L'Anssi a observé plusieurs campagnes d’hameçonnage contre des entités françaises depuis février 2021, dont les marqueurs techniques correspondent au mode opératoire de Nobelium, le groupe auquel est attribué la retentissante affaire SolarWinds aux États-Unis l'an dernier, rapporte l'AFP.

« Ces campagnes ont permis de compromettre des comptes de messagerie d’organisations françaises, et d’envoyer à partir de ces comptes des courriels piégés à des institutions étrangères du secteur de la diplomatie », précise son rapport. « Par ailleurs, des organisations publiques françaises ont également été destinataires de messages piégés provenant d’institutions étrangères supposément compromises ». 

Ces activités malveillantes sont le fait d’un même mode opératoire d’attaquants (MOA), qui compromet des comptes de messagerie d’entités de confiance pour envoyer ses courriels d’hameçonnage.

Dans ces derniers se trouve une pièce-jointe HTML, nommée « EnvyScout », contenant un lien Google Drive que l’utilisateur devait ouvrir pour télécharger le code malveillant et exécuter la charge Cobalt Strike.

L'infrastructure utilisée par Nobelium dans les attaques contre des entités françaises a été principalement mise en place à l'aide de serveurs privés virtuels (VPS) de différents hébergeurs (privilégiant les serveurs d'OVH et situés à proximité des pays ciblés), précise Bleeping Computer.

Le rapport de l'ANSSI détaille les informations techniques liées aux campagnes d’hameçonnage, la nature des activités malveillantes observées, les TTP et l’infrastructure des attaquants. 

Des recommandations et indicateurs de compromission sont disponibles à la fin du document, recommandant de « ne pas éxécuter des fichiers douteux », et d'« appliquer des mesures de sécurité renforcée » aux serveurs d'Active Directory.

The Bureau of Investigative Journalism, en collaboration avec Bloomberg News, révèle que le cofondateur d'une entreprise suisse à laquelle Google et Twitter ont fait confiance pour envoyer des codes de sécurité par SMS à des millions d'utilisateurs gérait également un service de surveillance utilisé par des gouvernements pour localiser secrètement les téléphones portables.

L'enquête menée par le Bureau et Bloomberg News est basée sur des entretiens avec plus de deux douzaines de personnes, dont d'anciens employés de Mitto, des initiés de l'industrie de la surveillance, des professionnels de la cybersécurité, ainsi que des e-mails et des documents décrivant les prestations de surveillance.

Elle révèle que le cofondateur de l'entreprise, Ilja Gorelik, offrait également un autre service, à l'insu de Mitto : revendre l'accès à ses réseaux pour localiser secrètement des personnes via leur téléphones portables à des sociétés de surveillance qui, à leur tour, ont passé des contrats avec des agences gouvernementales.

Créée en 2013, Mitto AG s'est imposée comme un fournisseur de messages texte automatisés pour des choses telles que les promotions des ventes, les codes de sécurité et les rappels de rendez-vous, établissant des relations avec des opérateurs de télécommunications dans plus de 100 pays.

Ses accords lui ont permis de transmettre des SMS à des milliards de téléphones, y compris dans des pays qui sont autrement difficiles à pénétrer pour les entreprises occidentales, comme l'Iran et l'Afghanistan. 

Ses clients comptent de nombreux géants de la technologie, tels que Google, Twitter, WhatsApp, LinkedIn, Telegram, TikTok, Tencent et Alibaba, selon des documents de Mitto et d'anciens employés. L'entreprise, qui se présente comme le fournisseur de services de messagerie texte « le plus fiable » du secteur, affirme qu'elle offre ces services « sans aucune menace ni aucun risque potentiels ».

Mais Gorelik exploitait les faiblesses d'un protocole de télécommunications connu sous le nom de SS7, ou Signaling System 7, qui contient de nombreuses vulnérabilités connues pour avoir été exploitées dans le passé pour localiser des téléphones. L'association de Gorelik avec l'industrie de la surveillance était un secret bien gardé au sein de Mitto, selon d'anciens employés. 

• SS7 : après des interceptions de SMS, la sécurité des réseaux mobiles en question

Répondant aux questions du Bureau, Mitto a publié une déclaration indiquant que l'entreprise n'était pas impliquée dans une entreprise de surveillance : « Nous sommes choqués par les affirmations contre Ilja Gorelik et notre entreprise ». 

Elle a lancé une enquête interne « pour déterminer si notre technologie et nos activités avaient été compromises », et précise qu'elle « prendrait des mesures correctives si nécessaire ».

Sur LinkedIn, Nicolas Guillaume (CEO du FAI Netalis), rappelle que « l’exploitation des RIP est désormais engagée dans un mouvement de concentration autour de 3 acteurs (XpFibre – l’entité issue du rachat de l’opérateur de RIP Covage par SFR –, Altitude et Orange) ». Il ajoute que l’opérateur historique, après « avoir combattu les RIP en fait désormais un pilier de son activité avec une filiale dédiée Orange Concessions ».

Un problème selon lui : « si Orange est tenue […] à une série d’obligations imposées par l’Arcep au terme de décisions d’analyse de marché, ce n’est pas le cas de sa filiale Orange Concessions ». « En effet, à notre connaissance à ce jour, les décisions d’analyse de marché ne visent qu’Orange et nullement sa filiale Orange Concessions qui a été constituée postérieurement », ajoute-t-il.

Il pointe du doigt des soucis sur les RIP repris par Orange Concessions, notamment en Haute-Saône où « les opérateurs historiquement clients assistent à une dégradation significative des conditions proposées ». Pêle-mêle, la « pérennité de prestations initialement fournies n’est plus assurée », « l’équilibre économique de certaines prestations se retrouve brutalement remis en question », etc.

Bref, « tout semble mis en œuvre pour dissuader les opérateurs de proximité de proposer leurs services aux entreprises et collectivités adressables au moyen des RIP, alors que dans le même temps la branche de détail d’Orange cible ces marchés de façon très agressive ».

Il a donc décidé de passer à l’attaque : « Netalis a récemment saisi l’Arcep d’une demande d’enquête administrative de nature à permettre au régulateur de disposer de l’ensemble des éléments de nature à dresser un constat de la situation pouvant fonder des actions correctrices visant à remédier aux dysfonctionnements rencontrés ».

Il invite enfin « le plus grand nombre de nos confrères à se joindre à cette action d'alerte ». 

• Jungle dans la fibre optique : l’Arcep publie son plan d’action et montre (enfin) les crocs
• Plan France THD : règlement de comptes à OK Corral

L'organisation, qui dit regrouper « 26 entreprises européennes créatrices de technologies du cloud dont le siège est situé en Europe », veut une harmonisation et un changement de ton au niveau européen.

« Si EUCLIDIA soutient fermement l'objectif de renforcer la confiance et l'autonomie technologique de l'Europe dans les services de cloud utilisés par les gouvernements, l’alliance souligne que cet objectif nécessite un dialogue cohérent et constructif avec les entreprises européennes pour identifier les principaux facteurs en jeu », indique le communiqué. 

Pour l'organisation, le problème de l'approche française est de mélanger les questions de cybersécurité, à travers la qualification SecNumCloud, et celle du Cloud de confiance mis en avant par le gouvernement depuis cet été. « La confiance et l'autonomie technologique des services de cloud européens ne peuvent être gagnées en négligeant les impacts juridiques et pratiques d'octroi de licences pour des logiciels développés par des entités non européennes » ajoute-t-elle, évoquant le besoin d'une évaluation des risques. 

Elle veut aussi que les gouvernements exigent l'accès « complet et immédiat » aux codes sources des solutions tierces qu'ils viendraient à utiliser. « Ils devraient également avoir le droit irrévocable de continuer à utiliser ce code en cas de changement ou de retrait de licence », pointant ici le problème de l'évolution dans le temps des relations avec les partenaires et la difficulté qu'il peut y avoir à passer d'une solution à une autre.

Une FAQ complète (en anglais) détaillant la position est disponible ici.

Cet outil de provisioning est mis à jour pour « rendre le cloud bare metal plus facile » indique l'entreprise, qui liste les nouveautés apportées, comme la possibilité de faire appel à des machines déjà déployées.

Le clonage est disponible dans l'interface graphique désormais, tout comme l'envoi et la réutilisation d'images Ubuntu, des améliorations de performances, du support de LXD, tout est détaillé ici.

Dans un billet de blog, Julie Brill (vice-présidente en charge de la protection des données et des affaires réglementaires) explique que « la question que la société civile, les entreprises, les universitaires et les gouvernements devraient se poser n’est pas de savoir si nous pouvons utiliser les données, mais plutôt comment nous pouvons permettre une utilisation responsable des données pour créer un monde meilleur ».

« Plutôt que de parler des données comme du "nouveau pétrole" […] commençons à penser aux données comme à une "infrastructure" qui sera la base pour nous aider à construire une société mondiale résiliente et responsable ».

Elle enchaîne : « nous avons besoin de réglementations en matière de protection de la vie privée qui servent de règles […] et préservent notre capacité à utiliser et à partager des données au-delà des frontières ». Elle milite donc pour « une base réglementaire solide avec des garde-fous clairs [qui] permettra à notre infrastructure de données de prospérer ».

S’ensuit une liste de pistes, notamment « encourager l’utilisation de technologies améliorant la protection de la vie privée », proposer une solution adaptée « aux personnes lésées par l’abus de données » et « élaborer des approches juridiques novatrices qui respectent la souveraineté nationale ».