Quelle est la confiance que vous accordez aux créateurs de contenu sur les réseaux sociaux ? Que ce soit des influenceurs les plus connus comme Squeezie aux plus petits créateurs comme nous, les relations para-sociales prennent aujourd'hui de plus en plus de place dans notre quotidien.

Imaginez alors, pendant un instant, que ces créateurs que vous suivez n'ont jamais vraiment existé. Les heures passées à streamer ne faisaient partie que d'une grande supercherie visant à vous voler un maximum d'argent à travers les QR Codes ou les liens diffusés dans le chat !

Pour réaliser ce coup de force, même pas besoin d'IA ou de deepfake, juste d'une victime connue n'ayant pas encore de réseaux sociaux, par exemple.

Voilà la réalité dans laquelle nous évoluons, où tout peut être faux ou usurpé, et on parle de cette attaque plus en détails dans la troisième des quatre actualités cyber qu'il ne fallait pas louper cette semaine !

Orange

Et c'est donc Orange qui ouvre le bal des dataleaks touchant les opérateurs téléphoniques pour cette année, étant le premier opérateur à subir une fuite de ces données en 2025 après Free en décembre.

Orange a confirmé le natale au journal Bleeping Computer où il s'agirait essentiellement de la branche roumaine d'Orange qui est touchée par cette fuite de données, même si les premières victimes sont évidemment les utilisateurs qui seraient au nombre de 380 000 si l'on en croit le nombre d'emails uniques identifiés dans le data breach.

L'attaque aurait eu lieu dimanche dernier par un attaquant ou un groupe d'attaquants se faisant appelé Rey ayant accès depuis maintenant plus d'un mois au SI d'Orange et étant parvenu à extraire pendant plus de trois heures sans se faire détecter pas loin de 6,5 GB de données confidentielles, dont des documents internes, du code et des données clientes évidemment.

Si Rey aurait conduit cette attaque en solo, c'est aujourd'hui confirmé qu'ils font aussi partie du groupe spécialisé dans le ransomware HellCat, responsable de plusieurs autres attaques majeures dont Telefonica, l'équivalent d'Orange en Espagne opérant sous le nom de Movistar. ([1])

Lazarus

Lazarus, est-ce que ce nom vous dit quelque chose ? Ce n'est clairement pas le nom d'un sorcier dans Harry Potter et encore moins celui d'un Pokémon, mais bien d'un groupe de hackers de la Corée du Nord commençant doucement à se faire un petit nom.

Et quand je dis doucement, je veux surtout dire qu'ils sont parvenus à voler 1 milliard 5 de dollars à ByBIT en parvenant à compromettre un transfert de plus de 400 000 Ethereum !

Le groupe d'attaquants est clairement sponsorisé par le gouvernement Nord-Coréen et ce n'est pas la première fois que ces derniers sont parvenus à voler de l'argent à une boîte de crypto, car le mois dernier, c'est 85 millions de dollars qui ont été volés à Phemex.

ByBit est toujours en train d'enquêter sur cette attaque, que ce soit pour trouver comment Lazarus a fait ou pour essayer de retrouver ce petit milliard et inverser la situation.

En attendant, l'entreprise se veut rassurante dans sa communication en annonçant que cette attaque n'aurait aucune conséquence sur leur capacité financière ou sur les autres wallets. Alors j'espère que moi aussi j'aurai les reins assez solides un jour pour ne pas m'inquiéter de la perte d'un milliard de dollars.

En tout cas, Lazarus permet de bien comprendre les menaces que représentent ces groupes APT sponsorisés par les gouvernements, disposant de ressources quasi illimitées et dont leurs attaques peuvent faire très très mal ! ([2], [3])

Parasociale

Est-ce que tu me fais confiance ? De ce que tu connais de moi, est-ce que tu penses que j'existe vraiment et que tu peux me croire sans problème ?

Voilà la faille qu'exploitent les attaquants : la confiance que nous accordons tous les jours aux influenceurs et notre engagement dans ces relations parasociales. Leur idée est simple : tirer profit de la notoriété de quelqu’un pour diffuser massivement des faux sites de phishing ou d'commerce.

Et plus particulièrement, c'est dans le domaine du e-sport que les attaquants ont utilisé cette technique, en se faisant passer pour des joueurs de CS2 connus.

Pour faire simple, les attaquants prennent le contrôle de chaînes Youtube ayant déjà quelques centaines d'abonnés, avant de la rebrander au nom du joueur cible et de diffuser des compilations ou des rediffusions de leurs derniers matchs.

Sur ces lives, des QR Codes ou des liens dans le chat sont partagés pour rediriger les viewers vers des faux sites pour par exemple pour acheter des skins CS2 ou obtenir de la crypto, le but étant au final de récupérer un maximum d’argent.

L’industrie du gaming est aussi bien touchée par les attaques et les tentatives d’ingénierie sociales, alors restez toujours vigilant ! ([4])

GitVenom

En fonction du contexte, 5, ça peut être beaucoup comme rien du tout. Alors si je vous dis que des attaquants sont parvenus, au cumulé, à voler 5 quelque chose, vous pouvez être impressionné comme souffler du nez.

Mais si je vous dis que l’on parle de crypto et plus particulièrement de bitcoin, cela devait déjà vous impressionner un peu plus, car cela représente plus de 450000 euros !

GitVenom est le nom de l’attaque ayant permis ce petit vol identifié par Kaspersky dont les responsables sont encore inconnus mais pas leur mode opératoire.

Tous simplement, les attaquants ont publié des outils OpenSource sur Github pour soi-disant automatiser des tâches sur Insta, Gérer des bots Telegram ou utiliser un cheat sur Valorant, cachant en réalité des malwares permettant de récupérer des clefs de crypto ou d’usurper des clefs de wallets.

Difficile de savoir combien de dépôts sur Github ne sont en réalité que des malwares dissimulés, mais cela montre bien l’importance de gérer ces dépendances au quotidien et de toujours faire attention, même au projet Open Source. ([5], [6])

Toute l'actualité en cybersécurité, développement (WEB, Cloud) et tech sur notre chaine youtube ou en nous contactant pour réaliser une formation en présentiel dans votre entreprise !