En juin dernier, le Français était victime d’un vol de données concernant ses bases e-commerce et marketing. Ce weekend, cette base a été publiée sur un forum, gratuitement et en libre accès, révélant que le nombre de personnes affectées est bien plus important que ne l’annonçait l’entreprise.

Mi-juillet, l'editeur français d'une solution de portefeuilles de cryptomonnaies, Ledger, révélait avoir été victime d'une fuite de données. Celle-ci avait eu lieu trois semaines plus tôt, lorsqu'une tierce partie non autorisée accédait à une portion de la base de données marketing et e-commerce de la plateforme, en exploitant une API apparemment défaillante. Dans sa communication, Ledger assurait que les informations personnelles dérobées contenaient un million d'adresses mail, utilisées à des fins de newsletter, ainsi que, pour 9500 clients, des informations supplémentaires telles que leurs noms, numéros de téléphone, adresses postales et produits commandés sur Ledger. Ces informations sont depuis exploitées par des cybercriminels dans le cadre de campagne de phishing. 

Mais un rebondissement vient de mettre à mal la communication officielle de l'entreprise. Dimanche, un utilisateur de forum RaidForum a mis en ligne deux fichiers, contenant des informations dérobées lors de cette attaque. Or si l'un des deux .txt contient le million d'adresses mails, l'autre comprend les informations relatives à 272 853 commandes passées sur le site de Ledger, dont 16 000 en France selon Bitcoin.fr, qui a le premier rapporté cette information. Si les doublons ne sont pas à exclure, le volume de données dérobées va bien au-delà des 9500 clients d'abord annoncés par la plateforme. 

Le CEO de Ledger, Pascal Gauthier, a pris la plume hier pour défendre l'entreprise, niant toute minimisation de l'impact de la violation de données. "Au moment de l’incident, en juillet, nous avons engagé une organisation de sécurité externe pour effectuer un examen très précis des informations (logs) disponibles. Cet examen nous a permis de confirmer qu’environ 1 million d’adresses e-mail avaient été volées et que 9 532 clients étaient concernés par une fuite d’informations personnelles plus détaillées (adresses postales, nom, prénom et numéro de téléphone)" écrit-il. Il reconnaît pourtant que la base de données publiée sur RaidForum concerne environ 272 000 utilisateurs, tout en soulignant que "ces détails ne sont pas disponibles dans les logs que nous avons pu analyser". 

9500 ou 272 000 ?

Pascal Gauthier insiste en outre sur le fait que les crypto-wallets et les assets qui y sont stockés sont en sécurité et n'ont pas été compromis par le vol. Par contre, les données dérobées sont utilisées dans le cadre de campagne de phishing, Les hackers cherchant justement à mettre la main sur les informations d'authentification des utilisateurs. "Notre priorité numéro 1 réside dans le fait de vous apporter la meilleure protection et sécurité pour protéger vos données digitales" martèle le CEO.

Pourtant, le responsable de la mise en ligne de la base de données semble en désaccord avec cette affirmation de Pascal Gauthier. "Vous devriez avoir honte de la manière dont vous conduisez votre business et gérez la confidentialité de vos utilisateurs" reproche-t-il à l'entreprise, dénonçant plus loin les "mensonges" de Ledger, aussi bien sûr l'ampleur de la fuite que sur son impact sur ses utilisateurs. L'auteur du post explique avoir vu sur un autre forum que la base avait été revendue pour 5 bitcoins. Il ajoute ultérieurement, après modification de la publication originale, ne pas être le premier à relayer cette base gratuitement, ni en être le propriétaire. 

La semaine dernière, Google a lancé une mise à jour de son navigateur web Chrome qui corrige une série de failles de sécurité, dont quatre ont été classées comme très graves. Les vulnérabilités concernent les versions Windows, macOS et Linux du navigateur populaire.

Trois des vulnérabilités les plus graves sont des failles de type « use-after-free ». La première faille de sécurité, indexée comme CVE-2020-16037, affecte le composant presse-papiers de Chrome. La seconde, CVE-2020-16038, réside dans le composant média de Chrome. Quant à CVE-2020-16039, elle affecte plutôt le composant des extensions du navigateur. La quatrième vulnérabilité de haute gravité, appelée CVE-2020-16040, est un bug de validation de données insuffisant dans le moteur JavaScript V8.

La mise à jour corrige au total huit vulnérabilités, Google en répertoriant spécifiquement six, dont les correctifs ont été apportés par des chercheurs externes. Outre les quatre bugs de haute gravité mentionnés précédemment, le géant technologique a également révélé deux autres failles, toutes deux classées comme de gravité moyenne. La version 87.0.4280.88 de Chrome pour Windows, Mac et Linux corrige les vulnérabilités qu’un attaquant pourrait exploiter pour prendre le contrôle d’un système affecté. Si les mises à jour automatiques sont activées, votre navigateur devrait se mettre à jour tout seul. Vous pouvez également mettre à jour manuellement votre navigateur en vous rendant dans la section « À propos » de Google Chrome, qui se trouve dans la barre de menu sous Aide.

Margaritis Schinas, vice-président de la Commission européenne, et Thierry Breton, commissaire au Marché intérieur, ont dévoilé les grandes lignes de la future politique européenne en matière de cybersécurité, politique qui s’appuiera en grande partie sur la directive NIS, dont la révision a été présentée mercredi. 

L’UE est sur le front du numérique. Dans la foulée de la présentation de ses Digital Services Act et Digital Markets Act, la Commission européenne prépare sa nouvelle politique en matière de cybersécurité. Ou plus exactement la mise à jour de la stratégie actuelle. Dans une tribune publiée dans Sud-Ouest, Thierry Breton, commissaire au Marché intérieur, et Margaritis Schinas, vice-président de la Commission européenne, livrent leur vision de ce que doit être l’Europe de la cybersécurité, estimant tout d’abord que l’UE “a toujours été à la pointe de la cybersécurité : c’est le premier endroit dans le monde où 27 pays ont convenu ensemble d’une approche commune, d’un cadre réglementaire pour la cybersécurité, dite directive NIS, et même d’un plan directeur de riposte aux cyberattaques de grande ampleur en Europe”.

Toutefois, face à des menaces qui gagnent en puissance, notamment lors de la pandémie qui a vu les attaques contre les établissements de santé, les laboratoires et les organismes européens se multiplier, les deux Commissaires considèrent que l’Europe se doit de “renforcer ses moyens technologiques, opérationnels et politiques lui permettant de faire face à une cyberattaque d’ampleur” et appellent à la mise en place d’un cyberbouclier, lequel s’incarne dans la stratégie européenne dévoilée mercredi. 

Refonte de NIS

Celle-ci se concentre sur la révision de la directive NIS de 2016, qui a entre autres défini et harmonisé les obligations en termes de cybersécurité qui s’imposent aux opérateurs de services essentiels, équivalents européens de nos opérateurs d’importance vitale, les fameux OIV. NIS2 prévoit ainsi des mesures de surveillance plus strictes ainsi que des nouvelles sanctions administratives qui tomberaient en cas de  manquement aux obligations de gestion des risques de cybersécurité et de déclaration, tandis que le champ des opérateurs essentiels est élargi à huit nouvelles catégories d’acteurs incluant les services postaux ou encore l’industrie pharmaceutique. “Nous proposons donc d’étendre et de renforcer les obligations des acteurs économiques autour de règles communes et harmonisées, en particulier pour assurer la sécurisation des chaînes de valeurs, comme celle par exemple de la fabrication des vaccins, des centres de données, ou des entreprises de télécoms” souligne le duo de commissaires. 

Globalement, la refonte de la directive comprend des “exigences de sécurité renforcées avec une liste de mesures ciblées comprenant la réponse aux incidents et la gestion des crises, la gestion et la divulgation des vulnérabilités, les tests de cybersécurité et l'utilisation efficace du chiffrement” ainsi que la sécurisation des supply chains et de nouvelles obligations quant aux rapports d’incidents. Et, surtout, la direction d’une entreprise sera tenue pour responsable du respect des obligations de mise en place de mesures de gestion des risques.

Réseaux et coordination 

En résumé, un tour de boulon dans le sens d’une responsabilisation des entreprises quant aux enjeux de cybersécurité. Outre NIS2, Margaritis Schinas et Thierry Breton insistent sur le rôle que l’intelligence artificielle doit jouer dans la détection en amont d’une attaque des signaux faibles, fixant un objectif : réduire à quelques minutes le temps de détection d’une intrusion. Ce pourquoi l’UE lancera “un réseau européen de centres opérationnels interconnectés (SOC)”, ou “gardes-frontières cyber” selon les commissaires. 

Enfin tous deux appellent au renforcement de la coopération opérationnelle au niveau européen, déplorant des États qui avancent en ordre dispersé. Si l’Enisa est en charge de l’accompagnement des États sur les questions de cybersécurité, la directive NIS2 compte également s’appuyer sur la mise en place prochaine de CyClone, réseau des agences de cybersécurité européennes, qui aura pour mission de “soutenir la gestion coordonnée des incidents et des crises de cybersécurité à grande échelle au niveau de l'UE”. 

L’EMA, ou European Medecines Agency, a été victime d’une cyberattaque, révélée le 9 décembre. Il ne s’agit que de la dernière attaque en date contre une agence de santé ou un laboratoire, alors que les campagnes de vaccination débutent partout dans le monde. Ni BioNTech ni Pfizer n’ont été directement impactés, mais les attaquant sont toutefois eu accès aux documents relatifs au vaccin qu’ils ont élaboré. 

Après AstraZeneca ou encore l’OMS, c’est au tour de l’Agence européenne du médicament d'être victime d’une cyberattaque. Dans un court communiqué en date de 9 décembre, l’EMA annonce avoir “fait l'objet d'une cyberattaque” et signale ouvrir une enquête mais ne pas être en mesure de fournir des détails supplémentaires pendant la durée des investigations . 

Faute d’informations, les conjectures vont bon train, accompagnées de l’habituelle valse des attributions. La Corée du Nord, également suspectée d’être derrière l’attaque contre AstraZeneca, et la Russie sont au banc des accusés, quoique personne ne soit pour l’heure en mesure de fournir la moindre preuve incriminante. Force est toutefois de constater que les recherches autour des vaccins contre le Covid-19 intéressent les hackers et sont devenus un sujet géopolitique. 

Haro sur les vaccins

L’attaque contre l’EMA a donc pu faire craindre le pire notamment quant au vaccin développé par BioNTech et Pfizer. Ceux-ci n’ont pas été directement impactés par l’attaque, en ce que les attaquants n’ont pas accédé par rebond aux systèmes d’information du laboratoire et de la biotech. 

Cependant, cette dernière indique dans un communiqué que “certains documents relatifs à la soumission réglementaire pour le candidat vaccin COVID-19 de BioNTech et de Pfizer, BNT162b2, qui étaient stockés sur un serveur EMA, ont été illégalement consultés”. BioNTech ne précise pas la nature des données auxquelles les attaquants ont eu accès mais ajoute ne pas avoir connaissance de l’identification des participants à l’étude clinique à travers les informations compromises. 

Le spécialiste de la cybersécurité a été récemment victime d'une attaque. L'entreprise est avare en détails techniques, mais assure que les attaquants sont certainement soutenus par un Etat, en ce que leur intrusion était particulièrement sophistiquée, utilisant des techniques inédites. 

Les cyberattaques frappent sans distinction administrations, entreprises, particuliers... et même les spécialistes de la cybersécurité. FireEye vient d’en faire l’amère expérience. La société américaine a en effet été victime d’une attaque. Et malgré une communication abondante de FireEye sur le sujet, on n’en sait que très peu sur les attaquants, leurs méthodes et leurs buts. Ni même la date exacte de l’intrusion. 

Le patron de FireEye, Kevin Mandia, a pris la plume mardi pour signaler que “récemment, nous avons été attaqués par un acteur hautement sophistiqué”. De l’attaquant, le CEO explique qu’il est très certainement soutenu par un Etat. 

Les attaquants, dont FireEye ne détaille pas comment ils se sont introduits dans les systèmes de la société, ont mis la main sur un certain nombre d’outils développés par FireEye pour effectuer des tests d’intrusion, dits “Red Team” (par opposition à Blue Team qui, dans ce genre d’exercice, désigne les défenseurs). “Ces outils imitent le comportement de nombreux acteurs de la menace cyber et permettent à FireEye de fournir des services  de diagnostic de sécurité essentiels à nos clients” ajoute l’entreprise.

Le chasseur chassé

Ainsi, on trouve parmi les programmes dérobés des scripts basiques destinés à automatiser certaines tâches, jusqu’à des frameworks complets. On ne pourra immédiatement s’empêcher de penser au vol d’outils à la NSA en 2016, outils dont les failles qu’ils exploitaient seront par la suite réutilisées pour WannaCry. Toutefois FireEye minimise la portée de cette attaque, soulignant qu’une partie des programmes dans les mains des attaquants sont open source, et qu’aucun ne contient de failles zero day. 

L’expert en cybersécurité ajoute ne pas penser que “ce vol améliorera considérablement les capacités globales de l'attaquant” et n’a pas repéré d’utilisation de ses outils à des fins malveillantes jusqu’à présent, suggérant que l’intrusion n’est peut-être pas si récente. Il précise avoir déployé “des centaines” de contre-mesures afin d’atténuer les risques d’exploitation des programmes volés. Mais ces outils étaient-ils le but de l’attaquant ? FireEye compte parmi ses clients de grandes entreprises et des agences gouvernementales, dont les données seraient précieuses pour un acteur “state-sponsored”. 

“Bien que l'attaquant ait pu accéder à certains de nos systèmes internes, à ce stade de notre enquête, nous n'avons vu aucune preuve que l'attaquant a exfiltré les données de nos systèmes principaux qui stockent les informations client de notre réponse aux incidents ou de nos missions de conseil, ou les métadonnées collectées par nos produits dans nos systèmes dynamiques de renseignement sur les menaces” assure FireEye, qui précise néanmoins qu’il préviendra ses clients si jamais cette affirmation devait finalement se révéler fausse