Meta confirme une attaque de logiciel espion Zero-Click sur WhatsApp - Actus du 01/02/2025
Découvrez comment une société israélienne a infiltré 90 smartphones via WhatsApp, l'arrestation d'un hacker français lié au vol de crypto-actifs et l'incroyable stratagème d'un policier antidrogue remplaçant la cocaïne par des copies 3D pour dérober des kilos.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
WhatsApp révèle qu’une nouvelle société d’espionnage israélienne a ciblé les smartphones de 90 utilisateurs
WhatsApp a accusé la société israélienne Paragon d'avoir ciblé environ 90 utilisateurs, dont des journalistes et des membres de la société civile, avec des logiciels espions. Selon TechCrunch, Paragon aurait utilisé des fichiers PDF malveillants envoyés via des groupes WhatsApp pour infiltrer les smartphones des victimes et les surveiller à leur insu. WhatsApp a réagi en déployant des mesures pour bloquer cette méthode d'attaque. Zade Alsawah, porte-parole de WhatsApp, a souligné l'importance de tenir les entreprises de logiciels espions responsables de leurs actions illégales et a affirmé que l'application continuera de protéger la communication privée. Paragon, fondée en 2019, a jusqu'à présent maintenu un profil bas, évitant les controverses qui ont touché d'autres sociétés de surveillance comme NSO Group. Malgré son contrat de 2 millions de dollars avec l'Agence des douanes et de la protection des frontières des États-Unis pour des solutions de surveillance, Paragon reste discrète, sans site web officiel, et son PDG, Idan Nurick, n'a pas répondu aux demandes de commentaires. Cette affaire met en lumière les enjeux de la surveillance numérique et la nécessité de protéger la vie privée des utilisateurs.
Sources :
Un pirate français présumé de vol de crypto-actifs interpellé
Le 28 janvier 2025, la police française a arrêté un hacker présumé de 24 ans à l'aéroport, après six ans d'enquête internationale. Il est accusé de vol en bande organisée, blanchiment et atteinte à un système de traitement automatisé de données, suite à un vol de 26 millions d'euros, dont le préjudice a grimpé à 210 millions en raison de la hausse des cryptomonnaies. Le suspect, dont le train de vie extravagant a facilité son identification, est lié à d'autres cyberattaques, notamment celle de GateHub en 2021, où le groupe de hackers "Shiny Hunters" est également impliqué. Parmi les autres membres notables, Abdel-Hakim El Ahmadi et Sébastien Raoult, ce dernier ayant été extradé des États-Unis après une arrestation au Maroc. Les perquisitions ont révélé des véhicules de luxe, témoignant du train de vie des suspects. L'enquête, qui a nécessité des collaborations internationales, a été menée par l'OFAC, soulignant l'importance de la persévérance et des ressources dans la lutte contre la criminalité organisée. Le parquet a demandé la détention provisoire du suspect après sa mise en examen.
Sources :
Un policier de la lutte antidrogue remplaçait la cocaïne par des copies 3D pour voler des kilos
James Darrell Hickox, un ancien agent de la DEA, a été condamné à plus de 17 ans de prison pour vol de drogue et fraude. À 38 ans, il a élaboré un stratagème audacieux pour détourner de la cocaïne saisie. En utilisant une imprimante 3D, il a créé des répliques de paquets de cocaïne, qu'il a ensuite saupoudrées de véritable drogue pour éviter d'éveiller les soupçons. Ce faux kilo a été envoyé à un laboratoire, mais n'a pas été analysé et a été détruit. Hickox aurait utilisé cette méthode pendant près de cinq ans, commandant 30 répliques à une entreprise en Floride, prétendant qu'elles étaient destinées à des missions policières. Lors d'une perquisition, les autorités ont trouvé chez lui 263 grammes de fentanyl et de cocaïne, ainsi qu'un fusil modifié et d'autres armes. Reconnaissant ses erreurs, Hickox a exprimé des regrets, expliquant qu'il avait agi sous la pression d'un diagnostic de cancer, craignant pour l'avenir de sa famille. Cette affaire met en lumière la corruption au sein des forces de l'ordre et les conséquences graves des actes criminels, même de la part de ceux censés faire respecter la loi.
Sources :
Les autorités américaines et néerlandaises démantèlent 39 domaines liés au réseau de fraude BEC
Les agences de la loi américaines et néerlandaises ont annoncé la démolition de 39 domaines et serveurs dans le cadre de l'Opération Heart Blocker, menée le 29 janvier 2025. Cette opération visait à perturber un réseau de marchés en ligne basé au Pakistan, géré par un groupe connu sous le nom de Saim Raza, également appelé HeartSender, actif depuis 2020. Ces sites proposaient des kits de phishing et des outils facilitant la fraude, utilisés par des groupes criminels organisés pour cibler des victimes aux États-Unis dans le cadre de schémas de compromission d'emails professionnels, entraînant des pertes de plus de 3 millions de dollars. Le ministère américain de la Justice a déclaré que Saim Raza avait non seulement rendu ces outils accessibles sur Internet, mais avait également formé les utilisateurs à leur utilisation via des vidéos YouTube. Les outils permettaient de collecter des identifiants de connexion, renforçant ainsi les opérations frauduleuses. Les autorités néerlandaises ont précisé que le groupe criminel avait des milliers de clients avant sa fermeture. Les utilisateurs peuvent vérifier s'ils ont été victimes de vol de données en visitant un site dédié. Cette action fait suite à d'autres démantèlements de marchés criminels en ligne.
Sources :
La faille zero-day de BeyondTrust a exposé 17 clients SaaS via une clé API compromise
BeyondTrust a annoncé avoir terminé son enquête sur un incident de cybersécurité ayant ciblé certaines de ses instances de Remote Support SaaS, exploitant une clé API compromise. La violation a touché 17 clients et a permis un accès non autorisé en réinitialisant les mots de passe des applications locales. L'incident a été signalé pour la première fois le 5 décembre 2024. L'enquête a révélé qu'une vulnérabilité zero-day d'une application tierce a été exploitée pour accéder à un actif en ligne dans un compte AWS de BeyondTrust. Cet accès a permis à l'attaquant d'obtenir une clé API d'infrastructure, utilisée contre un autre compte AWS gérant l'infrastructure Remote Support. Bien que l'application concernée n'ait pas été nommée, l'enquête a mis en lumière deux failles dans les produits de BeyondTrust (CVE-2024-12356 et CVE-2024-12686). La société a révoqué la clé API compromise et suspendu les instances affectées, tout en fournissant des alternatives aux clients. La CISA a ajouté les deux CVE à son catalogue de vulnérabilités exploitées. Les attaques sont attribuées à un groupe de hackers lié à la Chine, Silk Typhoon, avec des sanctions imposées à un acteur cybernétique basé à Shanghai.
Sources :
Meta confirme une attaque de logiciel espion Zero-Click sur WhatsApp ciblant 90 journalistes et militants
WhatsApp, propriété de Meta, a annoncé avoir interrompu une campagne de cyberespionnage visant environ 90 journalistes et membres de la société civile, utilisant un logiciel malveillant d'une entreprise israélienne, Paragon Solutions. Les attaquants ont été neutralisés en décembre 2024. WhatsApp a informé les utilisateurs concernés qu'ils avaient "une forte confiance" dans le fait qu'ils avaient été ciblés et "possiblement compromis". L'attaque, de type "zero-click", ne nécessitait aucune interaction de la part des utilisateurs, impliquant l'envoi d'un fichier PDF spécialement conçu dans des discussions de groupe. WhatsApp a également envoyé une lettre de cessation et d'abstention à Paragon et envisage d'autres actions. C'est la première fois que la société est liée à des abus de sa technologie. Paragon, qui fabrique le logiciel de surveillance Graphite, a été acquis par un groupe d'investissement américain pour 500 millions de dollars. Ce développement survient après qu'un tribunal californien a statué en faveur de WhatsApp dans une affaire contre NSO Group, qui avait utilisé son infrastructure pour déployer le logiciel espion Pegasus. Parallèlement, l'ancien ministre polonais de la Justice a été arrêté pour avoir autorisé l'utilisation de Pegasus contre des leaders de l'opposition.
Sources :
Une arnaque de type « malvertising » utilise de fausses publicités Google pour détourner des comptes publicitaires Microsoft
Des chercheurs en cybersécurité ont découvert une campagne de malvertising ciblant les annonceurs de Microsoft avec de fausses publicités Google, redirigeant les utilisateurs vers des pages de phishing pour voler leurs identifiants. Ces annonces malveillantes, visibles sur Google Search, visent à dérober les informations de connexion des utilisateurs accédant à la plateforme publicitaire de Microsoft. Les attaquants utilisent diverses techniques pour échapper à la détection, comme la redirection du trafic VPN vers un faux site marketing et l'utilisation de défis Cloudflare pour filtrer les bots. La majorité des domaines de phishing sont hébergés au Brésil ou utilisent le domaine de premier niveau ".com.br". Parallèlement, une campagne de phishing par SMS a émergé, se faisant passer pour le service postal américain (USPS) et ciblant les utilisateurs de dispositifs mobiles. Cette campagne utilise des tactiques de social engineering sophistiquées, incitant les victimes à ouvrir un fichier PDF malveillant pour mettre à jour leur adresse. Les données saisies sont ensuite envoyées à un serveur contrôlé par les attaquants. Environ 20 fichiers PDF malveillants et 630 pages de phishing ont été identifiés, soulignant l'ampleur de l'opération. Les cybercriminels exploitent les failles de sécurité des appareils mobiles pour mener ces attaques.
Sources :
Microsoft améliore le contraste du texte pour tous les navigateurs Windows Chromium
Microsoft a annoncé une amélioration du contraste du texte dans tous les navigateurs basés sur Chromium sous Windows, rendant le texte plus lisible sur certains écrans. Cette amélioration a été intégrée au projet open-source Chromium, permettant un meilleur rendu des polices dans des navigateurs comme Google Chrome version 132, lancée le 14 janvier. Les utilisateurs de Windows peuvent également utiliser l'outil ClearType Text Tuner pour ajuster le contraste et les valeurs gamma, accessible via le menu Démarrer. Selon Microsoft, cette mise à jour aligne la qualité du texte affiché dans les navigateurs Chromium sur celle des applications Windows natives. L'entreprise a identifié le moteur de rendu de texte Skia comme responsable des problèmes de flou rencontrés dans divers navigateurs Chromium, en particulier pour les caractères CJK. Avant le passage à Chromium, Microsoft Edge n'avait pas ce problème grâce à l'utilisation de l'API DirectWrite. Cependant, avec l'adoption de Chromium, Edge a hérité des problèmes de flou. Microsoft a sollicité des retours d'expérience des utilisateurs d'Edge concernant ces changements et a encouragé les utilisateurs d'autres navigateurs Chromium à signaler des problèmes sur le bug tracker de Chromium.
