Santé mentale, toile d'araignée et larmes d'émeraude

✨ Vous recevez cette édition un dimanche : comme vous l'avez peut-être vu, c'était mon anniversaire ce vendredi 😊 Alors, pour fêter ça, j'ai essayé de ne rien faire et je m'y suis appliquée avec intensité.

Pour rappel, cette petite infolettre gratuite est ma pierre à l'édifice de l'information de qualité. Bonne lecture !

Une dangereuse toile d'araignée

Souvenez-vous, l'été dernier... Je vous avais déjà parlé des deux casinos américains rançonnés, Caesers Entertainment et MGM. Ces compromissions seraient le fruit du même groupe d'attaquants, nommé Scattered Spider. Alors qu'à l'époque j'avais parlé des différences de traitement et de réaction dans le cas d'attaques très similaires, aujourd'hui je vous parle de ce que Scattered Spider dit de l'évolution de la cybermalveillance.

La chaîne américaine CBS s'est penchée sur les spécificités de Scattered Spider et, surtout, le collectif dont il est membre. Scattered Spider est un groupe d'attaquants spécialisés dans l'ingénierie sociale (social engineering) et constitué en majorité de cybermalveillants jeunes et anglo-saxons. Ils font partie de The Com (abréviation de The Community), une mouvance à la croissance organique forte constituée de jeunes (entre 13 et 25 ans) hommes anglo-saxons.

Comme ils sont nés et vivent en Occident, ils en connaissent les codes, les références culturelles etc. C'est ce qui les rend particulièrement attrayants pour d'autres entreprises mafieuses. Et c'est ainsi que Scattered Spider en est venu à développer un partenariat fort lucratif avec BlackCat, un gang rançongiciel russe. Scattered Spider fournit la fluidité de son anglais et de sa compréhension culturelles des cibles ; BlackCat fournit les moyens techniques de coercition. Ce mariage est notamment à l'origine de cyberattaques majeures telles que celles contre des infrastructures critiques (Colonial Pipeline en 2021, UnitedHealth Group en 2024) ou encore, contre Microsoft, Nvidia, des casinos, etc.

L'inquiétude est énorme de voir émerger et grandir un réseau tel que The Com. Celui-ci est actif, ne rechigne pas de se lier à des entreprises mafieuses bien établies et devient de plus en plus agressif. Et est loin de nous rassurer quant à notre capacité à endiguer la vague de cybermalveillance.

La santé mentale : un business lucratif

Il y a quelques années, on a vu un phénomène rare : la communauté cyber finlandaise s'est réunie pour répondre à l'une des violations de données les plus conséquentes du pays. Il s'agissait de la compromission de Vastaamo, l'un des fournisseurs de services de psychologie et psychiatrie du ministère de la Santé finlandais. La violation de données concernait les dossiers de 36 000 patient-es et de quelques 400 salarié-es de Vastaamo. Pour ne pas diffuser les données en ligne, l'attaquant demandait une rançon (de 450 000 euros en bitcoin). Comme la société refusait de payer, le malfrat a commencé à publier les dossiers des patient-es sur des forums et à les contacter pour les harceler et leur demander des sous en direct.

Le pays était sous le choc ; la communauté cyber aussi. C'était rare en 2020 de voir une approche de coercition aussi ignoble ; l'attaquant avait, par ex., fait du chantage à un monsieur en phase terminale de cancer et avait publié des dossiers de personnes suicidaires. Rapidement, les yeux se sont tournés vers Vastaamo, et le pot aux roses a fait surface. La société avait subi une intrusion initiale en novembre 2018, puis une autre avait été identifiée en mars 2019. Vastaamo a caché ses incidents et l'exfiltration de ~2 000 dossiers patients. Quand l'onde de choc a frappé en octobre 2020 avec une médiatisation internationale, l'investisseur majoritaire de Vastaamo s'est rendu compte qu'on lui avait caché ces turpitudes lors de la signature en mai 2019. Le deal a été annulé, le CEO de Vastaamo - limogé, et la machine judiciaire s'est mise en marche. Vastaamo a été sanctionné et a, depuis, mis la clé sous la porte.

Il restait la question du coupable, lequel, heureusement, n'a pas été bien prudent. Non content de laisser plein de miettes de ses activités de rançonneur en ligne, le malfrat avait posté une image de sa main tenant un brumisateur Evian. Les autorités ont pu récupérer les empreintes digitales. Il a été identifié, donc grâce à la coopération internationale (il était sur la liste des personnes recherchées d'Europol), il a été arrêté en France en février 2023, puis extradé en Finlande.

Ainsi, il s'agit de Julius “Zeekill” Kivimäki, 26 ans, connu par la justice finlandaise pour des piratages menés pendant des années, depuis son adolescence. Il est notamment connu pour avoir été actif au sein de HTP et pour avoir participé à Lizard Squad (Krebs a le pédigré du jeune homme). Il est condamné à 6 ans et 3 mois de prison ferme.

Le 8 avril dernier, je lançais officiellement La tech est politique pour éclairer l'Europe du numérique à destination des décideurs pressés.

📌Aujourd'hui, je vous propose de découvrir sa feuille de route : quelles évolutions pour cet outil à mi-chemin entre un conseiller en affaires européennes et un média analytique ? 👇

Et vous pouvez toujours tester gratuitement 😉

La santé mentale : un business lucratif (bis)

C'est l'histoire d'une boîte qui se fait de l'argent sur le dos de gens vulnérables. BetterHelp, un pur produit de la Silicon Valley, est une appli qui fournit de la psychothérapie en ligne. C'est un Uber des psys, en quelque sorte : vous remplissez un questionnaire (long et détaillé) où vous expliquez vos problèmes et votre style de vie puis l'appli vous "match" avec un-e psychothérapeute de son réseau. L'appli ne peut pas garantir que le praticien soit un véritable professionnel : la responsabilité se retrouve donc du côté des utilisateurs.

Une bonne partie des sous de BetterHelp vient d'influenceurs. En pleine pandémie de COVID, l'appli a surfé sur la vague en déployant une stratégie massive de marketing influenceur sur le thème de la santé mentale, encourageant les gens à s'inscrire. Bien sûr, cette approche a créé une grande controverse : qu'il s'agisse de la politique de paiements peu claire ou de mensonges proférés par des influenceurs pour persuader leurs followers de s'y inscrire, BetterHelp avait déjà des pratiques douteuses.

C'est devenu carrément inacceptable lorsqu'il a été avéré que BetterHelp vendait les données de ses utilisateurs à des officines publicitaires. Comme l'appli permet les téléconsultations et les communications écrites entre les gens qu'elle met en relation, elle conserve aussi les enregistrements... BetterHelp a donc généreusement partagé ces données et informations avec Meta, Snapchat, Criteo et tous ceux qui en voulaient, tout en mentant purement et simplement en disant qu'aucune donnée n'est partagée avec des tiers. Ainsi, vos doutes, interrogations et autres espoirs se retrouvent donnés en pâture à tout ce que le monde compte de publicitaires, avec les adresses IP des utilisateurs et leurs adresses mail servant à s'enregistrer sur l'appli.

Il y a eu des plaintes. La FTC américaine s'est saisie du sujet et, en 2023, s'est prononcée sur un règlement à l'amiable d'un montant de 7,8 millions USD. Quelle magnanimité : depuis la semaine dernière, les quelques 800 000 plaignants se partagent donc cette manne ; chacun recevra la somme mirifique de presque 10 USD pour avoir été transformé en cible de pub de retargetting. Alors, pas belle la vie ? 🤬

Les gemmes de la discorde

Recorded Future publie une investigation passionnante sur l'opération d’influence connue sous le nom d’Emerald Divide. L'étude décrit la dynamique de l'opération, qui serait menée par des acteurs associés avec l'Iran et active depuis 2021. Cette opération vise à manipuler la société israélienne en amplifiant les divisions idéologiques et en diminuant la confiance dans le gouvernement israélien, notamment en capitalisant sur les réactions au conflit Israël-Hamas et à d'autres questions sociales et politiques. Les différentes composantes de cette campagne d'influence ont été identifiées par diverses entités, dont Recorded Future, Microsoft et l'Agence de sécurité israélienne (le Shin Bet), chacune attribuant une partie de cette activité malveillante à des acteurs étatiques iraniens sous des noms tels que Storm-1364.

Pour atteindre son public cible, l’opération mobilise notamment la messagerie Telegram, des deepfakes, la collecte de données à caractère personnel et le doxxing de fonctionnaires israéliens. Ainsi, Emerald Divide peut être divisée en trois phases, chacune ayant des objectifs distincts et des récits correspondants. La première phase visait à accroître le conflit entre les groupes religieux ultra-orthodoxes d'Israël et la communauté LGBTQ+ du pays. La deuxième phase visait à provoquer des troubles politiques en opposant la gauche à la droite israélienne. La troisième et actuelle phase cherche à semer le mécontentement parmi les Israéliens concernant la réponse du gouvernement aux attaques du Hamas.

Le point commun de ces trois phases est le passage permanent à la plateforme de messagerie Telegram (par ex., le canal Tears of War), probablement pour éviter les saisies d'actifs. Un autre thème est l'utilisation constante de l'IA générative (GenAI) pour créer des deepfakes. Il est fort probable que les acteurs derrière Emerald Divide ont adopté et utilisent la GenAI de façon routinière. Aussi bien Microsoft il y a quelques semaines que Recorded Future aujourd'hui estiment que l'évolution continue et la capacité d'adaptation de l'opération en font une menace persistante. Ce qui sera intéressant de suivre, c'est l'intensité future de l'opération et ses impacts : la ligne de crête du conflit hybride, c'est maintenant.

Dans le bac à sable

Les cybermalfrats souhaitant tester leurs nouveaux rançongiciels se tournent de plus en plus vers des pays du Sud global comme plateforme de test, avant de cibler les pays plus riches (et solvables). Parmi les cibles récentes figurent ainsi une banque sénégalaise, une société de services financiers au Chili, un cabinet fiscal en Colombie et une agence économique gouvernementale en Argentine. Les pays du Sud global sont particulièrement vulnérables en raison de la numérisation rapide, de bonnes connexions Internet et d’une protection jugée “inadéquate” (qualificatif du FMI, le Forum monétaire international, qui publie son rapport de stabilité financière).

Un exemple parlant est la CVE-2024-29201. Lorsque, cette année, un groupe de cyberattaquants a commencé à discuter de cette nouvelle vulnérabilité, il a spécifiquement ciblé quelques serveurs exposés dans des pays de l'Asie du Sud-Est pour tester la fiabilité de l'exploit. Une fois celle-ci validée, le gang a utilisé l'approche plus largement.

Tout le monde n'est pas aussi organisé, même si les ambitions restent. Le gang rançongiciel Medusa - lequel "transforme vos données en pierre" 🙄 - baisse les prix d'accès pour ses potentiels affidés. Ainsi, des malfrats dans les pays du Sud global peuvent y avoir accès et faire des dégâts, sans pour autant être particulièrement structurés. Cette approche permet à des cybermalveillants travaillant dans un environnement local de perfectionner les méthodes d'attaque puis de les exporter vers des pays où l'on parle des langues similaires : du Brésil vers le Portugal, par exemple.

La cyber-revue hebdo est ma petite pierre à l'édifice d'une meilleure information sur les sujets de cybersécurité. Je fais beaucoup de veille, et ça sert à beaucoup de gens. Mais l'information pertinente est difficilement audible. La veille est qualifiée justement parce qu'elle fait émerger de l'information pertinente 😉

Donc, la raison d'être de La cyber-revue hebdo est de regrouper quelques infos "bas bruit", chaque semaine. La notion de "bas bruit" indique ici des contenus à forte valeur ajoutée qui sont souvent perdus dans le battage médiatique. J'ai choisi de publier le vendredi parce que ça permet de profiter de cette journée un peu plus "lente" pour prendre le temps de la lecture.