chaleur dégagée par les machines avec de l'eau, ce qui lui permet de se passer de climatisation.

L'environnement est vraiment au cœur de notre système d'affaires, assure Mme Azemard.

L'avantage des rudes hivers du Québec

Argument financier de taille, le Québec se targue de proposer une électricité à bas coût, qui défie la concurrence américaine et européenne avec un prix d'environ 5 cents le kilowattheure.

Nos tarifs sont parmi les plus avantageux au monde, assure Cendrix Bouchard, porte-parole d'Hydro-Québec.

On vient ici parce que ce n'est pas cher, mais surtout parce que c'est une énergie qui est renouvelable à plus de 99 %, explique M. Paquet.

Les hivers longs et froids de la Belle Province permettent également de limiter les dépenses nécessaires pour le refroidissement des machines, selon M. Paquet.

Gloutons en matière d'énergie, les centres de données, dont les serveurs ont sans cesse besoin d'être refroidis pour éviter la surchauffe, émettent près de 4 % des gaz à effet de serre du monde, soit davantage que le transport aérien civil, selon un rapport du groupe de réflexion français The Shift Project publié en 2019.

Au Québec, la consommation mensuelle d'électricité des centres de données atteint environ 663 gigawattheures (GWh), soit l'équivalent de la consommation de 40 000 foyers.

Il vaut mieux mettre des data centers dans des endroits qui sont alimentés en électricité hydraulique, solaire ou même nucléaire, qu'alimentés par de l'électricité produite par des centrales à charbon, salue Hugues Ferreboeuf, de The Shift Project.

Mais ça ne suffit pas, ajoute-t-il. Il faut qu'en même temps ils arrivent à maîtriser la croissance de leur consommation, sinon ils vont capter une part trop importante de l'électricité produite par des énergies renouvelables.

À lire aussi :

 https://ici.radio-canada.ca/nouvelle/1834033/centres-de-donnees-cloud-data-centers-cendrix-bouchard-stephane-paquet?fbclid=IwAR2_P61idVZ5NBeapVSht1LjP6ksd-FHOPdcVdRwR--nWmFHljB6qYn6xDQ

• Le Québec, terre de choix de l'infonuagique
• Le bas coût de l'électricité au Québec intéresse l'industrie mondiale du bitcoin

 

 

La revente d'accès piratés, un marché toujours en croissance

Sécurité : La publication sur le dark web de messages proposant des identifiants VPN et RDP compromis, ainsi que d'autres moyens de pénétrer dans des réseaux, ont triplé l'année dernière.

Par Danny Palmer | Vendredi 03 Décembre 2021

Les cybercriminels sont de plus en plus nombreux à vendre des accès à des réseaux d'entreprise compromis, cherchant à tirer profit de la demande croissante de réseaux vulnérables de la part de groupes qui cherchent à lancer des attaques par ransomware.

Des chercheurs de l'entreprise de cybersécurité Group-IB ont analysé l'activité sur les forums clandestins et constaté une forte augmentation du nombre d'offres de vente d'accès à des réseaux d'entreprise compromis.

Le nombre de messages de ce type a triplé entre 2020 et 2021.

Une tendance nette

Ils prétendent proposer un accès à des réseaux privés virtuels et à des accès de bureau à distance (RDP) compromis, ainsi qu'à des web shell, reverse shell, outils de test d'intrusion Cobalt Strike et bien plus encore.

Grâce à ces accès, les cybercriminels peuvent accéder aux réseaux d'une entreprise et tenter d'obtenir des noms d'utilisateur et des mots de passe ou des droits d'administrateur qui leur permettent de prendre davantage le contrôle du réseau.

Sur les forums clandestins analysés, le nombre d'offres de vente d'accès aux réseaux d'entreprise est passé de 362 à 1 099, soit une multiplication par trois en un an seulement, et le rapport avertit que cette augmentation est « l'une des tendances les plus nettes des forums clandestins ».

Un prix variable

Les secteurs les plus concernés par ces reventes d'accès sont l'industrie, l'éducation, la finance et la santé.

Le coût d'un accès varie considérablement. Il peut parfois être proposé pour quelques milliers de dollars – une somme qu'une équipe de ransomware pourrait récupérer plusieurs fois en cas d'attaque réussie. Mais il existe une corrélation directe entre la valeur de l'accès et les revenus de l'entreprise de la victime – plus ses revenus sont élevés, plus le prix est élevé.

L'une des principales raisons de l'augmentation du nombre de vendeurs est la demande qui découle de la croissance des attaques de ransomware. Les groupes de ransomware ont besoin d'accéder aux réseaux et acheter l'accès est plus facile et prend moins de temps que de compromettre les réseaux par eux-mêmes.

« Les opérateurs de ransomware sont les principaux "clients" des services des courtiers en accès initial », explique Dmitry Shestakov, responsable de la recherche sur la cybercriminalité chez Group-IB, à ZDNet. « Cette alliance impie entre les courtiers et les opérateurs de ransomware dans le cadre de programmes d'affiliation de ransomware-as-as-a-service a conduit à l'essor de l'empire du ransomware. »

Le télétravail a facilité le développement de cette cybercriminalité

La croissance du marché des accès compromis s'explique également par le fait que le seuil de compétences est relativement bas pour se livrer à ce type de cybercriminalité. Les cybercriminels moins avertis peuvent utiliser des attaques de phishing ou acheter des logiciels malveillants prêts à l'emploi pour voler des informations.

Le rapport suggère également que l'obtention de cet accès initial est devenue plus facile en raison de l'augmentation du télétravail, qui a conduit de nombreuses organisations à utiliser involontairement des applications non sécurisées ou mal configurées que les cybercriminels peuvent facilement exploiter.

Et tant qu'il y aura des réseaux non sécurisés accessibles et une demande de la part d'autres cybercriminels pour acheter l'accès à ces réseaux, l'essor du marché des courtiers d'accès devrait se poursuivre. « Nous nous attendons à ce que le nombre de courtiers et d'offres d'accès augmente. Comme l'offre augmente pour répondre à la demande, nous nous attendons à ce que le prix de l'accès initial aux réseaux d'entreprise diminue », avertit Dmitry Shestakov. « Les ransomwares resteront le principal moyen de monétiser l'accès aux réseaux d'entreprise, car ils offrent le meilleur retour sur investissement possible. »

Se protéger des attaques en amont

Les organisations peuvent prendre des mesures pour éviter que les cybercriminels ne pénètrent dans le réseau et n'accèdent aux informations d'identification.

Voici les principales mesures de prévention à appliquer :

• installer régulièrement et en temps voulu les mises à jour logicielles et les correctifs de sécurité, pour se protéger contre les vulnérabilités connues ;
• encourager l'utilisation de mots de passe forts, difficiles à percer lors d'attaques par force brute ;
• appliquer une authentification multifactorielle aux comptes afin que, si les identifiants sont compromis, les attaquants aient peu de possibilités de les exploiter.
  
  

Source : ZDNet.com