Les grandes ailes de Pegasus
Un collectif de médias coordonné par Forbidden Stories avec l’appui d’Amnesty International a révélé les noms de personnalités espionnées par un logiciel développé par NSO, une entreprise israélienne.
Un collectif de médias coordonné par Forbidden Stories avec l’appui d’Amnesty International a révélé les noms de personnalités espionnées par un logiciel développé par NSO, une entreprise israélienne.
L’éditeur américain, positionné sur le très neuf créneau du SASE (Secure Access Service Edge), annonce avoir bouclé un nouveau tour de table auquel ont participé Accel, Sequoia Capital ou encore Global Equities. Netskope lève 300 millions de dollars et atteint une valorisation de 7,5 milliards de dollars.
La campagne de cyber-espionnage qui exploite une série de vulnérabilités dans Microsoft Exchange Server n’a pas touché que les États-unis. De notre côté de l’Atlantique, au moins une organisation a d’ores et déjà annoncé avoir été victime du groupe HAFNIUM : l’European Banking Authority, sise à Paris.
L'1FO-CR le journal des risques cyber n°2-3 est disponible. Il est daté des 1er et 2ème trimestres 2021 et est sorti à l'occasion de l'événement Virtual FIC (Forum International de la Cybersécurité) organisé du 1er au 4 juin.
Le RSSI de l’Etat vient de publier par le biais du CERT-FR une liste de dix vulnérabilités, particulièrement critiques, découvertes en 2020 ou 2019, et particulièrement marquantes, parce que critiques, exploitées activement et, parfois, affectant des équipements nécessaires au travail à distance.
Bien qu'il soit partie intégrante de l'ACYMA, le ministère des Armées renforce un peu plus son action au sein du GIP. Selon ce nouvel accord, les militaires mettront leurs produits de sensibilisation aux risques cyber au service de cybermalveillance.gouv.
Une nouvelle collectivité est victime de la vague de cyberattaques qui frappe la France. Les liaisons numériques de Chalon-sur-Saône, et de la communauté d’agglomération du Grand Chalon, sont depuis hier “indisponibles”, bien que sites internet et standards téléphoniques restent opérationnels. Aucune rançon n’a pour l’heure été exigée.
L’hôpital Nord-Ouest de Villefranche-sur-Saône est injoignable depuis hier, par téléphone ou par Internet. L’établissement est en effet victime du ransomware Ryuk, qui a obligé les équipes informatiques à couper l’accès au SI de l’hôpital, qui tourne depuis au ralenti.

Dans la nuit de dimanche à lundi, l’hôpital Nord-Ouest de Villefranche-sur-Saône est victime d’une attaque par ransomware. On ignore l’étendue des dégâts, mais les équipes informatiques de l’établissement ont été contraints, afin de limiter la propagation du virus, de couper les accès à internet ainsi qu’au système d’information et de déconnecter l’ensemble des postes de travail à l’exception du standard des urgences, seul service désormais joignable.
C’est donc en mode dégradé que fonctionnent les trois sites de l’hôpital Nord-Ouest (Villefranche, Tarare et Trévoux). Une cellule de crise a été mise en place pour assurer la coordination entre les trois sites et leur fonctionnement, tandis que l’Anssi a été appelé à la rescousse et mène l’enquête sur cette attaque imputée à Ryuk, un tristement célèbre ransomware qui touche particulièrement les établissements hospitaliers français.
Si aucun transfert de patient vers d’autres structures n’a été prévu pour le moment, les interventions chirurgicales programmées ce mardi ont été reportées et les personnes devant passer aux urgences sont redirigées vers d’autres services d’urgences. La campagne de vaccination anti-Covid se poursuit, les formalités administratives se faisant désormais sur papier.
“L’ensemble des personnels de l’Hôpital Nord-Ouest fait face à cette attaque avec courage et détermination" explique la direction de l’hôpital, qui doit tenir aujourd’hui une conférence de presse. Le secteur hospitalier en France est la cible de nombreuses attaques depuis fin 2019, à commencer par le CHU de Rouen. Dernièrement c’est le centre hospitalier de Dax qui a été visé par une attaque la semaine passée.
Formations, emplois, déploiements, R&D : l’éxecutif entend accentuer ses investissements dans la cybersécurité afin de faire face aux menaces qui se font de plus en plus pesantes notamment sur les collectivités et les hôpitaux.

Nous sommes peut-être parmi les “pays les plus avancés pour la réponse”, nous découvrons encore de nouvelles attaques, étatiques, mafieuses ou criminelles. Ce matin, Emmanuel Macron s’exprimait sur la cybersécurité en France, alors que les attaques contre les hôpitaux et les collectivités se multiplient. Si depuis 2017, les moyens se sont renforcés, des efforts sont encore à faire selon le président de la République, dans un moment "où nous devons continuer d 'accélérer sur la numérisation”.
Sept milliards d’euros du plan de relance vont au numérique, mais la résilience s’impose. D’où un investissement consenti par l’État dans le cadre d’un plan d’accélération dans la cybersécurité. L’Anssi va ainsi se doter de nouveaux moyens, en passant notamment de 400 salariés aujourd’hui à 700. Le Plan France Relance ainsi que le Programme d’Investissement d’Avenir PIA vont en outre être mis à contribution.
515 millions, dont 290 millions de fonds publics iront au développement de solutions souveraines. 148 millions d’euros, répartis à égalité entre public et privé, serviront à renforcer les synergies entre les acteurs de la filière. 176 millions (dont 150 millions de l’État) seront dédiés à l’adoption de solutions de cybersécurité par les entreprises, les collectivités et les administrations. Enfin, le gouvernement prévoit de soutenir le secteur en fonds propres à hauteur de 200 millions d’euros.
Soit un plan d’environ 1,03 milliard d’euros, dont 720 millions sont apportés par l’État. Avec l’aide de ces fonds, l’exécutif a fixé une série d’objectifs à l’horizon 2025, allant d’un chiffre d’affaires de la filière multiplié par trois à 33 000 emplois en plus, en passant par 20% de brevets supplémentaires et surtout l’émergence de trois licornes. Plusieurs noms ont été avancés, dont ceux de Vade Secure et de Gatewatcher dont le dirigeant, Jacques de La Rivière, nous expliquait en début d’après-midi qu’il était très flatté de cette mention par le président de la République, tout en gardant la tête froide.
La stratégie d’accélération cyber de l’État ne consiste pas qu’en une enveloppe financière, mais aussi en plusieurs projets parmi lesquels le Campus Cyber, qui devrait être ouvert d’ici à la fin de l’année, le Grand Défi Cyber, qui soutiendra des projets de R&D, ainsi que le Comité stratégique de filière Industrie de Sécurité signé l’an dernier à l’occasion du FIC. Et pour coordonner l’ensemble des éléments de cette stratégie, l’exécutif a nommé William Lecat, directeur de programme au SGPI (Secrétariat général pour l'investissement).
Facebook a décidé en novembre de récupérer des noms de domaine semblables aux siens, afin d’éviter une utilisation de facbook et autres instragrarn. Mais cinq de ces domaines étaient utilisés par Proofpoint, qui a déposé une plainte contre Facebook.

Cette histoire à dormir debout commence en novembre dernier. Facebook demande au WIPO (World Intellectual Property Organisation) de récupérer une poignée de “lookalike”, des noms similaires aux siens. Il s’agit pour le réseau social d’éliminer des nuisibles qui exploitent la proximité de ces domaines avec ceux légitimes du géant à des fins malveillantes. Rien d’extraordinaire ici : les grands groupes tels que Microsoft, Google et Facebook sont coutumiers de ce genre d’opérations de récupération de noms de domaine.
Le réseau social a donc exigé, via une UDRP (Uniform Domain-Name Dispute-Resolution) du registrar Namecheap qu’ils lui rendent plusieurs noms de domaine imitant ceux de Facebook et d’Instagram. Fin janvier, le Centre de médiation et d’arbitrage du WIPO ordonne au registrar de s’exécuter : il doit transférer ces noms de domaine à Facebook. Or, parmi eux, facbook-login-com, facbook-login.net, instagrarn.ai, instagrarn.net et instagrarn.org, qui sont tous les cinq utilisés par nul autre que Proofpoint.
L’éditeur de solutions de cybersécurité utilise en effet ces domaines à des fins de sensibilisation au phishing. Et voilà que, dans sa plainte, Facebook justifie la récupération des noms de domaine au motif que leur propriétaire “n'utilise pas les noms de domaine dans le cadre d'une offre de bonne foi de biens ou de services”. La réaction de l’entreprise ne se fait pas attendre : il saisit la cour de district d’Arizona afin de conserver ces noms de domaine.
“Les demandeurs ont des intérêts légitimes à utiliser les noms de domaine dans le cadre de l'offre de bonne foi de services au public” écrit Proofpoint dans sa plainte, arguant que son utilisation des cinq noms est légitime et n’est pas de nature à créer une confusion entre Facebook et ses propres pages. Et surtout qu’il ne s’agit en rien d’un usage malveillant. Et pour cause, en arrivant sur l’une des cinq pages, un message prévient que ce site appartient à Proofpoint et qu’il s’agit d’un test visant à sensibiliser l’internaute au phishing.
Proofpoint demande donc à la cour de justice de réagir pour empêcher que Facebook le prive de ces noms de domaine, puisqu’une décision de justice suspendrait le transfert, à moins que le WIPO ne prenne les devants pour donner raison à l’éditeur contre le réseau social.
Le Forum International de la Cybersécurité de Lille devait se tenir initialement fin janvier, avant d’être repoussé à avril en raison de la situation sanitaire. Celle-ci ne s’améliorant pas, l’organisateur décale à nouveau le salon à juin, et indique que le FIC est susceptible de se tenir finalement en septembre. Au moins, il fera chaud à Lille.

En novembre dernier, les organisateurs du Forum International de la Cybersécurité de Lille prenaient la décision de décaler le salon. La grand messe de la cybersécurité devait initialement se tenir fin janvier, en ce moment même : il alors décalé au 6, 7 et 8 avril 2021. Mais comme plane toujours la menace d’un troisième confinement, avec une situation sanitaire qui ne s’améliore guère malgré le confinement avancé à 18h, le CEIS, organisateur de la manifestation, vient d’annoncer un nouveau report du FIC.
Et parce qu’à quelque chose malheur est bon, c’est dans la chaleur du mois de juin que devrait donc se tenir au Grand Palais de Lille le FIC 2021, les mardi 8, mercredi 9 et jeudi 10 juin 2021. Du moins, à priori... “Parce que l’équipe du FIC pense que la dimension « présentielle » est absolument indispensable pour la filière, une autre option début septembre (31 août, 1er et 2 septembre) est également prévue, au cas où la situation sanitaire ne permettrait toujours pas de tenir l’événement en juin” annonce l’organisation.
Pour autant, un FIC devrait bien avoir lieu en avril, du moins une version virtuelle et raccourcie. Le communiqué explique que se tiendra le 7 avril un Virtual FIC, qui sera répété du 1er au 4 juin pour quatre sessions de 2h30 chacune. On ignore pour l’heure les tenants et aboutissants de cet événement, sinon qu’il est organisé en partenariat avec Manzalab, un expert du Serious Game et éditeur de la solution Teemew Event, qui permet d’organiser des événements virtuels.
Le loueur de voitures a révélé hier avoir été la cible d’une cyberattaque, qu’il est parvenu à contenir de sorte à ce que le ransomware n’ait pas d’impact sur ses opérations courantes.
2021 commence sur les chapeaux de roues en ce qui concerne les ransomwares. Ryuk, Babuk, Pysa, Sodinokibi... ces programmes malveillants font déjà parler d’eux, trois semaines à peine après le nouvel an. Le week-end du 16 janvier, la ville d’Angers rapportait être victime de deux attaques, une visant les comptes du maire sur Instagram et Twitter, la seconde ciblant le SI de la métropole et bloquant la majeure partie des postes de travail de ses salariés. Hier, on a appris que le groupe UCAR avait à son tour été victime d’un ransomware.
Le loueur de voitures explique dans un communiqué avoir “été récemment la cible d’une cyberattaque”. S’il ajoute qu’il s’agissait d’un “rançongiciel”, il n’en dévoile pas plus sur la nature de l’attaque, assurant que ses équipes informatiques ont promptement réagi. “Nous avons mobilisé une équipe d’experts autour de la DSI et du Secrétariat Général d’UCAR : des experts indépendants reconnus, à travers d'une part, un cabinet de conseil en gestion des risques et spécialiste dans les domaines de l'IT et du Cyber, ainsi qu’un cabinet spécialisé en forensic”.
L’attaque a pu être contenue selon le groupe, de sorte qu’elle n’a “pas eu d’impact sur les opérations d’exploitation, et les agences ont pu servir leurs clients sans coupure de service. Les services web sont restés opérationnels ainsi que les logiciels métiers”. De même, les données chiffrées par le programme malveillant ont été immédiatement restaurées à partir de sauvegardes. UCAR ne précise cependant pas si ces données ont pu être exfiltrées ou non : le groupe s’est rapproché des autorités compétentes, dont la Cnil.