Dans cette édition de mars 2023 de la revue de presse Sécurité, nous vous proposons quelques articles qui ont attiré notre attention, en lien avec la sécurité. Nous vous invitons également à lire rePlay, la revue de presse généraliste du Cloud.

En 2022, la CNIL fait pleuvoir les sanctions 

101 277 900 euros : c’est le montant cumulé des amendes émises par la formation restreinte de la CNIL en 2022 (en diminution par rapport à 2021 qui a culminé à 214 M€). Le régulateur a présenté le bilan annuel de son action répressive et les tendances de 2021 se sont confirmées en 2022. Ce sont ainsi pas moins de 21 sanctions et 147 mises en demeure qui ont été prononcées. 

Source : La Cnil.

Parmi les manquements les plus fréquents figurent : 

• Le défaut d’information des personnes ; 
• Le non-respect de leurs droits (le dernier exemple en date étant Free avec une amende de 300 000 euros) ;
• Le défaut de coopération avec la CNIL ;
• Un manquement en lien avec la sécurité des données personnelles ; 
• Une mauvaise gestion des cookies et autres traceurs ;
• Un manquement en lien avec la prospection commerciale (ici, nous pouvons citer Accor).

Dura lex sed lex : on espère que cette tendance à sanctionner les manquements se poursuivra en 2023. En effet, les autorités compétentes au niveau européen montent au créneau avec le RGPD et le travail de la CNIL rejoint celui d’autres régulateurs européens des données. Affaire à suivre.

Cloud de confiance, on en est où ?

On vous en a déjà parlé sur le blog Revolve, mais la compétition autour des offres de Cloud dit de confiance semble s’accélérer en 2023, après deux dernières années marquées par des annonces. Les entreprises en lice avaient annoncé travailler pour obtenir une qualification Anssi d’ici 2024.

Threat Intelligence Index 2023 d’IBM

Le Threat Intelligence Index 2023, rapport de l’équipe de recherche en cybersécurité X-Force d’IBM, est sorti. Ce rapport vise à présenter chaque année un panorama des cybermenaces au niveau mondial. 

Voici quelques chiffres qui ont attiré mon attention : 

• 23 964 vulnérabilités identifiées en 2022 contre 21 518 en 2021 ; 
• Le nombre de failles cumulées depuis 1988 s’élève désormais à 228 167, dont 78 156 exploitées ; 
• D’après le rapport d’X-Force, la réponse à incident effectuée par le groupe en 2022 concerne majoritairement du malware, dont :
  • 21 % pour du backdoor 
  • 17 % pour du ransomware
  • 5 % pour des fichiers bureautiques piégés

La cybersécurité, une part croissante des budgets IT

Aussi, au cours des 5 dernières années, le budget consacré à la cybersécurité a plus que triplé (et c’est une bonne chose…?). C’est en effet l’une des conclusions les plus frappantes de l‘étude annuelle menée par l’assureur Hiscox. Selon celle-ci : 

• Le budget médian de la cybersécurité est passé de 1,4 million de dollars en 2018 à 5,3 millions l’an dernier. Soit une augmentation de 280%.
• En France, la cyber représente en moyenne 22% du budget IT, en progression de deux points par rapport à 2021.

Le droit à la déconnexion : les français plus connectés que jamais en 2022

Commanditée par l’Arcep (Autorité de régulation des communications électroniques et des postes), le Conseil Général de l’Économie (CGE), l’ANCT (Agence nationale de la Cohésion des Territoires) et depuis cette année, l’Arcom (l’Autorité publique française de régulation de la communication audiovisuelle et numérique), l’édition 2022 du Baromètre du Numérique dévoile ses résultats. 

Cette enquête se base sur “Un échantillon de 4 184 français sur la base d’un échantillon représentatif de la population de 12 ans et plus résidant en France métropolitaine et interrogées par téléphone et en ligne.”

Le verdict est sans appel : le numérique s’est imposé dans nos vies de façon probante et représente 2,5 % de l’empreinte carbone nationale. Voici quelques résultats intéressants de l’enquête : 

• La proportion de détenteurs d’objets connectés a fortement progressé : + 7 points pour les utilisateurs de systèmes relatifs à la santé, la sécurité, la domotique ou à l’électroménager et pour les utilisateurs d’enceintes connectées ; 
• 40 % des répondants utilisent au moins un objet IoT ; 
• 27 % disposent d’une enceinte connectée ; 
• 7 % des sondés possèdent un casque de réalité virtuelle ; 
• 95 % des répondants ont déclaré être détenteurs d’au moins un téléviseur
• 87 % de la population dispose d’un smartphone (+3 points par rapport à 2020). Le smartphone est notamment utilisé pour envoyer des SMS (76 %), naviguer sur internet (70 %), regarder des vidéos (50 %) ou jouer (47 %) 
• En moyenne, les Français regardent un écran 32 heures par semaine. Plus de la moitié de la population passe en moyenne plus de 3 heures par jour devant un écran ; 
• 77% utilisent le e-commerce pour les achats en ligne. 

En somme, le numérique s’est immiscé dans nos vies, et continue de s’y étendre, sous tous ses aspects. Il est important de rappeler que le droit à la déconnexion est un principe instauré dans la loi, et qu’au-delà, il faut rester conscient et vigilant concernant nos usages.

Source : Credoc.

• Les résultats de l’enquête montrent également que plus de 50 % des sondés estiment qu’ils ont certainement (à 18 %) ou probablement (à 38 %) été personnellement victime d’un accès indésirable à leurs données personnelles par internet. 

Aussi, il est important de rappeler qu’il existe plusieurs moyens à votre disposition pour éviter qu’une personne mal intentionnée puisse surveiller votre existence numérique parmi lesquels les réseaux privés virtuels (VPN), le chiffrement de bout en bout et les navigateurs qui ne suivent pas l’activité de leurs utilisateurs.

Si ce sujet vous intéresse, je vous conseille la lecture de cet article Spyware : votre smartphone est-il surveillé ? qui regroupe les différentes formes de logiciels espions – « spywares » en anglais – ainsi que les signes avant-coureurs d’une attaque, les signes de la présence d’un logiciel espion sur son téléphone ou encore comment savoir si on est surveillés. Très intéressant. 

M(FA)eta

Vous l’aurez sûrement lu dans la presse ou sur Twitter, mais un hacker a récemment découvert une technique pour contourner l’authentification double facteur (MFA) par SMS et vérifier les e-mails et téléphones enregistrés pour accéder à des comptes Instagram et Facebook. Le bug a depuis été corrigé et aucune preuve d’exploit n’a à ce jour été décelée. Le bug signalé par Gtm Mänôz aurait pu permettre à un attaquant de contourner la double authentification par SMS de Meta pour se connecter à Instagram et Facebook. Gtm Mänôz a prévenu Meta de cette faille de sécurité qui s’est empressé de confirmer la mise en place d’un correctif et rétribué le chercheur d’une prime de 27 200$ dans le cadre d’un bug bounty.

Une aubaine pour les pirates informatiques, car les RSSI placent le MFA dans le peloton de tête des solutions de sécurité mises en place pour protéger les accès au SI de leur entreprise, comme le montre le club de la sécurité des systèmes d’information et du numérique, le Cesin, dans sa 8ème édition du baromètre sur la cybersécurité des entreprises françaises.

Il est à noter, d’ailleurs, que chez Twitter, le MFA (par SMS) deviendra une fonction payante à partir du 20 mars 2023 et chez Meta, c’est en cours de discussion. 

Mais META n’est pas seul. En effet, suite à un phishing Reddit s’est fait dérober des données sensibles. Aucun signe de données volées mises en ligne à ce stade. Cependant, ce n’est pas la première fois qu’une faille conséquente de sécurité frappe Reddit. À suivre….

2023 rimera avec vulnérabilités 

Selon l’indice Cyber Threat Index de l’assureur en cybersécurité Coalition, il y aura 1 900 vulnérabilités et expositions communes (Common Vulnerabilities and Exposures, CVE) critiques en moyenne par mois en 2023, soit une augmentation de 13 % par rapport à 2022. Selon le rapport, les 1 900 CVE comprendraient 270 vulnérabilités de haute gravité et 155 de gravité critique.

Ces prévisions ont été établies à partir des données recueillies au cours des dix dernières années par la technologie de gestion et de réduction actives des risques de Coalition, en combinant des données provenant de la souscription et des sinistres, des analyses sur Internet, de son réseau mondial de honeypots – ou pots de miel – et de l’analyse de plus de 5,2 milliards d’adresses IP. 

ChatGPT… encore lui !

Décidément, s’il y en a un qui affole la toile, c’est bien ChatGPT. En effet, Microsoft a annoncé la version premium de Teams en disponibilité générale. Plus de 400 fonctions supplémentaires ou améliorations sont annoncées dont du résumé automatique de réunions et du chapitrage de présentations avec ChatGPT d’OpenAI.

Toutefois, il est bon de noter que l’outil conversationnel intéresse de près les pirates informatiques. Outre une assistance pour le développement de programmes malveillants, le robot pourrait permettre des attaques par hameçonnage très ciblées. Restons vigilants.

La guerre en Ukraine résonne dans l’écosystème IT

Un peu plus d’un an après le début de la guerre en Ukraine, les rançongiciels continuent d’être lucratifs, mais les hackers à la recherche de gros sous ne sont pas à l’abri des bouleversements géopolitiques, indique un nouveau rapport de Google. Cette guerre façonne véritablement l’écosystème cybercriminel et fait planer de représailles aux conséquences transnationales. 

Ressources : 

Le Monde Informatique 

• Threat Intelligence Index 2023 d’IBM : ransomware et failles ICS en décrue, Dominique Filippone, publié le 22 Février 2023
• La cybersécurité, une part croissante des budgets IT, Reynald Fléchaux, publié le 22 Février 2023
• Le cadre de protection des données UE-États-Unis grippé par le RGPD, Jon Gold, IDG NS (adapté par Célia Séramour), publié le 20 Février 2023
• Près de 2 000 vulnérabilités par mois en 2023, Apurva Venkat, IDG NS (adaptation Jean Elyan), publié le 11 Février 2023
• Suite à un phishing, Reddit se fait dérober des données sensibles, Dominique Filippone, publié le 10 Février 2023
• L’IoT étend la surface d’attaque des entreprises, Reynald Fléchaux, publié le 07 Février 2023
• Microsoft déploie Teams Premium intègrant ChatGPT, Dominique Filippone, publié le 02 Février 2023
• Plus de 100 M€ d’amendes infligées par la Cnil en 2022, Célia Seramour, publié le 31 Janvier 2023
• Baromètre du numérique 2022 : les Français très connectés et équipés, Célia Seramour, publié le 30 Janvier 2023
• La double authentification de Facebook prise en défaut, Dominique Filippone , publié le 31 Janvier 2023
• Les perspectives restent bonnes pour l’emploi IT en 2023, Bob Violino, IDG NS (adapté par Célia Séramour), publié le 22 Février 2023

CISO Series

• Cyber Security Headlines: Hackers backdoor Microsoft IIS, Twitter limits SMS 2FA, Fortinet issues patches, Steve Prentice, publié le 20 février 2023

Znet

• Ces entreprises en lice dans la bataille du cloud de confiance, Gabriel Thierry, publié le 21 Février 2023 
• Google : la guerre en Ukraine a bouleversé l’écosystème cybercriminel, Stephanie Condon, publié le 17 Février 2023
• Pourquoi des hackers malveillants s’intéressent à ChatGPT, Tiernan Ray publié le 13 Février 2023 
• Spyware : votre smartphone est-il surveillé ?, Charlie Osborne, publié le 09 Février 2023