L’application mobile officielle des Jeux olympiques de Pékin 2022 entachée de failles de sécurité, selon des chercheurs
« Pour ceux qui se rendent aux Jeux olympiques, demandez-vous sérieusement si vos équipements professionnels seront nécessaires pour le voyage. S’ils ne le sont pas, ne les apportez pas. [De plus, n’utilisez le Bluetooth qu’en cas d’absolue nécessité et le VPN devrait être obligatoire, qu’il s’agisse d’un signal Wi-Fi ou cellulaire. Pensez à vous déconnecter des applications d’entreprise sur votre téléphone. Renseignez-vous sur votre profil d’identité et envisagez une approche de “least privilege” pour les droits aux applications lorsque vous êtes en déplacement pour les jeux. » a déclaré Ben Cody, SVP Product Management, SailPoint.
En effet selon des chercheurs en cybersécurité canadiens, une application mobile obligatoire pour tous les participants aux Jeux Olympiques d’hiver de Pékin, le mois prochain, présente des failles de sécurité qui pourraient permettre à un pirate informatique de voler facilement des informations personnelles sensibles.
L’application My 2022, conçue en Chine, sera utilisée pour surveiller la santé des participants et faciliter le partage d’informations avant et pendant les Jeux de 2022. Des techniciens de Citizen Lab, un groupe de recherche sur la cybersécurité et la censure axé sur les droits de l’homme à l’Université de Toronto, ont constaté que l’application ne parvenait pas à authentifier l’identité de certains sites Web, ce qui laissait le champ libre aux attaquants pour le transfert de données personnelles.
Selo le manuel Pékin 2022 destiné aux athlètes et aux officiels, indique que l’application My 2022 est destiné à assurer la sécurité de tous les participants aux Jeux et “est conforme aux normes internationales et à la loi chinoise”
Les chercheurs ont découvert que la fonction de messagerie de l’application transmettait certaines données clés sans aucun chiffrement ni aucune sécurité. Les métadonnées, y compris les noms des expéditeurs et des destinataires des messages et les identifiants de leurs comptes d’utilisateur, peuvent être lues par n’importe quelle oreille indiscrète exploitant un point d’accès Wi-Fi, un fournisseur d’accès à Internet ou une société de télécommunications, ont-ils ajouté.
Par David Stupples professeur d’ingénierie électronique à City University of London, expert en cybersécurité et cybercriminalité
« Dan Kuehl, de la National Defence University, définit la guerre de l’information comme “le conflit ou la lutte entre deux ou plusieurs groupes dans l’environnement de l’information”. Vous pourriez dire qu’il s’agit simplement d’une façon plus sophistiquée de décrire le piratage informatique. En fait, il s’agit d’un phénomène bien plus sinistre et dangereux que ne le laisse entendre son nom quelque peu familier.
Selon une étude de la Banque mondiale, la Russie compte plus d’un million de spécialistes en logiciels impliqués dans la recherche et le développement. La Russie a le potentiel pour devenir le plus grand marché informatique d’Europe. Les cyber-guerriers (hackers) illégaux russes sont parmi les plus compétents au monde. Une cinquantaine de grands cyber-réseaux criminels opèrent en Russie. La Russie est connue depuis longtemps pour s’approvisionner en technologie, en talents de hackers de classe mondiale et même en informations de renseignement auprès des réseaux locaux de cybercriminalité, la Silicon Valley de l’Europe de l’Est. Ces réseaux criminels ont recruté près de 4 000 ingénieurs logiciels depuis 2012, mais il est important de savoir que cette fraternité criminelle bénéficie de l’immunité de l’État pour ses cybercrimes en échange de services rendus à l’État russe !
En avril 2007, des attaques DDoS (attaques par déni de service distribué) massives ont visé des sites web estoniens, notamment le parlement, des banques, des ministères, des journaux et des radiodiffuseurs estoniens, dans le cadre du désaccord entre le pays et la Russie sur le déplacement du Soldat de bronze de Tallinn (un monument de guerre soviétique) avec les tombes de guerre soviétiques à Tallinn. Les cyberanalystes ont conclu que la cyberattaque contre l’Estonie était bien planifiée et sophistiquée, sans précédent. Bien que la Russie ait nié avec véhémence son implication, les bases d’une future guerre de l’information commençaient à être établies. Les stratèges militaires du monde entier ont étudié l’attaque pour l’inclure dans un ordre de bataille et pour élaborer des mesures d’atténuation.
Le 20 juillet 2008, juste avant l’invasion militaire russe de la Géorgie pour soutenir les républiques autoproclamées d’Ossétie du Sud et d’Abkhazie, une attaque massive par DDoS sur Internet et une attaque GE contre la Géorgie ont débuté. Les cibles de cette attaque DDoS comprenaient les sites Web du président géorgien, Mikheil Saakashvili, de l’agence de presse OSInform et de la station de radio OS. Il a également été signalé que des sections clés du trafic Internet de la Géorgie ont été redirigées vers des serveurs basés en Russie et en Turquie, où le trafic a été bloqué ou détourné, ce qui a eu pour effet de fermer l’Internet en Géorgie pendant la durée des hostilités. Les attaques Internet ont été intégrées à des attaques GE contre la défense aérienne géorgienne, le commandement et le contrôle militaires, et les communications radio militaires tactiques. Il a également été prouvé que le système de contrôle de l’oléoduc Bakou-Tbilissi-Ceyhan a été visé par un virus informatique sophistiqué similaire à Stuxnet, ce qui a entraîné un incident de pression incontrôlé.
La Russie a fréquemment utilisé la cyberguerre pour semer la perturbation et la confusion en Ukraine. Les cyber-attaques ont inclus :
- Des dénis de service distribués (DDOS) massifs contre des sites Web gouvernementaux.
- Les cyber-attaques visent à obtenir des renseignements, à diffuser de la désinformation et à encourager le désordre et la désharmonie sociale.
- Tentatives d’atteinte au moral du public par le biais de l’information
- Cyber-attaques ciblées contre des systèmes de commandement et de contrôle militaires.
- Utilisation d’opérations psychologiques en conjonction avec des cyber-attaques pour provoquer des troubles sociaux.
Il est difficile de déterminer si les dernières attaques de 2022 sont le prélude à une guerre cinétique avec l’Ukraine ou si la Russie établit une position de négociation avec les pays de l’OTAN sur la portée de l’expansion de l’Alliance vers l’Est. La Russie s’inquiète de ce que l’OTAN envisage de déplacer sa ligne de front jusqu’aux frontières de la “mère” Russie. Il est vrai que les dernières cyberattaques russes n’ont pas endommagé les systèmes d’information de l’Ukraine comme lors des attaques précédentes, grâce à l’introduction de mesures plus robustes. Toutefois, les perturbations et la confusion ont eu un impact négatif sur la capacité de l’Ukraine à gérer le pays. Ce qui fait défaut jusqu’à présent, c’est l’intégration par la Russie de sa puissante capacité de guerre électronique (GE) aux cyberattaques, dans le but de neutraliser la capacité de l’Ukraine à mener une guerre moderne. Si une attaque cybernétique/de guerre électronique totalement intégrée devait être lancée, elle pourrait être le prélude à une guerre cinétique totale comme celle entreprise en Géorgie. »
Les cyberattaques sont-ils le prélude à une guerre cinétique avec l’Ukraine ?
Par ManMohan Sodhi, professeur de gestion des opérations et de la chaîne d’approvisionnement à la Bayes Business School (anciennement Cass Business School) :
La cyberattaque, qui, selon l’Ukraine, provient d’un groupe biélorusse qui est instiguée par les Russes, doit être considérée dans le contexte plus large d’une crise des missiles de Cuba inversée. En 1962, l’URSS a tenté d’installer des missiles à Cuba – à quelque 150 km des côtes de la Floride – en réponse aux États-Unis qui avaient installé des missiles en Turquie et en Italie, deux pays de l’OTAN, en direction de l’URSS. Les États-Unis ne pouvaient pas permettre une telle situation et le président Kennedy a fini par convaincre l’URSS de revenir sur sa décision en échange d’un retour en arrière similaire de la part des États-Unis.
Il est difficile d’imaginer comment la Russie pourrait autoriser des missiles ennemis à ses frontières si la situation de 1962 était inversée. L’Ukraine a demandé à adhérer à l’OTAN, mais n’a reçu jusqu’à présent qu’une “coopération technique”, qu’il s’agisse d’une étape vers la pleine adhésion ou d’une étape intermédiaire permanente. La Russie n’a pas d’autre choix que de maintenir une pression totale, d’autant plus que jusqu’à présent, ses appels à ne jamais autoriser l’Ukraine à devenir membre ont été rejetés d’emblée.
La Russie ne peut pas exercer directement sur les États-Unis une pression similaire à celle que les Américains ont exercée en 1962. La seule pression qu’elle peut exercer est donc sur l’Ukraine, et indirectement sur l’Europe.
Si les motifs de la Russie et des États-Unis sont relativement simples à comprendre, on ne sait pas très bien ce que veulent les Ukrainiens eux-mêmes – à part l’espoir de faire partie de l’OTAN – ni ce que les Européens espèrent obtenir dans leur propre arrière-cour. Et même les Russes et les États-Unis ne veulent pas la guerre – si les Russes le voulaient vraiment, ils auraient déjà attaqué au lieu de jouer à des cyberattaques (en supposant qu’ils soient indirectement derrière tout cela), et les États-Unis menacent “seulement” de nouvelles sanctions, sachant parfaitement que toutes sortes de sanctions sont déjà en place.
Le véritable gagnant dans cette affaire est la Chine, qui observe tout cela avec amusement. Malgré la “rivalité stratégique” déclarée par les États-Unis, les investissements occidentaux sont de plus en plus nombreux dans le pays, à un rythme régulier de 15 à 20 % par an, avec une croissance encore plus forte des investissements dans les hautes technologies.
Une entreprise européenne victime du malware mobile Predator
Le malware mobile Predator est-il la relève du malware Pegasus ? Comment fonctionne-il ?
L’entreprise israélienne NSO Group, à l’origine du bien connu Pegasus, n’est pas la seule entreprise à proposer ses services d’hacking de mobile sur mesure. Citizen Lab a révélé récemment un programme de même ampleur, développé par l’entreprise Cytrox, elle aussi israélienne. Le nom de ce nouveau programme n’est autre que « Predator ».
Une entreprise industrielle européenne a dès à présent déjà été ciblée par Predator en décembre 2021. A l’heure actuelle, nous savons que l’iPhone 11 attaqué de l’entreprise en question était géré par un mot de passe. Son utilisateur, employé au service Marketing, ne se souvient pas avoir reçu de messages WhatsApp malveillants avant l’infection. Or les messages WhatsApp sont souvent la méthode d’attaque de cette pratique. Aujourd’hui nous savons que l’iPhone 11 attaqué était en version 14.8, donc une version vulnérable.
Selon Citizen Lab, 8 pays se seraient procuré Predator à ce jour : l’Arabie Saoudite, le sultanat d’Oman, la Serbie, la Grèce, Madagascar, l’Arménie, l’Indonésie et l’Égypte. Le logiciel aurait déjà touché deux cibles au sein de l’Etat égyptien : le réfugié politique Ayman Nour, opposant au pouvoir en place et un présentateur TV. De plus, le propriétaire de l’iPhone 11 avait passé trois semaines en Egypte peu de temps avant l’infection.
Nous savons désormais que de nombreuses applications Apple sont sensibles aux attaques réalisées par Predator telles que Safari, l’App Store, Plans mais aussi l’appareil photo ou encore Mail. Des applications de messageries chiffrées de bout en bout telles que Signal et Telegram sont aussi concernées.
Une analyse de l’iPhone 11 par Lookout a permis de mettre en avant que l’attaque était toujours active sur le terminal et que le terminal essayait d’accéder à des serveurs de Command & Control pour exfiltrer des informations.
Des fichiers malveillants et ses indicateurs de compromission ont été relevé sur le terminal. L’utilisateur a changé de terminal et les processus de l’attaque se sont répliqués sur le second smartphone lors du transfert de données. Le second étant un iPhone 13, le mécanisme d’attaque de Predator n’a pas pu s’exécuter. Il est possible que l’iPhone 13 livré en version 15.1.1 ne soit plus vulnérable à la méthode d’attaque.
Lookout a permis à ce client de détecter cette attaque et de réduire instantanément les accès à l’entreprise en isolant le terminal infecté, limitant ainsi une remontée potentielle au sein du système d’information ou un vol de données confidentielles.
Malheureusement, ce n’est pas propre à la version d’iOS 14.8 et les assaillants trouveront toujours de nouvelles failles pour exécuter leur code à distance. On l’a vu avec NSO, ceci est leur manière de fonctionner : toujours chercher et investir dans de nouvelles vulnérabilités.
ESET Research enquête sur Donot Team, un groupe opérant des campagnes de Cyberespionnage visant des forces armées et des gouvernements en Asie
· ESET a analysé Gedit et DarkMusical, deux variantes du framework du malware yty. Les chercheurs d’ESET ont décidé de nommer l’une des variantes DarkMusical car de nombreux noms choisis par les agresseurs pour leurs fichiers et leurs dossiers sont inspirés du film High School Musical.
· Ces attaques visent des organisations gouvernementales et militaires, des ministères des affaires étrangères et des ambassades, et sont motivées par le cyberespionnage.
· Les cibles sont principalement situées en Asie du Sud : Bangladesh, Sri Lanka, Pakistan et Népal. Des ambassades de ces pays ont également été prises pour cible dans d’autres régions : Moyen-Orient, Europe, Amérique du Nord et Amérique latine.
· L’enquête d’ESET s’étend sur plus d’un an, de septembre 2020 à octobre 2021.
· Un récent rapport d’Amnesty International établit un lien entre les malwares du groupe et une société indienne de cybersécurité qui pourrait vendre ces logiciels espions.
· Le groupe a toujours visé les mêmes organisations depuis au moins deux ans, et il est possible que les agresseurs aient compromis les comptes de messagerie de certaines de leurs victimes.