André, votre collègue de toujours pourrait ne pas être celui que vous pensez et pourrait être la première menace de votre entreprise en vous espionnant tous les jours à travers un malware qu’il diffuse secrètement !
Lorsque l’on parle de cyberattaques, le premier réflexe, c’est souvent de penser à un hacker externe à l’entreprise, mais l’on oublie que les menaces internes sont bien réelles !
Il y a quelque temps, c’était un soldat de l’armée américaine, voire carrément le secrétaire à la Défense si l’on considère LEAK du plan de guerre, mais aujourd’hui je vous parle d’un pharmacien abusant de son pouvoir pour diffuser un keylogger au sein de plusieurs services d’un hôpital !
Alors on en parle tout de suite dans notre premier sujet des quatre actualités qu’il ne fallait pas louper cette semaine !
Espionnage
Imaginez que votre collègue vous espionne depuis plusieurs années, évidemment en secret, vous volant jour après jour vos mots de passe, vos photos et vous regardant même à travers votre caméra le soir.
Voilà l'enfer qu’ont subi des centaines de personnes rattachées à l’hôpital universitaire du Maryland à cause d'un collègue pharmacien ayant diffusé massivement sur plus de 400 ordinateurs un keylogger.
Au total, ce sont des mots de passe, des emails et des comptes rattachés à des applications bancaires, de caméra de surveillance ou d'applications de rencontres qui ont pu être volés, mais aussi des centaines de photos personnelles, mais ce n'est pas le pire.
Non, le pire dans tout cela, c'est que ce collègue a aussi pu activer et observer en toute discrétion les caméras des cabines réservées à la téléconsultation !
Au-delà de la vie privée bafouée de ces centaines de personnes, c'est aussi la question de savoir à qui appartient la faute dans cette histoire ?
Évidemment, sans discussion possible, le collègue hacker l’est à 100 %, mais quelle est la part de l'établissement dans tout cela, qui n'a pas réussi à mettre en place les mesures de sécurité nécessaires pour protéger ses employés ?
Voilà une question que je laisse aux juristes car cela ne va pas être simple à résoudre, mais je suis curieux d'avoir votre avis ! ([1], [2])
Backdoor en Suisse
Dans la bataille des backdoors sur les apps de messagerie, de VPN et plus généralement sur les services offrant du chiffrement, un nouveau challenger vient de rentrer dans l'arène et on ne s'y attendait pas car il s'agit de la Suisse.
Et pour la Suisse, neutralité ne signifie pas forcément insécurité ni anonymat et comme tous les autres gouvernements, ces derniers font très attention à ne pas utiliser le terme 'backdoor' mais quoi qu’il en soit, une grande consultation est lancée sur ce sujet.
Mais à la différence des autres pays, la Suisse ne souhaite pas accéder aux données échangées mais uniquement au destinataire des messages.
Et la réalité, c'est que peu importe le type de donnée voulu au départ, peu importe comment on appelle cette demande, y répondre favorablement c'est ouvrir la boîte de Pandore au gouvernement pour demander toujours plus ensuite.
Ce sujet est d'ailleurs toujours aussi chaud même en France, le président du 17cyber et d'autres encore sont venus scander les besoins de telles pratiques pour la défense du pays lors de la dernière session plénière du Forum InCyber à Lille, en essayant de convaincre les experts dans la salle, sans grand succès je l'espère au vu des réactions que j'ai pu observer.
Ah et évidemment, mais sans grande surprise, l'Europe vient aussi de lancer son projet backdoor, appelé ProtectEU avec une volonté d'avoir dès cette année, l'accès aux données de ses ressortissants. ([3], [4])
Fast Flux DNS
Infiltrons-nous quelques instants dans la peau d’un hacker pour comprendre l’un de ses principaux problèmes.
Imaginer que vous venez de compromettre un ordinateur avec un malware typique de command and control, votre premier problème c’est maintenant d’éviter les techniques de détection, notamment du SOC.
Parmi ses techniques, il y a le monitoring de flux sortant pour essayer de détecter les personnes parlant à des IPs qui ne sont pas trop de confiance pour pouvoir bloquer ces flux.
Du coup, en quelques instants, vous vous retrouvez bloqué, sauf si vous décidez de changer rapidement d’IP régulièrement dans la résolution DNS.
Et si j’en parle cette semaine, c’est que le CISA et le FBI alertent sur une utilisation accrue de ces techniques récemment, alors restez bien vigilant en mettant si possible à jour vos règles et éléments de détection. ([5])
Leak de GPS
Est-ce que vous saviez que lorsque vous louez un véhicule, il y a deux grandes chances qu’un appareil soit installé pour pouvoir géolocaliser en direct la voiture ?
Évidemment, cela concerne les voitures pour particuliers mais aussi toutes les sociétés de transports qui peuvent par exemple utiliser la société Nexopt, spécialiste du sujet.
Sauf qu’un leak de données vient d’être découvert à cause d’un Kibana vulnérable et exposé sur Internet, permettant à des attaquants de récupérer notamment la localisation en direct de chaque véhicule mais aussi le type de modèle et le propriétaire avec le numéro VIN.
Et ce genre d’information, peut-être que certains d’entre vous ne vont pas trouver cela très intéressant, pourtant c’est l’occasion pour moi de vous rappeler qu’aujourd’hui la cybercriminalité a pris un autre tournant, s’invitant comme un fournisseur de service classique pour les autres criminels.
En d’autres termes, vous au quotidien vous faites appel à des entreprises et bien les criminels aussi mais entre eux et typiquement, avoir la localisation de certains véhicules de livraison, cela pourrait intéresser grandement plus d’un voleur ! ([6])
Toute l'actualité en cybersécurité, développement (WEB, Cloud) et tech sur notre chaine youtube ou en nous contactant pour réaliser une formation en présentiel dans votre entreprise !
