Les utilisateurs de ServiceNow Vulnerability Response auront désormais accès au produit d’analyse de code open source de Snyk pendant leur processus de développement.
Les failles dans les projets open source peuvent menacer la sécurité des applications. Aussi il existe des outils comme Snyk Open Source, une plateforme d’analyse des composants logiciels (Software Composition Analysis, SCA) capable de trouver, hiérarchiser et corriger les vulnérabilités de sécurité et les problèmes de licence dans les dépendances open source. Cette solution sera désormais accessible aux utilisateurs de ServiceNow Vulnerability Response.
Le service de Snyk s’appuie sur un ensemble de sources publiques, de données provenant de la communauté des développeurs, de recherches exclusives d’experts, d’apprentissage machine et d’IA supervisée. Composante de Security Operations, ServiceNow Vulnerability Response lie les capacités de flux de travail et d’automatisation de la plateforme Now aux données d’analyse des vulnérabilités provenant d’autres fournisseurs, lesquels incluent dorénavant les rapports de Snyk.
Quel impact pour les utilisateurs ?
« L’intégration doit permettre une collaboration DevSecOps efficace afin de renforcer la sécurité des entreprises », a déclaré Manoj Nair, Chief Product Officer de Snyk, dans un communiqué. Cette intégration est disponible pour les clients de Vulnerability Response. Elle est accessible aux clients communs de AppVR de ServiceNow et aux abonnés Open Source SCA de Snyk qui disposent de droits API. La plateforme évite aux développeurs de revenir en arrière dans leur développement pour détecter et sécuriser les vulnérabilités. Grâce à des outils avancés d’analyse des composants logiciels, elle contribue à mieux gérer la sécurité des logiciels libres.
« Grâce à ces outils, les développeurs peuvent surveiller en permanence leurs projets en cours et identifier et corriger les vulnérabilités de sécurité en temps réel, tout en évaluant automatiquement la conformité aux politiques réglementaires », a déclaré M. Nair. « Les workflows automatisés et les recommandations permettent aux développeurs de se préoccuper de la sécurité dès le début, ce qui renforce finalement la posture de sécurité de l’entreprise », a-t-il ajouté. « Avec l’intégration de Snyk, les équipes de sécurité peuvent mieux collaborer avec les développeurs et gérer et répondre de manière centralisée aux vulnérabilités open source à travers les applications », a déclaré pour sa part Lou Fiorello, VP et GM des produits de sécurité chez ServiceNow, dans un communiqué.
25 millions de dollars investis dans Snyk
Dans le cadre d’un financement de série G, ServiceNow investit également 25 millions de dollars dans Snyk, portant les investissements globaux de Snyk à 196,5 millions de dollars. Interrogée sur un lien possible entre l’investissement et l’intégration, Snyk a simplement déclaré que l’investissement de ServiceNow dans Snyk marquait un changement dans l’industrie qui s’éloignait des pratiques de cybersécurité dépassées pour s’orienter de plus en plus vers une sécurité centrée sur le développeur. « L’intégration de Snyk dans ServiceNow Vulnerability Response est un autre pas vers ces pratiques, et la disponibilité de Snyk sur l’une des plateformes IT les plus populaires rend le DevSecOps plus accessible aux entreprises », a déclaré Manoj Nair.
Au même moment où Snyk recevait ce financement de série G, l’entreprise a licencié 14 % de ses effectifs, entraînant le départ de 198 employés en Israël et aux États-Unis. Comme le rapporte Globes, ces licenciements ont eu lieu quelques mois seulement après que la société a licencié 30 employés. En février 2022, Snyk a annoncé l’acquisition de l’entreprise Fugue, spécialisée dans la sécurité et la conformité du cloud. À l’époque, Snyk avait déclaré dans un communiqué que le moteur de politiques unifiées Unified Policy Engine de Fugue était unique dans sa capacité à relier la posture du cloud au code de configuration sur la base d’un seul ensemble de politiques, afin de gérer la conformité et la sécurité tout au long du cycle de vie du développement logiciel (SDLC).
L’éditeur de jeux vidéo Riot Games a été touché par une cyberattaque par ransomware et se voit menacer par une divulgation de code source de son célèbre League of Legends.
Bien qu’il semble courant d’entendre parler de pirates informatiques attaquant des institutions financières et d’autres lieux détenant d’énormes quantités d’informations sur les clients, l’industrie du jeu vidéo n’est pas étrangère aux problèmes de sécurité de l’information. Après Sony, Nintendo, Electronic Arts, Capcom, CD Projekt, ou encore Sega, c’est au tour de l’éditeur de League of Legends, Riot Games, d’être victime d’une cyberattaque par ransomware. Des pirates menacent ainsi de divulguer le code source de League of Legends, l’un des jeux gratuits les plus populaires au monde, si leurs demandes ne sont pas satisfaites. Le montant de la rançon atteint 10 M$.
Selon des publications sur le compte Twitter officiel de Riot (repéré par The Record), l’attaque a eu lieu la semaine dernière, en utilisant des techniques d’ingénierie sociale qui n’ont pas été détaillées. Cette méthode consiste à cibler un salarié et l’amener par différents stratagèmes à lui sous tirer ses identifiants.
Du code source dans la nature
Selon Riot, les voleurs ont pu accéder à l’infrastructure de l’entreprise pour voler le code source du jeu pour League of Legends et le dernier jeu de stratégie mobile Teamfight Tactics, ainsi que des outils anti-triche. Bien que Riot affirme qu’aucune donnée client n’a été consultée, les informations volées pourraient rendre les jeux vulnérables à des tromperies et exploits. Cela s’ajoute à la possibilité plus simple que le code source s’évapore dans la nature et que des développeurs moins scrupuleux copient tout simplement les jeux de Riot. L’éditeur est malgré tout resté droit dans ses bottes et refuse de céder à la demande de rançon des pirates.
L’attaque a provoqué une pause temporaire des mises à jour des jeux concernés et pourrait entraîner un déploiement plus lent des correctifs à venir. Une situation qui handicape sérieusement l’activité de la société à l’instar de ce que traverse malheureusement un nombre grandissant d’entreprises depuis des semaines.
La technologie basée sur l’IA de Nvidia détecte les comportements inhabituels et les associe aux utilisateurs pour prévenir les attaques d’initiés et protéger les identifiants numériques.
Le californien Nvidia a annoncé hier que sa dernière offre de sécurité était désormais accessible dans un environnement de test. Dans ce laboratoire digital, les utilisateurs peuvent essayer une technologie alimentée par l’IA (Morpheus) conçue par le fournisseur de Santa Clara pour surveiller les comptes d’utilisateurs individuels et repérer des comportements potentiellement dangereux. Selon l’entreprise, l’idée est d’exploiter les grandes quantités de données que de la plupart des entreprises compilent sur les événements de connexion et d’accès aux données sur leurs systèmes, et de les utiliser pour entraîner une IA ayant la capacité de surveiller les comptes d’utilisateurs et de repérer ceux qui s’écarteraient de leurs pratiques habituelles. Selon Nvidia, le système serait capable d’identifier les véritables évènements à « haut risque » et pourrait éviter aux équipes de sécurité de passer au peigne fin des millions d’événements chaque semaine. Cette technologie n’a rien de nouveau, Darktrace propose une solution proche depuis plusieurs années déjà. Nvidia met exploite simplement un peu plus les ressources de calcul de ses accélérateurs pour mettre en avant la sécurité avec de la simulation numérique.
Un « kit LEGO » de l’empreinte numérique
Dans un billet de blog officiel, Nvidia a déclaré que sa solution était une sorte de « kit LEGO » de l’empreinte numérique, dans le sens où elle permettait aux utilisateurs de personnaliser la solution pour qu’elle réponde au mieux à leurs besoins. Justin Boitano, vice-président de Nvidia pour l’entreprise et l’edge computing, a déclaré dans une réunion que le système pouvait à la fois réduire les charges de travail et réaliser une identification plus rapide des malfaiteurs potentiels. « Ce workflow d’API d’empreintes numériques permet aux entreprises de sécurité de détecter les menaces instantanément », a-t-il déclaré. « Cela signifie que les attaques d’identité, qui sont la forme la plus courante d’attaques de sécurité d’entreprise où les mauvais acteurs cherchent à voler les identifiants des employés via l’ingénierie sociale, ou les tentatives de phishing, peuvent être rapidement atténuées et détectées instantanément », a-t-il ajouté.
Selon Nvidia, cette solution de sécurité soutenue par l’IA n’est que la première d’une longue série. « À l’avenir, des profils d’utilisateurs plus précis, pouvant inclure des données aussi granulaires que la vitesse et la précision de la frappe, pourraient être utilisés pour identifier les comportements suspects », a déclaré l’entreprise dans son billet de blog. « Les données sur les événements réseau représentent une ressource extrêmement précieuse pour construire des modèles d’IA qui durcissent les réseaux, mais personne ne veut partager d’informations détaillées sur des utilisateurs réels et des effractions », a écrit le fournisseur. « Les données synthétiques, générées par une variante de l’empreinte numérique, pourraient combler cette lacune, en laissant les utilisateurs créer ce dont ils ont besoin pour répondre à leur cas d’usage ». Le système d’empreintes numériques est actuellement disponible sur la plateforme AI Enterprise de Nvidia, et le module de test – qui permet aux utilisateurs d’explorer un déploiement réel sur une architecture échantillon hébergée chez Equinix et d’interagir avec les experts du fournisseur – est disponible via le site Web LaunchPad de l’entreprise depuis hier.
La dernière mise à jour de l’OS Apple apporte quelques correctifs qui raviront les utilisateurs d’iPhone. Le bug de l’écran de l’iPhone 14 est enfin éliminé et plusieurs autres défauts sont corrigés.
La version 16.3 d’IOS est disponible pour tous les iPhone 8 et ultérieurs et comporte quelques fonctionnalités intéressantes, notamment la prise en charge des clés de sécurité physiques pour les identifiants Apple. Plus important encore, il contient plusieurs corrections de bugs et mises à jour de sécurité que les utilisateurs d’iPhone attendaient avec impatience. Selon les notes d’d’Apple, la mise à jour iOS 16.3 « corrige un problème où des lignes horizontales peuvent temporairement apparaître lors du réveil de l’iPhone 14 Pro Max ». Au cours des dernières semaines, certains utilisateurs d’iPhone 14 se sont plaints de lignes horizontales clignotant sur leur écran. Selon les messages sur les réseaux sociaux et les forums de discussion type Reddit, les lignes apparaissent lorsque l’iPhone se réveille ou redémarre.
En outre, cette version corrige certains autres bogues récurrents. Le problème où le fond d’écran peut apparaître noir sur l’écran de verrouillage a été résolu tout comme celui où le widget de l’écran de verrouillage n’affichait pas correctement l’état de l’application Accueil. De même, les problèmes touchant à Siri et CarPlay ont été résolus ; l’un concernait Siri qui ne pouvait pas répondre correctement aux demandes de musique. L’autre impactait les demandes de Siri dans CarPlay parfois mal comprises.
Une poignée de correctifs apportés
Il y a également plusieurs bulletins de sécurité qui pourraient causer des problèmes majeurs pour le terminal si elles ne sont pas corrigées. La plus préoccupante concerne Screen Time, l’application de contrôle parental et de gestion d’écran d’Apple. Selon les notes, iOS 16.3 corrige un problème où une application « peut être en mesure d’accéder aux informations sur les contacts d’un utilisateur ».
La mise à jour va aussi probablement ramener l’architecture Home, arrivée il y a peu dans iOS 16.2 et retirée juste avant les vacances de Noël en raison d’un problème de partage. A l’époque la firme de Cupertino n’avait pas fourni d’indication sur la date de son rétablissement. La mise à niveau de l’architecture Home est réapparue dans la deuxième version bêta d’iOS 16.3, ce qui laisse penser qu’Apple a réglé le problème. Cependant, il n’en est pas fait mention dans les notes de mise à jour, ce qui signifie qu’elle pourrait apparaître à un moment donné avant le lancement d’iOS 16.4.
Le fournisseur de solutions de protection des API Wallarm propose désormais une fonction d’analyse et de remédiation automatisée pour les compromissions d’API.
Avant le week-end, l’entreprise Wallarm, spécialisée dans la sécurité des API, a annoncé que son système d’analyse active qui vérifie les sources publiques de données d’API compromises, alerte les utilisateurs et fournit des réponses automatisées en cas de compromission, était disponible en mode preview. La fonction de protection contre les fuites d’API, API Leak Protection, qui sera déployée via la plateforme de sécurité d’API de bout en bout existante de Wallarm, s’appuie sur l’inventaire des API de l’entreprise concernée. Le système compare ces API aux données compromises trouvées dans les sources publiques connues de fuites d’informations sur les API comme Pastebin, des dépôts publics et même les sources du dark web. API Leak Protection révoque ensuite tout accès aux requêtes effectuées avec des jetons compromis et bloque l’utilisation de ces jetons pour les requêtes futures. Comme l’a expliqué Ivan Novikov, le CEO de Wallarm, cette approche est différente de l’approche habituelle de détection des compromissions d’API. « Au lieu de commencer par une clé d’API spécifique ou un modèle de clé et de tenter l’impossible, nous commençons par comprendre les spécifications de l’API et le trafic d’un client ou d’une entreprise spécifique », a-t-il déclaré par courriel. « À partir de là, nous essayons de comprendre quelles clés d’API et autres secrets sont utilisés et comment ils le sont », a-t-il ajouté.
Les données d’API compromises, cibles des cyberattaques
Pour 2023, presque toutes les entreprises ont classé la sécurité des API en tête de leurs préoccupations. Le passage au cloud, les devops et l’essor des technologies opérationnelles comme l’IoT ont rendu l’IT de plus en plus dépendant des logiciels, si bien que de plus en plus de systèmes sont vulnérables aux techniques d’attaque basées sur les logiciels qui ciblent les données d’API compromises. Dans un billet de blog, Wallarm fait remarquer que plusieurs facteurs exacerbent ce problème, notamment des plannings plus serrés pour les équipes d’ingénieurs, des piles technologiques de plus en plus compliquées, mixant souvent des technologies API anciennes et nouvelles, et des chaînes d’approvisionnement en logiciels extrêmement complexes. « Les fuites de clés d’API et d’autres secrets peuvent avoir plusieurs origines, par exemple des erreurs de développeurs, l’absence de contrôles d’accès aux référentiels, un usage non sécurisé à des services publics ou encore des divulgations accidentelles de données par des entrepreneurs, des partenaires et des utilisateurs, ce qui rend le problème très difficile à gérer et à protéger », a déclaré Wallarm. « Or ces fuites peuvent représenter une menace de sécurité importante pour les entreprises, car elles peuvent exposer des informations sensibles, conduire à une prise de contrôle du compte ou du système, voire pire ».
Des attaques de ce type ont déjà fait la une des journaux. Par exemple, en décembre 2022, Slack a subi une compromission mineure de ses référentiels de code hébergés en externe, suite au vol de jetons d’employés, et l’année dernière, LastPass s’est fait voler des données techniques de manière similaire. Les clients actuels de Wallarm peuvent contacter leur représentant du service d’assistance ou leur gestionnaire de compte pour participer au programme d’accès anticipé à la protection contre les fuites. Le prix est calculé en fonction du volume de demandes. Selon le fournisseur, la date de disponibilité générale sera décidée en fonction de la demande des clients et des commentaires, ce qui, selon M. Novikov, prendra probablement « quelques mois ».
Résilience, proximité avec les métiers, rationalisation des moyens, data, sécurité… Huit grandes priorités se détachent pour les dirigeants IT en 2023. Et pour bien démarrer l’année, mieux vaut s’attaquer de front aux problèmes les plus difficiles.
Bienvenue en 2023. Pendant cette nouvelle année, les DSI seront confrontés à une série de défis dans un contexte de plus en plus imprévisible, et devront faire en sorte, dans le même temps, d’optimiser la productivité et l’efficacité de l’IT. « Ces dernières années, à mesure que les projets technologiques, les budgets et les effectifs augmentaient, l’accent a été mis sur la rapidité de mise sur le marché en vue de maximiser les opportunités », relève Troy Gibson, responsable des services aux DSI au sein de Centric Consulting, un cabinet de conseil en stratégie et en IT. Ce n’est plus le cas aujourd’hui. « Alors que l’économie se déplace vers le contrôle des coûts, les DSI devront trouver des solutions pour maintenir les résultats qu’ils délivrent, mais avec moins de marge d’erreur », reprend Troy Gibson. « La qualité d’exécution sera déterminante ». Pour relever ces défis – sans faire table rase de leurs enjeux passés -, les dirigeants IT doivent réévaluer leurs stratégies métiers et technologiques et, si nécessaire, les réorienter pour répondre à l’évolution rapide des préoccupations de leur organisation.Huit priorités retiennent en particulier l’attention.
Lire la suite de l’article sur CIO
En lançant QuEverywhere, la société Quescure adapte son offre de chiffrement quantique à des terminaux bout de réseau incluant PC, smartphones et object connecté. L’objectif est d’anticiper le risque de voir un ordinateur quantique casser la cryptographie actuelle.
La sécurité informatique est souvent une affaire de prévention et de préparation. C’est bien dans ce cadre que s’inscrit la société QuSecure qui opère dans un domaine en devenir, le chiffrement quantique. Elle a annoncé le lancement d’une solution nommée QuEverywhere conçue pour étendre la sécurité quantique aux points de terminaisons (smartphone, PC ou serveur, IoT). Il s’agit d’une offre SaaS, mais le groupe est resté muet sur la tarification.
Cette plateforme repose selon l’entreprise sur une application ou un navigateur avec une couche de chiffrement quantique sur les connexions ou les transactions. Pour cela, elle se sert en grande partie de la technologie quantique fournie par QuProtect et le module proxy Quark Orchestrator. Ce dernier va gérer le chiffrement, le décryptage et la gestion des sessions pour l’ensemble du système. Concrètement, il ajoute une couche de chiffrement quantique sur un protocole TLS (transport layer security) standard.
QuEveryWhere repose sur l’offre QuProtect de la société. (Crédit Photo : QueSecure)
L’ordinateur quantique, casseur de chiffrement en puissance
Pour Rebecca Krauthamer, directrice produit chez QuSecure, « la mise à niveau vers un chiffrement quantique est une nécessité que toute entreprise devra entreprendre tôt ou tard ». Et d’ajouter : « notre mission est de se servir de l’arrivée prochain de l’informatique quantique comme catalyseur pour corriger fondamentalement la manière dont la cryptographie est utilisée et gérée ». La dirigeante insiste sur l’aspect « frictionless » de l’offre QuEverywhere, en spécifiant que son application est transparente et ne doit pas nécessiter d’action de la part de l’utilisateur final.
Cette annonce intervient dans un contexte de fortes interrogations sur la capacité de l’informatique quantique pour briser les solutions de chiffrement actuelles. Différentes dates circulent autour de cette faculté, 3 à 5 ans pour certains, plus pour d’autres. Récemment le monde scientifique s’est ému d’un article publié par des universitaires chinois qui laissait à penser qu’ils étaient prêts à casser le chiffrement RSA-2048 avec un puce quantique relativement limitée en qubit. D’autres chercheurs ont mis en garde sur la possibilité d’attaques de type « stocker maintenant et déchiffrer plus tard », dans lesquelles les données chiffrées seraient dérobées et conservées en attendant le moyen quantique de les déchiffrer.
L’exploitation d’une vulnérabilité permet aux attaquants d’exécuter à distance du code et des commandes arbitraires sans authentification dans des équipements de sécurité Fortinet non patchés.
En décembre, l’éditeur de solutions de sécurité réseau Fortinet a révélé qu’une vulnérabilité critique dans son système d’exploitation FortiOS était exploitée par des attaquants dans la nature. En fin de semaine dernière, après une analyse supplémentaire, l’équipementier a livré plus de détails sur l’implant de malware que ces attaquants ont déployé en exploitant la vulnérabilité. Sur la base des informations actuellement disponibles, l’attaque zero-day initiale ciblait fortement des entités liées à des instances gouvernementales. Cependant, comme la vulnérabilité est connue depuis plus d’un mois, tous les clients devraient la corriger dès que possible, car d’autres attaquants pourraient commencer à l’utiliser.
Exécution de code à distance dans FortiOS SSL-VPN
La vulnérabilité, référencée CVE-2022-42475, se situe dans la fonctionnalité SSL-VPN de FortiOS et elle est exploitable par des attaquants à distance sans authentification. Une exploitation réussie peut entraîner l’exécution de code et de commandes arbitraires. Fortinet a évalué la vulnérabilité à 9.3 (Critique) sur l’échelle du Common Vulnerability Scoring System (CVSS) et a publié des mises à jour pour les principales variantes de FortiOS, FortiOS-6K7K et FortiProxy, la solution de passerelle web sécurisée du fournisseur. FortiOS fonctionne sur les pares-feux de sécurité réseau FortiGate et d’autres appareils de l’équipementier. Les clients qui ne sont pas en mesure de déployer immédiatement les mises à jour peuvent, en guise de contournement, désactiver entièrement SSL-VPN, ce qui pourrait s’avérer difficile pour les entreprises qui s’appuient sur cette fonctionnalité pour leurs environnements de travail à distance ou hybrides. Le fournisseur a également publié une signature IPS (système de prévention des intrusions) pour détecter les tentatives d’exploitation, ainsi que des règles de détection pour l’implant connu dans son moteur antivirus. Les clients peuvent également rechercher dans leurs journaux les entrées suivantes qui pourraient révéler des tentatives d’exploitation : Logdesc=”Application crashed” et msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace : […]”
L’implant, caché derrière une version trojanisée du moteur IPS de FortiOS
Dans l’attaque analysée par Fortinet, les attaquants ont exploité la vulnérabilité et copié une version trojanisée du moteur FortiOS IPS dans le système de fichiers. Cette modification montre que les attaquants sont très qualifiés et qu’ils sont capables de faire de la rétro-ingénierie de composants FortiOS personnalisés. La version malveillante du moteur IPS a été enregistrée sur le système de fichiers sous le nom de /data/lib/libips.bak. Il s’agit d’une copie de la version légitime /data/lib/libips.so mais avec des modifications malveillantes. En effet, la version malveillante exporte deux fonctions légitimes appelées ips_so_patch_urldb et ips_so_query_interface normalement associées à la version légitime libips.so, mais elles ont été détournées pour exécuter du code stocké dans d’autres composants malveillants. « Si libps.bak est nommé libips.so dans le répertoire /data/lib, le code malveillant sera exécuté automatiquement car les composants de FortiOS appelleront ces fonctions exportées », ont indiqué les analystes de Fortinet. « Le binaire ne tente pas de revenir au code propre du moteur IPS, de sorte que la fonctionnalité IPS est également compromise », ont-ils aussi précisé. En d’autres termes, une fois que la version malveillante est exécutée, la fonctionnalité IPS légitime ne fonctionne plus correctement. Les fonctions détournées exécutent un code malveillant qui lit et écrit ensuite dans un certain nombre de fichiers appelés libiptcp.so, libgif.so, .sslvpnconfigbk et libipudp.so.
Les analystes n’ont pas été en mesure de récupérer tous ces fichiers à partir de l’appareil compromis qu’ils ont analysé, et n’ont donc pas pu reconstituer toute la chaîne d’attaque. Néanmoins, ils ont trouvé un fichier appelé wxd.conf dont le contenu est similaire au fichier de configuration d’un proxy inverse open-source qui peut être utilisé pour exposer un système situé derrière un routeur NAT (Network Address Tanslation) à Internet. L’analyse des captures de paquets réseau de l’appareil suggère que le logiciel malveillant a connecté deux serveurs externes contrôlés par l’attaquant pour télécharger des charges utiles et des commandes supplémentaires à exécuter. L’un des serveurs était toujours en activité et disposait d’un dossier contenant des binaires conçus spécifiquement pour différentes versions du matériel FortiGate. Ainsi, les chercheurs ont pu analyser des fichiers supplémentaires qui, selon eux, ont été exécutés par les attaquants sur les systèmes pour manipuler la fonctionnalité de journalisation dans FortiOS.
Selon les chercheurs :
– Le malware patche les processus de journalisation de FortiOS afin de manipuler les journaux pour échapper à la détection. – /bin/miglogd & /bin/syslogd.
– Il comprend des offsets et des opcodes pour 27 modèles et paires de versions de FortiGate. Le malware ouvre une poignée ou handle sur les processus et y injecte des données.
– Les versions concernées vont de 6.0.5 à 7.2.1.
– Les modèles sont FG100F, FG101F, FG200D, FG200E, FG201F, FG240D, FG3H0E, FG5H0E, FG6H1E, FG800D, FGT5HD, FGT60F, FGT80F.
– Le malware peut manipuler les fichiers logs. Il recherche les fichiers elog, dénomination des journaux d’événements dans FortiOS. Après les avoir décompressés en mémoire, il recherche une chaîne de caractères spécifiée par l’attaquant, la supprime et reconstruit les journaux.
– Le malware peut également détruire les processus de journalisation.
Les chercheurs ont également trouvé sur le service d’analyse de fichiers en ligne VirusTotal de Google un échantillon d’un binaire Windows dont le code présente des similitudes avec le binaire Linux présent sur FortiOS. Cet échantillon Windows a été compilé sur une machine localisée dans le fuseau horaire UTC+8, qui comprend l’Australie, la Chine, la Russie, Singapour et d’autres pays d’Asie orientale. Les certificats auto-signés utilisés par les attaquants ont aussi été créés entre les fuseaux UTC+3 et +8. « Il est difficile d’en tirer des conclusions, car les pirates n’opèrent pas nécessairement pendant les heures de bureau, mais se calent souvent sur les heures de bureau de leurs victimes pour noyer leur activité dans le trafic réseau global », ont déclaré les chercheurs. L’avis de Fortinet contient de nombreux indicateurs de compromission, notamment des chemins de fichiers, des hachages de fichiers, des adresses IP, et même des signatures permettant de détecter les communications malveillantes de cet implant à l’intérieur des captures de paquets réseau.
L’enquête du cabinet d’avocats DLA Piper sur le RGPD et les violations de données montre une augmentation de 168 % des amendes au cours des 12 derniers mois, pour un montant record de 2,92 milliards d’euros. Les autorités de protection des données tournent désormais leur regard vers l’intelligence artificielle.
Les régulateurs européens des données ont émis un montant record de 2,92 milliards d’euros d’amendes l’année dernière, soit une augmentation de 168 % par rapport à 2021 (près de 1,1 milliard d’euros). C’est ce que révèle la dernière enquête RGPD et Data Breach du cabinet d’avocats international DLA Piper, qui couvre les 27 États membres de l’Union européenne, plus le Royaume-Uni, la Norvège, l’Islande et le Liechtenstein. La plus grosse amende de cette année, d’un montant de 405 millions d’euros, a été infligée par le commissaire irlandais à la protection des données (DPC) à Meta Platforms Ireland Limited concernant Instagram pour des manquements présumés à la protection des données personnelles des enfants. Le DPC irlandais a également infligé une amende de 265 millions d’euros à Meta pour ne pas avoir respecté l’obligation du RGPD en matière de protection des données by design et par défaut. Les deux amendes font actuellement l’objet d’un appel.
Malgré l’augmentation globale des amendes depuis le 28 janvier 2022, l’amende de 746 millions d’euros que les autorités luxembourgeoises ont infligée à Amazon l’année dernière reste la plus importante émise par un régulateur de données basé dans l’UE à ce jour (bien que l’on pense que le géant du e-commerce pourrait encore faire appel). Le rapport a également révélé une augmentation notable de l’attention portée par les autorités de surveillance à l’utilisation de l’intelligence artificielle (IA), tandis que le volume des violations de données signalées aux régulateurs a légèrement diminué par rapport au total de l’année précédente.
Les autorités plus sûres d’elles, les amendes en hausse
La dernière édition de l’enquête sur le RGPD et les violations de données a montré une augmentation significative d’une année sur l’autre de la valeur globale des amendes liées au règlement général sur la protection des données. « Cette hausse témoigne de la confiance croissante des autorités de contrôle et de leur volonté d’imposer des amendes élevées en cas de violation du RGPD, notamment à l’encontre des grands fournisseurs de technologies, et a également été influencée par l’impact fortement inflationniste de l’EDPB (Comité européen de la protection des données) », peut-on lire dans le rapport. « Les autorités locales de protection des données auront sans doute suivi avec intérêt les décisions de l’EDPB dans le cadre du mécanisme de cohérence du RGPD. Ces dernières concernant les amendes se sont traduites par une augmentation significative de la sanction finale imposée », a-t-il ajouté.
L’enquête a également mis en évidence l’impact de certaines décisions notables prises par les autorités de contrôle de la protection des données cette année concernant l’application des exigences de Schrems II et du chapitre V du RGPD relatif au transfert extraterritorial des données personnelles. Ross McKean, président du groupe britannique de protection des données et de cybersécurité, a déclaré : « La série d’amendes irlandaises du DPC visant les pratiques de publicité comportementale des plateformes de médias sociaux cette année ont le potentiel d’être tout aussi profondes pour l’avenir de la « grande affaire » au cœur de l’internet « libre » d’aujourd’hui. Compte tenu de l’enjeu, nous pouvons nous attendre à des années d’appels et de litiges. La loi est très loin d’être fixée sur ces questions ». L’Irlande (1 303 514 500 €), le Luxembourg (746 345 675 €) et la France (428 238 300 €) sont en tête de la liste du montant global des amendes RGPD imposées du 25 mai 2018 à ce jour, le Royaume-Uni (59 242 800 €) se classant au septième rang.
L’IA dans le viseur des régulateurs
Les Cnil européennes se concentrent davantage sur l’utilisation de l’IA et le rôle que jouent les données personnelles dans la formation de la technologie de l’IA, indique le rapport. « Elle a un impact sur tous les secteurs, qu’il s’agisse de l’automatisation des processus, de l’apprentissage automatique, des chatbots, de la reconnaissance faciale en passant par la réalité virtuelle et au-delà. Les données personnelles sont souvent le carburant qui alimente l’IA utilisée par les entreprises. Elles permettent d’adapter les paramètres de recherche, de repérer les tendances comportementales et de prédire les futurs résultats possibles », peut-on lire dans le rapport. Comme de nombreux systèmes d’IA utilisent des données personnelles, la réglementation de ces systèmes relève souvent du champ d’application du RGPD. « Plusieurs autorités de contrôle de la protection des données ont publié des orientations sur l’utilisation des données personnelles pour l’IA cette année », ajoute l’étude.
En mai 2022, l’ICO britannique a infligé une amende de 7 552 800 £ à la société de reconnaissance faciale Clearview AI pour avoir enfreint les lois sur la protection des données en raison de son utilisation d’images de visages de personnes et de données provenant d’informations accessibles au public. L’ICO a affirmé que l’entreprise avait collecté plus de 20 milliards d’images de visages de personnes et de données provenant d’informations accessibles au public sur l’internet et les plateformes de médias sociaux du monde entier. Le tout dans l’intention de créer une base de données en ligne, sans informer les personnes que leurs images étaient collectées ou utilisées de cette manière.
Le chatbot gratuit ChatGPT d’OpenAI soutenu par Microsoft s’améliore très vite et peut non seulement écrire des e-mails voire des essais, mais aussi coder. Polyglotte, l’outil pourrait aussi faciliter et augmenter de manière exponentielle les attaques de phishing.
ChatGPT, l’agent conversationnel d’OpenAI basé sur GPT-3.5, est sorti le 30 novembre 2022 et a accumulé un million d’utilisateurs en cinq jours. En comparaison, il a fallu deux ans à Twitter pour atteindre un million d’utilisateurs. Facebook a pris dix mois, Dropbox sept, Spotify cinq, Instagram six semaines. Pokemon Go dix heures : alors ne sortez pas les bouteilles de champagne, mais cinq jours, c’est quand même assez impressionnant pour un outil web ne disposant d’aucune reconnaissance de nom intégrée. Il y a tellement de bonnes raisons de s’interroger à propos du ChatGPT d’OpenAI en ce moment : il écrit par exemple de meilleurs devoirs que l’étudiant moyen du secondaire ou du collège. Il peut aussi écrire et déboguer du code. « Cela permet aux personnes n’ayant aucune connaissance en code et en développement d’imiter un développeur », fait savoir Sergey Shykevich, responsable du groupe Threat Intelligence chez Check Point Software Technologies. Basé en Israël, celui-ci surveille les discussions sur le dark web. Et il a déjà trouvé des preuves que des acteurs de la menace, y compris certains sans expérience de développement, utilisent ChatGPT pour créer des scripts malveillants. Des articles sur Habr.com, un blog technologique russe, ont ainsi commencé à apparaître le 5 décembre 2022, expliquant comment utiliser ChatGPT pour la programmation. Sur 2Chan, la réponse russe à 4Chan, des échanges sur la manière de contourner le blocage géographique d’OpenAI ont eu lieu le 7 décembre dernier.
Certains utilisateurs emploient l’IA de manière non maligne, par exemple pour créer des images artistiques ou des livres électroniques pour… les vendre en ligne. ChatGPT peut aussi expliquer la physique quantique, écrire de la poésie, créer un plan de repas personnalisé et obtenir un peu plus que la moyenne (1020) au test de connaissances SAT. Et plus les gens l’utilise, plus il devient pertinent. Avec une prochaine version améliorée attendue cette année, les concurrents se lancent déjà dans la partie. Par exemple, You.com a déjà son propre clone ChatGPT, qui, contrairement à lui, accède à Internet et peut répondre aux questions sur l’actualité. Microsoft, qui a déjà investi 1 Md$ dans OpenAI, prévoit d’injecter 10 Md$ supplémentaires et intégrer ChatGPT à son moteur de recherche Bing en mars et un peu plus tard dans sa suite Office. Quant à Google, c’est le branle-bas de combat avec un « code rouge » émis, signifiant une urgence absolue à réagir.
Comment ChatGPT peut servir à du phishing
On parle beaucoup du chatbot conversationnel et de ce qu’il peut faire. Ce qui angoisse les responsables de la sécurité dans les entreprises, c’est qu’il offrira – tout autant que ses concurrents – aux attaquants pour augmenter considérablement la qualité et la quantité de leur code mais aussi de leur texte. Les capacités de codage de ChatGPT sont effrayantes, mais même en limitant sa performance à générer du texte, ses possibilités pour les cybercriminels sont assez impressionnantes et susceptibles de s’améliorer rapidement. Aujourd’hui, il est déjà capable d’écrire des e-mails indiscernables de ceux écrits par des humains, dans n’importe quel style d’écriture. Il peut générer du texte pour les publications sur les réseaux sociaux, les scripts vidéo YouTube, le contenu de site web, les communiqués de presse, les critiques…
Bref : tout ce dont un attaquant a besoin pour créer une fausse présence sur le web, un faux personnage ou usurper de vraies personnes existantes. En ce qui concerne le phishing, les attaquants peuvent commencer par utiliser le chatbot et des plateformes similaires pour générer des e-mails individuels réalistes. Les versions open source de la technologie devenant également rapidement disponibles, ceux qui ont des compétences plus avancées et un accès à des comptes de messagerie compromis pourront former leurs IA sur les communications volées d’une entreprise. Grâce aux scripts et à l’automatisation, ils peuvent créer un nombre infini de communications personnalisées produites en masse, capables d’apprendre en temps réel ce qui fonctionne et ce qui ne fonctionne pas.
Voici un exemple :
BadGuy : Je suis Tom. J’écris une lettre à Becky. Je lui envoie un fichier Excel pour l’ouvrir. Un contenu commercial très important. C’est la comptable de la société ABC
ChatGPT : Bonjour Tom, ravi de vous rencontrer. Je suis heureux de vous aider à écrire une lettre à Becky. Il semble que vous ayez un fichier Excel important que vous devez envoyer à Becky pour qu’elle l’examine. Y a-t-il quelque chose de spécifique que vous aimeriez inclure dans la lettre ?
BadGuy : Ouais. Elle a besoin de l’ouvrir aujourd’hui
ChatGPT : D’accord, voici une suggestion de ce que vous pourriez inclure dans votre lettre :
Chère Becky, J’espère que vous allez bien. Je vous écris pour vous demander d’ouvrir et d’examiner le fichier Excel ci-joint dès que possible. Le fichier contient un contenu commercial important qui doit être traité aujourd’hui. Je vous remercie d’avance pour votre prompte attention à ce sujet. Sincèrement, Tom.
Cette lettre traduit l’urgence de la situation et demande à Becky d’examiner le dossier dans les plus brefs délais. Cela vous semble-t-il bon ?
BadGuy : suggérer des idées pour expliquer pourquoi il est important d’ouvrir aujourd’hui
ChatGPT : Il existe de nombreuses raisons possibles pour lesquelles il peut être important d’ouvrir le fichier Excel aujourd’hui. Voici quelques idées : Le dossier contient des informations financières importantes qui doivent être examinées avant une réunion ou une échéance Le fichier contient des données qui sont sensibles au facteur temps et doivent être analysées dès que possible Le fichier contient des instructions ou des mises à jour qui doivent être mises en œuvre aujourd’hui Le fichier contient des informations pertinentes pour un projet ou une tâche en cours sur laquelle Becky travaille C’est à vous de décider quelle raison est la plus pertinente à votre situation. Vous pourriez inclure ces informations dans votre lettre pour permettre à Becky de mieux comprendre pourquoi il est important pour elle d’ouvrir le dossier le plus tôt possible
BadGuy : utiliser le 1er
ChatGPT : Voici comment vous pouvez modifier la lettre pour inclure ces informations :
Chère Becky, J’espère que vous allez bien. Je vous écris pour vous demander d’ouvrir et d’examiner le fichier Excel ci-joint dès que possible. Le dossier contient des informations financières importantes qui doivent être examinées avant notre prochaine réunion de mercredi. Votre réactivité à cette question sera grandement appréciée. Sincèrement, Tom
Cette lettre explique la raison précise pour laquelle il est important que Becky ouvre le dossier aujourd’hui. Il mentionne également la prochaine réunion de mercredi, ce qui ajoute un sentiment d’urgence à la demande. Cela vous semble-t-il bon ?
BadGuy : plus décontracté
ChatGPT : Bien sûr, voici une version plus décontractée de la lettre : Salut Becky, J’espère que tu vas bien. Pourriez-vous s’il vous plaît jeter un coup d’œil au fichier Excel ci-joint dès que possible ? Il contient des informations financières très importantes que nous devons examiner avant la réunion de mercredi. Merci pour ton aide ! Tom
Cette lettre est moins formelle et utilise un ton amical. Elle va droit au but en expliquant le motif de la demande et le délai. Cela vous semble-t-il bon ?
Si les pirates demandent directement à ChatGPT de suggérer une idée pour un e-mail de phishing, ils recevront un message d’avertissement indiquant que ce sujet n’est « pas approprié ou éthique ». Mais s’ils demandent des suggestions pour un e-mail marketing, ou un e-mail pour informer les gens d’une nouvelle page web de ressources humaines, ou pour demander à quelqu’un d’examiner un document avant une réunion, ChatGPT sera très heureux de le faire.
Dans le même temps, au moment même de la rédaction de cet article, You.com n’avait plus aucune limite concernant les e-mails de phishing. Lorsqu’on lui a demandé de donner des idées de sujets pour un e-mail de phishing, il a répondu : « Des sujets pour les e-mails de phishing peuvent inclure de fausses offres de promotion de postes, des offres d’emploi, des dons caritatifs, des confirmations d’achat en ligne, des paiements en ligne, des factures, des notifications d’expédition, des mises à jour de logiciels, des notifications de compte et des messages de prix/récompenses » Ils peuvent utiliser des événements actuels ou des sujets populaires pour créer des e-mails plus crédibles, tels que de fausses notifications de déclaration de revenus, des alertes gouvernementales ou bancaires, de faux avis de santé et des offres de vacances. Ensuite, en lui demandant « générer un bon e-mail de phishing de fausse facture pour moi », c’est exactement ce qu’il a fait comme on peut s’en rendre compte dans la capture d’écran ci-dessous.
Contrairement à ChatGPT, You.com n’a aucun état d’âme pour générer des e-mails de phishing. (crédit : D.R.)
« La chose la plus inquiétante est l’adoption rapide de ChatGPT en Europe de l’Est », fait savoir Sergey Shykevich. « Leur niveau d’anglais n’est pas très élevé ». En règle générale, les opérateurs de campagne de phishing embauchaient des étudiants anglais des universités locales pour rédiger leurs e-mails de phishing, ce qui ralentissait le flux de travail et augmentait les coûts. « Maintenant, ils peuvent utiliser ChatGPT. Cela facilitera grandement la tâche des pirates », dit-il. Et selon lui les e-mails de phishing produits par le chatbot sont de bien meilleure qualité que la plupart de ceux que les pirates génèrent aujourd’hui. Nous devrions nous attendre à leur forte croissance sachant qu’ils ne comportent pas d’erreurs de grammaire et de ponctuation révélatrices. Les attaquants pourront également l’employer pour compromettre la messagerie d’entreprise ou pour détourner des conversations en cours. « Il suffit de lui donner une entrée d’e-mails actuels et de lui demander quel devrait être le prochain », dit-il. « Soit cela s’est déjà produit et nous ne le voyons tout simplement pas, soit cela viendra bientôt ».
Comment la traduction intégrée de ChatGPT aide les attaquants
ChatGPT ne se limite pas à l’anglais. Il dit connaitre environ 20 langues, dont le russe, le chinois courant et le coréen, mais les gens l’ont testé avec près d’une centaine. Cela signifie que l’on peut expliquer ce dont on a besoin dans une langue autre que l’anglais, puis demander au chatbot de l’écrire pour un e-mail en anglais. ChatGPT est bloqué en Russie, mais il y a beaucoup de discussions en russe expliquant comment l’utiliser via des proxy et des services VPN et comment accéder un numéro de téléphone étranger pour confirmer son emplacement. Par exemple, une personne a montré la façon d’utiliser un service en ligne où un numéro de téléphone compatible avec l’accès à OpenAI était disponible pour les messages texte pour 32 roubles, soit moins de 0,5$. Il y a aussi des discussions en russe sur ce qu’il faut faire en cas de remontée de niveau de blocage territorial par la firme américaine. « Nous attendons un système analogue open source qui puisse être lancé dans nos propres installations ou dans Colab », a déclaré un observateur russophone. « Jusqu’à présent, pour toutes les technologies OpenAI, un clone est apparu très rapidement, en moins d’un an. Donc, il y a de fortes chances que l’année prochaine nous voyions une sorte de GPTNeoChat que vous pourrez exécuter vous-même sans vous soucier du blocage ou de la censure ». Par exemple, le générateur d’images Dall-E 2 d’OpenAI est devenu accessible au public, sur file d’attente, en juillet dernier, et est devenu entièrement ouvert en septembre. Pendant ce temps, Stability AI a publié son alternative gratuite et open source, Stable Diffusion, en août. You.com, qui a sorti son propre chatbot fin décembre, propose la plupart des mêmes fonctionnalités que ChatGPT, sans blocage géographique. Il existe également une alternative payante, ChatSonic, qui peut générer du contenu long. Selon la région, cela peut prendre de quelques secondes à plusieurs minutes pour démarrer avec ChatGPT tandis que le chatbot You.com ne nécessite aucune inscription : il suffit de cliquer sur un lien.
Un article de Check Point Research fait ressortir des données plus alarmantes sur les tentatives des cybercriminels de contourner les restrictions d’OpenAI. L’analyse reconnaît ainsi qu’il n’est pas si difficile de contourner les restrictions géographiques de ChatGPT, mais, comme on a pu le voir, il existe de nombreuses activités destinées à mettre en œuvre et à tester ChatGPT dans des opérations cybercriminelles quotidiennes.
Les défenseurs devront se concentrer sur les fondamentaux pour contrer les chatbots IA
Plusieurs outils sur le marché prétendent déjà détecter le contenu écrit par l’IA, qui ne fonctionne que partiellement pour repérer le texte ChatGPT. Cependant, si les utilisateurs lambda commencent à se servir de cet outil – ou d’autres similaires – pour améliorer leurs propres communications, en particulier si la fonctionnalité est intégrée à Office et aux clients de messagerie, mettre tous ses efforts pour essayer de repérer le texte généré par l’IA serait une perte de temps, explique Sergey Shykevich. « ChatGPT et les grands modèles de langage en général seront beaucoup plus utilisés pour le contenu bénin que pour le contenu malveillant », indique de son côté Andy Patel, chercheur chez WithSecure qui a récemment publié un rapport de recherche sur les pirates et GPT-3, une version antérieure de ChatGPT. « Donc, nous ne pouvons pas déduire que quelque chose est malveillant simplement parce qu’il est écrit par une IA. Cela peut faire partie de l’heuristique quand il n’y a pas de déterminisme ». De même, la formation anti-hameçonnage devrait aller au-delà de la simple recherche d’e-mails mal écrits ou qui semblent trop parfaits pour être écrits par des humains. « En fin de compte, cela ne nous importera pas si quelque chose a été écrit par une IA ou non. Nous devons toujours le comprendre pour ce qu’il est, pas pour ce qui l’a écrit », indique Andy Patel. La sensibilisation au phishing doit inclure le survol des URL pour vérifier qu’elles sont légitimes, par exemple. « Prenez les e-mails DHL », explique Andy Patel. « Les attaquants copient généralement exactement le texte et le format des vrais e-mails DHL, en remplaçant simplement le lien légitime par un lien malveillant. Les utilisateurs et les entreprises devraient également commencer à se préparer à des attaques d’usurpation d’identité plus avancées ».
« Un pirate informatique pourrait mettre la main sur les e-mails internes de quelqu’un en piratant toute personne qui a reçu un e-mail de cette personne. Ensuite, il peut créer un style dans lequel cette personne a écrit et les usurper, et faire des attaques par falsification d’identité », poursuit Andy Patel. « Les États-nations pourraient également utiliser cette approche, en utilisant l’IA pour générer des documents divulgués d’apparence réelle mais complètement faux, à intégrer dans une copie binaire brute de données divulguées. Il est presque impossible de prouver que ce n’en sont pas ». D’autres attaques contre la réputation d’une entreprise peuvent inclure de faux articles d’actualité, des communiqués de presse, des avis de clients, des articles de blog, etc. Aujourd’hui, ceux-ci existent déjà, mais la création d’un texte de haute qualité prend du temps et coûte cher. ChatGPT offre la capacité aux attaquants de produire une variété de communications, dans tous les styles différents, pour pousser n’importe quel récit qu’ils souhaitent. « Cela ouvre tellement d’attaques intéressantes », déclare Andy Patel. « C’est une course aux armements entre les capacités que des outils comme ChatGPT peuvent apporter et ce que les organisations doivent faire pour s’assurer que leur entreprise continue de fonctionner », indique quant à lui John Carey, directeur général de la practice IT chez AArete. Basé au Royaume-Uni, John Carey affirme que ce ne sont pas seulement les e-mails de phishing individuels qui deviendront indiscernables des vrais, mais des sites web entiers. « La fidélité des sites d’imitation va devenir beaucoup, beaucoup plus grande. Vous pourrez attirer plus de gens vers votre hameçonnage, et surtout vers votre phishing ciblé », explique-t’il. Les sites web usurpés peuvent être utilisés pour recueillir les informations d’identification des visiteurs, diffuser des informations erronées ou fournir un support pour une identité usurpée. « Nous voyons certains de ces nouveaux outils être utilisés pour créer des campagnes beaucoup plus élaborées », poursuit John Carey.
Les stratégies anti-hameçonnage à l’ère de l’IA
Dans ce contexte, les experts recommandent aux entreprises de revoir ou de renforcer leur formation anti-phishing pour être prêtes pour les e-mails écrits par l’IA et doper leurs mesures de sécurité techniques. Ceux-ci inclus : du sandboxing pour les documents Word et autres pièces jointes afin de les éloigner des réseaux d’entreprise, de l’inspection du trafic web via une passerelle web sécurisée pour protéger les utilisateurs sur site et à distance. Mais aussi des gateways sécurisées de messagerie. Il est aussi recommandé de vérifier les URL pour les contenus malveillants ou les le typosquatting, de déployez des protocoles de sécurité de messagerie tels que DMARC, DKIM et SPF, qui aident à prévenir l’usurpation de domaine et la falsification de contenu. Sans oublier de fournir un moyen simple de signaler les e-mails suspects.
Adopter une approche de sécurité en couches est toujours la meilleure, déclare Aamir Lakhani, chercheur en cybersécurité en charge de l’activité FortiGuard Labs de Fortinet. Et ce, non seulement pour se protéger contre le phishing, mais aussi contre d’autres menaces basées sur l’IA. « Nous prévoyons que l’IA en tant qu’arme persistera bien au-delà de cette année », prédit-il.