Actualité SECU

[JUSTICE] La justice a remporté plusieurs victoires cette semaine en commençant par l'éradication de l'outil Luminosity Link, un RAT vendu pour la modique somme de 40 euros à plus de 8 600 personnes dans 78 pays différents. Ce coup d'arrêt a été possible grâce à une coopération internationale des forces de l'ordre et du support d'Europol.

Le département de la justice américain a annoncé avoir démantelé le forum cybercriminel Infraud Organization. Ce forum au slogan évocateur « In Fraud We Trust », comptabilisait plus de 10 000 utilisateurs et représentait 530 millions de dollars de pertes envers les consommateurs, entreprises et institutions financières. Un de ses membres était notamment connu sur ce forum pour développer des malware s'attaquant aux points de ventes pour voler des données bancaires.

[RANSOMWARE] L'imagination des cybercriminels pour élaborer de nouveaux scénarios de fraude est sans limite. Le FBI a ainsi annoncé qu'une campagne de spams envoyait actuellement des messages usurpant l'Internet Crime Complaint Center (IC3) et proposant de remplir un document de remboursement suite à des dommages causés par une cyber-attaque. Le document en question, une fois ouvert, délivre sa charge malveillante sous forme d'un ransomware.

[ESPIONNAGE] Le groupe d'attaquants russophone Fancy Bear a ciblé différentes personnes travaillant dans le domaine des drones, missiles, roquettes, avions de combat furtifs mais aussi de plateformes de cloud computing. Les 87 personnes dans leur collimateur recevaient un mail contenant un lien de phishing usurpant, par exemple, une alerte de sécurité Google. Les domaines des nouvelles technologies telles que le cloud computing ont été également ciblés car la CIA a signé un contrat avec Amazon pour la mise en place d'une plateforme partagée entre les services de renseignements américains. En 2017, le vice premier ministre russe se réjouissait que l'écart technologique avec les États-Unis dans le domaine des drones de combat était désormais très réduit...

[RISQUE] Le numéro 2 du groupe Saint-Gobain est récemment revenu sur les conséquences de l'attaque Not Petya qu'ils ont subie par l'intermédiaire de leur filiale ukrainienne. En plus de repasser au stylo pour l'édition de factures dans leur réseau de distribution Lapeyre et Point P, cette attaque s'est soldée par quatre jours de gestion de crise et dix jours pour que l'activité reprenne totalement. La leçon a visiblement été retenue car le groupe a depuis souscrit à une cyber-assurance incluant les attaques numériques et représentant 10 à 15% du budget du département IT.

[JEUX OLYMPIQUES] Les recommandations de l'US-CERT pour les personnes se rendant à Pyeongchang pour suivre les Jeux Olympiques n’étaient pas inutiles. McAfee, qui avait analysé des documents malveillants ciblant les organisations olympiques, avait également prévenu sur la menace numérique autour des Jeux Olympiques. C'est désormais officiel, les Jeux Olympiques 2018 ont déjà été victime d'une attaque informatique lors de la cérémonie d'ouverture. Ce que The Guardian pensait initialement être des problèmes techniques était bien les conséquences d’une cyber-attaque. D'après les premières analyses, cela repose sur un malware ayant pour seul but de détruire et qui aurait des fonctionnalités déjà observées pour BadRabbit et Nyetya.

Fuite de la semaine

Apple a subi cette semaine la plus grosse fuite de données de son histoire avec la mise en ligne sur la plate-forme Github du code source d'iBoot. Ce dernier, l'un des composants les plus critiques des iDevices d’Apple (iPhones, iPad…), est en charge du démarrage des appareils, phase la plus intéressante pour la communauté des jailbreakers mais également des services de renseignements. En effet, trouver un bug à ce niveau est rétribué 200 000 dollars dans le programme Bug Bounty d'Apple et permettrait de compromettre la chaîne de démarrage et de potentiellement accéder aux données contenues dans les appareils. Bien que le code corresponde à celui d'iOS 9, c'est un composant qui est moins fréquemment modifié que le système d'exploitation et qui est donc susceptible d'être exploitable dans ses versions plus récentes. Cette fuite proviendrait d'un ancien développeurs bas niveau d'Apple, proche de la communauté jailbreak et qui aurait partagé ce code à ses amis. L'un de ces amis, l'aurait ensuite partagé à une tierce personne, qui l'aurait un peu trop disséminé, résultant de la publication sur Github.