Espionnage et saisie : le service Matrix sous le radar de la police - Actus du 03/12/2024
Découvrez comment la police a infiltré le service Matrix pour déjouer des criminels, l'arrestation d'un expert en appels malveillants en Norvège, et les 575 millions d'heures perdues à accepter des cookies en Europe. Ne manquez pas notre analyse approfondie !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
La police saisit le service de chat crypté Matrix après avoir espionné des criminels
Une opération internationale de la police, nommée "Operation Passionflower", a abouti à la fermeture de MATRIX, une plateforme de messagerie cryptée utilisée par des cybercriminels pour coordonner des activités illégales. Cette opération, menée en Europe sous la coordination d'Europol et Eurojust, a permis de surveiller et d'intercepter 2,3 millions de messages en trois mois, après que les autorités ont récupéré le téléphone d'un tireur impliqué dans une tentative d'assassinat. MATRIX, qui offrait des services de communication sécurisés, était accessible via des appareils spécifiques et avait environ 8 000 utilisateurs payant en cryptomonnaie. Les forces de l'ordre ont mené des perquisitions simultanées dans plusieurs pays, entraînant la saisie de 40 serveurs, 970 téléphones cryptés, et des sommes importantes en espèces et en cryptomonnaie. Cinq suspects ont été arrêtés, dont un homme lituanien soupçonné d'être le principal opérateur de MATRIX. Malgré la sophistication technique de MATRIX, son démantèlement illustre la capacité des autorités à infiltrer des réseaux criminels, comme l'ont montré des opérations précédentes contre d'autres services de téléphonie cryptée. L'enquête se poursuit pour identifier d'autres activités criminelles.
Sources :
Un Israélo-Américain, maître des appels malveillants, détenu en Norvège
Un Israélo-Américain, condamné pour avoir orchestré 2 000 fausses alertes à la bombe, a été arrêté en Norvège après avoir demandé l'asile, à la demande des États-Unis qui souhaitent son extradition. Son nom reste confidentiel, mais il a été reconnu coupable d'intimidation et d'extorsion, notamment contre un sénateur. Son avocat argue que son client a déjà purgé une peine significative en Israël, où il a été condamné localement après que ce pays a refusé de l'extrader vers les États-Unis. Cette affaire rappelle celle de Grégory Chelli, alias Ulcan, un pirate franco-israélien connu pour ses appels malveillants, qui a récemment été condamné à quatre ans de prison. Les deux cas illustrent l'utilisation des outils numériques pour manipuler et intimider, tout en soulevant des questions complexes sur l'extradition et la souveraineté nationale. Ils mettent en lumière les défis juridiques liés à la cybercriminalité et la nécessité d'une évolution des lois pour mieux répondre à ces menaces. Ces affaires soulignent également l'impact dévastateur de la cybermalveillance sur la société, nécessitant une coopération internationale renforcée pour lutter contre ce fléau moderne.
Sources :
On passerait 575 millions d’heures par an à accepter les cookies en Europe
En Europe, la réglementation sur les cookies impose aux utilisateurs de consentir à leur utilisation lors de la première connexion à un site, une obligation renforcée par le RGPD en 2018. Cette situation est souvent critiquée à l'étranger, où l'Europe est perçue comme un territoire où le consentement est omniprésent. L'entreprise Legiscope a estimé que les Européens perdent collectivement 575 millions d'heures par an à gérer ces bannières de cookies, en se basant sur des calculs approximatifs. Selon leurs estimations, 90 % des Européens utilisent Internet, visitant en moyenne 100 sites par mois, dont 85 % affichent des bannières. Cela représenterait environ 1 020 interactions annuelles, soit environ 1 heure et 25 minutes par personne. Legiscope avance que ce temps perdu pourrait coûter à l'Union européenne jusqu'à 14 milliards d'euros par an, bien que ces chiffres soient à prendre avec précaution. L'entreprise appelle à une révision de la directive européenne pour mieux s'adapter à la concurrence internationale. Cependant, il est peu probable que cette demande soit entendue, et la question du temps perdu reste davantage liée à l'expérience utilisateur qu'à une réelle perte de productivité.
Sources :
Parents : et si vous preniez soin du numérique de vos enfants ? Le cas de Near, un exemple glaçant
L'article met en lumière les dangers du numérique auxquels les adolescents sont confrontés, notamment le cyberharcèlement, le piratage et l'exposition à des contenus inappropriés. Il évoque le cas de Near, qui a vendu des données sensibles volées à des entreprises françaises, pensant pouvoir échapper aux conséquences de ses actes. Ce cas illustre les risques d'un usage non encadré des technologies, où les jeunes peuvent facilement se laisser entraîner dans des activités illégales sans en mesurer les implications. Le texte souligne l'importance du rôle des parents dans la prévention de ces dérives. Il est crucial qu'ils s'informent sur les plateformes utilisées par leurs enfants, comme Telegram et Discord, et qu'ils instaurent un dialogue régulier pour créer un climat de confiance. Les parents doivent encourager leurs enfants à partager leurs expériences en ligne et à reconnaître leurs erreurs pour éviter des conséquences judiciaires graves. En somme, l'article appelle à une prise de conscience collective sur les enjeux du numérique et à une implication active des parents pour protéger les jeunes des dangers qui les guettent.
Sources :
Comment mettre en place une liste blanche pour bloquer les prélèvements bancaires frauduleux
L'article aborde la gestion des prélèvements bancaires et la nécessité d'une liste blanche pour sécuriser les comptes contre les prélèvements non autorisés. Il explique que cette liste doit inclure uniquement les personnes ou organisations autorisées à effectuer des virements, afin de prévenir les risques liés à des données bancaires compromises, comme l'IBAN, souvent exposé sur le dark web. Pour mettre en place cette liste, il est recommandé de contacter son conseiller bancaire et de fournir des informations spécifiques sur les créanciers, telles que le nom, le numéro d'identifiant créancier SEPA et la Référence Unique de Mandat (RUM). Bien que la procédure puisse sembler archaïque, elle demeure efficace en l'absence de solutions plus modernes proposées par les banques. L'article mentionne également d'autres options de sécurité, comme le blocage de comptes indésirables et la liste noire. En cas de prélèvement litigieux, il est crucial d'agir rapidement, car il existe une période de contestation de 7 jours pour empêcher le débit. Enfin, il souligne l'importance de l'éducation à la cybersécurité pour protéger les organisations.
Sources :
Cisco met en garde contre l'exploitation d'une vulnérabilité WebVPN ASA vieille de dix ans
Cisco a mis à jour un avis pour alerter ses clients sur l'exploitation active d'une vulnérabilité vieille de dix ans affectant son Adaptive Security Appliance (ASA). Cette faille, identifiée sous le nom CVE-2014-2120 (score CVSS : 4.3), concerne une validation insuffisante des entrées sur la page de connexion WebVPN de l'ASA, permettant à un attaquant distant non authentifié de réaliser une attaque par script intersite (XSS) contre un utilisateur ciblé. Cisco a averti que l'attaquant pourrait exploiter cette vulnérabilité en incitant un utilisateur à accéder à un lien malveillant. Le 2 décembre 2024, Cisco a révisé son bulletin pour signaler des tentatives d'exploitation supplémentaires de cette faille. Cette situation survient après que la société de cybersécurité CloudSEK a révélé que les acteurs de la menace derrière AndroxGh0st utilisent cette vulnérabilité pour propager un malware. De plus, l'activité malveillante est associée à l'intégration du botnet Mozi, augmentant ainsi sa portée. En conséquence, la CISA a ajouté cette faille à son catalogue des vulnérabilités exploitées, exigeant des agences fédérales qu'elles la corrigent d'ici le 3 décembre 2024. Les utilisateurs de Cisco ASA sont fortement conseillés de maintenir leurs installations à jour pour se protéger contre ces menaces.
Sources :
« Hacker éthique et cybersécurité » : une analyse indispensable pour comprendre les défis numériques
L'ouvrage « Hacker éthique et cybersécurité : Opportunités et Défis », écrit par Myriam Quéméner et Amélie Köcke, explore le rôle crucial des hackers éthiques dans la lutte contre la cybercriminalité, une menace omniprésente pour les institutions et les entreprises. Publié en novembre 2024, ce livre de 184 pages se veut un outil précieux pour étudiants, professionnels et dirigeants, en mettant en lumière les défis juridiques et économiques auxquels ces experts font face. Bien que leur travail soit essentiel pour protéger les infrastructures numériques, la reconnaissance légale des hackers éthiques demeure complexe en France, souvent à la limite de la légalité. Les auteurs soulignent également l'impact économique croissant de la cybercriminalité, faisant des hackers éthiques un investissement indispensable pour la sécurité des données sensibles. Amélie Köcke, juriste spécialisée, apporte une perspective académique et stratégique, équilibrant théorie et pratique. Cet ouvrage répond à une problématique contemporaine essentielle : comment sécuriser nos systèmes numériques tout en intégrant une approche éthique et collaborative avec les hackers. En somme, « Hacker éthique et cybersécurité » est un incontournable pour quiconque s'intéresse à la cybersécurité et aux enjeux numériques actuels.
Sources :
L'outil NachoVPN exploite les failles des clients VPN populaires pour compromettre le système
Des chercheurs en cybersécurité ont révélé des vulnérabilités affectant les clients VPN de Palo Alto Networks et SonicWall, pouvant être exploitées pour exécuter du code à distance sur des systèmes Windows et macOS. Ces failles tirent parti de la confiance implicite que les clients VPN accordent aux serveurs, permettant aux attaquants de manipuler le comportement des clients et d'exécuter des commandes arbitraires. Un scénario d'attaque hypothétique implique un serveur VPN malveillant qui trompe les clients en leur faisant télécharger des mises à jour malicieuses. Un outil de preuve de concept, NachoVPN, a été développé pour simuler ces serveurs VPN et exploiter les vulnérabilités. Parmi les failles identifiées, la CVE-2024-5921 (score CVSS : 5.6) affecte Palo Alto Networks GlobalProtect, tandis que la CVE-2024-29014 (score CVSS : 7.1) concerne SonicWall SMA100 NetExtender. Bien qu'aucune exploitation de ces vulnérabilités n'ait été signalée, il est recommandé aux utilisateurs de mettre à jour leurs logiciels pour se protéger. Les chercheurs de Bishop Fox ont également étudié le firmware des pare-feu SonicWall pour améliorer la recherche de vulnérabilités et évaluer la sécurité actuelle des pare-feu.
Sources :
Les pirates informatiques nord-coréens Kimsuky utilisent des adresses e-mail russes pour des attaques de vol d'identifiants
Le groupe de cybermenaces Kimsuky, aligné sur la Corée du Nord, est lié à une série d'attaques de phishing utilisant des adresses d'expéditeurs russes pour voler des identifiants. Selon la société de cybersécurité sud-coréenne Genians, ces emails de phishing ont d'abord été envoyés principalement via des services de messagerie au Japon et en Corée, avant de se transformer, à partir de mi-septembre, en messages prétendant provenir de Russie. Kimsuky a exploité le service de messagerie Mail.ru, utilisant divers domaines d'alias pour masquer ses véritables intentions, en se faisant passer pour des institutions financières et des portails internet comme Naver. Des attaques ont également ciblé le service de stockage cloud MYBOX, incitant les utilisateurs à cliquer sur des liens en créant un faux sentiment d'urgence. Les emails, envoyés depuis des domaines tels que "mmbox[.]ru", ont été détectés comme provenant d'un serveur compromis d'une université. Kimsuky utilise des outils de messagerie légitimes pour contourner les vérifications de sécurité. L'objectif final de ces attaques est le vol d'identifiants, permettant de détourner des comptes et de lancer d'autres attaques. Ce groupe a démontré une expertise dans les campagnes d'ingénierie sociale par email.
Sources :
L'attaque de NachoVPN met en danger les clients VPN des entreprises
Des chercheurs d'Amberwolf ont identifié une nouvelle stratégie d'attaque, nommée "NachoVPN", qui permet l'installation de mises à jour malveillantes sur des systèmes cibles, en ciblant principalement des clients VPN d'entreprise comme ceux de Palo Alto et SonicWall. Cette attaque exploite des vulnérabilités non corrigées et permet aux attaquants de tromper les clients VPN en les faisant se connecter à des points de terminaison contrôlés par des malfaiteurs. Une fois la connexion établie, les attaquants peuvent voler des identifiants de connexion et exécuter des codes arbitraires. Les chercheurs ont démontré cette attaque sur deux clients VPN populaires : SonicWall NetExtender et Palo Alto Networks GlobalProtect. L'attaque repose sur des techniques de phishing ou d'ingénierie sociale pour inciter les utilisateurs à se connecter à des serveurs malveillants. Les chercheurs ont également publié un outil NachoVPN sur GitHub, qui peut cibler d'autres clients VPN, comme Cisco AnyConnect. Suite à cette découverte, SonicWall et Palo Alto ont corrigé les vulnérabilités respectives, et les utilisateurs sont encouragés à mettre à jour leurs dispositifs pour se protéger contre ces menaces potentielles.
Sources :
Ce hacker, qui disait être en sécurité en Russie, a été arrêté par la police russe
Mikhail Matveev, un cybercriminel russe connu sous le pseudonyme « Wazawaka », a été inculpé par les autorités russes, marquant un événement rare dans le pays où les hackers opèrent souvent en toute impunité. Matveev, membre du gang Lockbit, a été impliqué dans des attaques informatiques majeures, y compris celles visant des hôpitaux en France. Il se vantait de sa sécurité en Russie, affirmant que les sanctions occidentales le protégeaient contre l'expulsion. Selon les autorités, il prévoyait d'utiliser un logiciel pour chiffrer les données d'entreprises et demander une rançon pour le déverrouillage. Malgré son inculpation, il est actuellement en liberté sous caution, ayant déjà payé des amendes et vu une partie de ses crypto-monnaies confisquées. Matveev a également collaboré avec d'autres groupes de cybercriminalité, tels que Hive et Lockbit, qui partagent des logiciels malveillants avec des partenaires en échange de commissions. Ce développement pourrait signaler un changement dans la tolérance des autorités russes envers les cybercriminels, traditionnellement protégés tant qu'ils n'attaquent pas des cibles russes. D'autres arrestations de hackers ont également eu lieu récemment, suggérant une évolution dans la répression du cybercrime en Russie.
Sources :
La campagne Horns&Hooves diffuse des RAT via de faux e-mails et des charges utiles JavaScript
Une nouvelle campagne de malware, nommée Horns&Hooves par Kaspersky, cible principalement des utilisateurs privés, des détaillants et des entreprises de services en Russie, avec plus de 1 000 victimes depuis mars 2023. Les attaquants utilisent des trojans tels que NetSupport RAT et BurnsRAT pour installer des malwares voleurs comme Rhadamanthys et Meduza. Selon le chercheur Artem Ushkov, la campagne a vu une augmentation des courriels contenant des pièces jointes ZIP déguisées en demandes de clients. Les fichiers JScript, en constante évolution, imitent des bibliothèques JavaScript légitimes pour faciliter l'infection. Un fichier HTML Application (HTA) a été identifié, téléchargeant des scripts malveillants via des outils Windows. Les attaquants ont également intégré le malware directement dans le code JavaScript. TA569, un acteur de menace connu pour ses activités avec le malware SocGholish, est suspecté d'être derrière cette campagne. Les conséquences pour les entreprises victimes peuvent aller du vol de données à l'encryptage et aux dommages système. Kaspersky a observé des tentatives d'installation de malwares voleurs sur certaines machines infectées, soulignant la gravité de cette menace.
Sources :
Sweet Security présente une avancée majeure dans la détection et la réponse dans le cloud, en lançant la première plateforme unifiée de détection et de réponse
Sweet Security a lancé une plateforme unifiée de Détection et Réponse Cloud Native, révolutionnant la protection des environnements cloud en temps réel. Cette solution intègre les capacités de Détection et Réponse d'Application (ADR), de Détection et Réponse Cloud (CDR) et de Protection des Charges de Travail Cloud (CWPP), offrant ainsi une vue d'ensemble des menaces à chaque niveau de la pile cloud. Le PDG, Dror Kashti, souligne que cette plateforme répond aux besoins actuels tout en anticipant les défis futurs, permettant aux organisations de réagir rapidement aux menaces. En moyenne, les équipes de sécurité mettent 10 jours à résoudre les incidents cloud, mais avec Sweet, le temps de détection est réduit à 30 secondes et le temps de réponse à 2-5 minutes, diminuant le temps moyen de résolution (MTTR) de 90 %. La plateforme inclut également des fonctionnalités avancées alimentées par GenAI, telles que la visibilité unifiée du cloud et la gestion des vulnérabilités. Des experts, comme James Berthoty, saluent cette innovation qui améliore la visibilité et la réponse aux incidents. Sweet Security, fondée par un ancien CISO de l'IDF, est soutenue par plusieurs investisseurs et se positionne comme un leader dans la sécurité cloud.
Sources :
La Corée arrête le PDG pour avoir ajouté une fonction DDoS aux récepteurs satellite
La police sud-coréenne a arrêté un PDG et cinq employés pour avoir fabriqué plus de 240 000 récepteurs satellites dotés d'une fonctionnalité d'attaque DDoS, ajoutée à la demande d'un acheteur. Bien que les entreprises impliquées ne soient pas nommées, elles collaborent depuis 2017. En novembre 2018, l'acheteur a demandé l'intégration de cette fonctionnalité pour contrer les attaques d'un concurrent. Les détails sur l'utilisation de cette fonctionnalité DDoS n'ont pas été précisés, mais ces attaques sont illégales lorsqu'elles ciblent des systèmes externes. Les utilisateurs des récepteurs ont involontairement participé à ces attaques, ce qui a pu affecter les performances de leurs appareils. Entre janvier 2019 et septembre 2024, 240 000 récepteurs ont été expédiés, dont 98 000 avec le module DDoS préinstallé. L'enquête a été déclenchée par des informations d'Interpol, qui a signalé qu'une entreprise étrangère importait ces récepteurs malveillants. Les six individus arrêtés font face à des accusations de violations de la loi sur la protection des réseaux de communication. La cour a également ordonné la saisie des actifs de l'entreprise, estimés à 61 milliards de KRW (environ 4,35 millions de dollars).
Sources :
La Russie condamne le leader du marché du dark web Hydra à la prison à vie
Les autorités russes ont condamné Stanislav Moiseyev, le leader du groupe criminel derrière la plateforme du dark web Hydra Market, à la réclusion à perpétuité. En outre, plus d'une douzaine de complices ont également été condamnés pour leur rôle dans la production et la vente de près d'une tonne de drogues. Moiseyev a reçu une amende de 4 millions de roubles, tandis que ses co-conspirateurs ont écopé de peines de 8 à 23 ans de prison, avec des amendes totalisant 16 millions de roubles. Le tribunal a établi que le groupe avait opéré entre 2015 et octobre 2018 dans diverses régions de Russie et en Biélorussie, avec des saisies de drogues et de substances psychotropes lors de perquisitions. Avant sa fermeture par les autorités allemandes et américaines en avril 2022, Hydra Market était le plus grand marché darknet au monde, générant un chiffre d'affaires de 1,35 milliard de dollars en 2020. La plateforme proposait également des bases de données volées et des services de piratage. Cette condamnation marque un tournant dans la lutte contre la cybercriminalité en Russie, un pays souvent accusé de protéger ses cybercriminels.
Sources :
Le malware BootKitty UEFI exploite LogoFAIL pour infecter les systèmes Linux
Le BootKitty est un bootkit UEFI récemment découvert, ciblant les systèmes Linux en exploitant la vulnérabilité LogoFAIL (CVE-2023-40238). Identifié par la société de sécurité Binarly, ce malware est encore en développement et ne fonctionne que sur certaines versions d'Ubuntu. LogoFAIL, une série de failles dans le code de parsing des images UEFI, permet à des images malveillantes d'être exécutées lors du démarrage, contournant des protections comme Secure Boot. BootKitty utilise des fichiers BMP pour injecter du code malveillant, remplaçant des certificats légitimes par des certificats frauduleux, ce qui autorise un bootloader malveillant. Les appareils vulnérables incluent des modèles d'Acer, HP, Fujitsu et Lenovo, avec une attention particulière sur les dispositifs Lenovo utilisant Insyde. Malgré les alertes de Binarly, de nombreux appareils restent non corrigés, soulignant l'importance de mettre à jour les firmwares. Ce projet a été développé par des étudiants du programme de formation en cybersécurité "Best of the Best" en Corée, visant à sensibiliser la communauté sur les risques potentiels. Les utilisateurs sont conseillés de restreindre l'accès physique et d'activer Secure Boot pour se protéger.
