Catégorie : Cybersécurité

Le 14 septembre dernier, la mairie de Nouméa a vibré au rythme du numérique lors d’un événement dédié à la cybersécurité. Cette journée, qui a rassemblé plus de 250 visiteurs et comptabilisé 115 joueurs en présentiel, s’est révélée être une occasion exceptionnelle pour les passionnés du monde digital ainsi que pour les curieux souhaitant en apprendre davantage sur les enjeux de la sécurité en ligne.

LE HACKAGOU – LE CTF CALÉDONIEN

L’un des points forts de cette journée fut le Capture The Flag (CTF), un jeu de défi en cybersécurité qui a suscité un engouement particulier auprès des participants. Les joueurs, novices et experts confondus, ont été mis au défi de résoudre une série de problèmes informatiques plus ou moins complexes, mettant ainsi à l’épreuve leurs compétences en matière de sécurité numérique. Les challenges étaient adaptés à tous les niveaux, aussi bien aux débutants qu’aux initiés. Un des objectifs de la journée était de susciter des vocations auprès des jeunes et moins jeunes !

Zoom sur les résultats

2 classements pour cette 2eme édition, une réservée aux étudiants, et une autre pour le reste des joueurs.

Après 3h de jeu, le classement est tombé, voici les 2 podiums de cette édition 2023.

Classements étudiants :

1. Lycée Dick Ukeiwë
2. Université de la Nouvelle-Calédonie
3. Lycée Dick Ukeiwë

Classements professionnels :

1. Dinum
2. CAFAT
3. BBS – Barrau Business Systems

Toutes les équipes gagnantes ont remporté des formations en cybersécurité EC-Council.

Des stands et des conférences

En parallèle du CTF, les stands et les conférences ont suscité l’intérêt des visiteurs curieux. Les exposants ont présenté des technologies innovantes, comme l’impression 3D, la gravure laser, l’art numérique interactif, l’IA et le public pouvait même se faire un smoothie à la force de leurs jambes grâce au vélomixeur ! Les formations de la filière numérique étaient également présentées. Les conférences, quant à elles, ont permis d’aborder des sujets divers tels que la place de la femme dans le numérique, le hacking éthique ou le recrutement.

Un bilan positif

L’engouement pour cette journée a clairement souligné l’importance croissante de la cybersécurité en Nouvelle-Calédonie, de plus en plus connectée. Le Hackagou a su captiver un large public, mettant en lumière l’intérêt grandissants pour les enjeux liés au numérique et à la cybersécurité.

Nous tenons encore une fois à remercier l’ensemble des partenaires qui nous ont soutenus dans ce projet :

AdDo BBS CAFAT Calédonia la télé qui nous rapproche CODIGIS CSB Calédonienne de Solutions Business EC-Council EEC ENGIE EPI FAIDYL Gouvernement de la Nouvelle-Calédonie Ikigai – Pacific Lagoon Business LE CUBE NUMERIQUE POUR TOUS OPSSI OPT Nouvelle-Calédonie Province Sud Université de la Nouvelle-Calédonie Ville de Nouméa ( Nouméa City) VisualCom.nc

Merci également aux exposants et conférenciers :

Université de la Nouvelle-Calédonie, CCI Nouvelle-Calédonie, Ikigai – Pacific Ministère des Armées, Police nationale, Province Sud, La Fresque du Numérique,  Mégane Savary de Atoflow, Anne-Christine Bailly de OPEN, Thomas Monnin de la Police nationale.

Sans oublier l’équipe de choc qui a monté ce beau projet :

Laurent Rivaton de AdDo, initiateur du projet et pilote de l’événement, Yoan Agostini de la CAFAT, créateur des challenges du CTF, David Goncalves de OPSSI, en charge de la gestion technique et l’installation, et Lydia FAMBART GRACIA de FAIDYL pour la gestion des animations, Jean Marc Brecard de CODIGIS, pour l’animation le jour J et aux permanentes Manon Ramos Guerrero, Anne-Christine Bailly et GLORIA LOQUET qui ont piloté, au nom d’OPEN, d’une main de maitre l’organisation du HACKAGOU.

Une attention particulière également au Lycée Dick Ukeiwé, et plus particulièrement les BTS SISR et BTS SIO2 qui sont venus nous aider en nombre pour la mise en place de l’événement.

Nous travaillons d’ores et déjà sur l’édition 2024…

L’hameçonnage ou phishing est une forme d’escroquerie sur internet. Le fraudeur se fait passer pour un organisme que vous connaissez (banque, service des impôts, CAF, etc.), en utilisant le logo et le nom de cet organisme. Dans le cas présent la fraude est extrêmement crédible car le mail est envoyé d’une boîte mail légitime d’un client qui lui-même était tombé dans le piège. Imparable ou presque !

Découvrez le témoignage d’une entreprise calédonienne – Nous remercions Le FIAF qui a accepté de témoigner sur cette attaque de phishing qui a aussi touché plusieurs autres sociétés Calédoniennes.  

1.    Déroulement de l’incident

Le lundi 20 juin 2022 à 13 :03, l’employé reçoit un mail intitulé « Relevé de compte. ». L’expéditeur de ce mail est un client basé en Nouvelle Calédonie. C’est un client usuel de la société et il n’y a rien d’inhabituel à recevoir des mails de sa part.

L’employé se dit légèrement surpris que le relevé de compte soit un document Sharepoint plutôt qu’une pièce jointe mais ouvre cependant le document.

Dans le document Excel, certaines cases affichent un message invitant à télécharger du contenu externe.

 

L’employé ne se souvient pas clairement des actions réalisées à partir de ce moment, mais indique l’apparition d’un pop-up invitant à entrer ses identifiants.

L’employé suspecte avoir commis une erreur, mais n’observe aucune conséquence immédiate et ne notifie pas l’événement immédiatement au prestataire informatique qui est en déplacement en métropole.

Le lendemain, l’employé est contacté par téléphone par des clients qui indiquent avoir reçu de sa part des mails suspects. L’employé contacte alors son prestataire Informatique qui confirme que le compte a été corrompu.

 

« Nous avons été alertés d’une probable corruption d’un de vos comptes Microsoft en date du 21/06/2022 à 7h53. Le compte présente le rapport suivant : - Courriers suspects au cours des dernières 24 heures : 434 - Nombre total de courriers sortants au cours des dernières heures : 547 - Pourcentage de courriers suspects : 79 % - L’envoi de messages sortants a été restreint pour le compte d’utilisateur le 21/06/2022 à 8h00 » Le prestataire informatique

2.    Actions en remédiation

Le prestataire informatique intervient le 21 juin et réalise les actions suivantes :

– Réinitialisation du mot de passe du compte

– Déconnexion forcée de toutes les sessions Office 365

– Vérification du transfert de courrier : désactivé

– Vérification des règles de boîte de réception : Suppression d’une règle douteuse sans nom.

– Déblocage du compte afin d’autoriser à nouveau l’envoi de message vers des adresses extérieures à l’organisation

 

En termes de communication externe, un mail est fait à la clientèle de l’entreprise pour les informer de la compromission. Par ailleurs, lors des réunions clients, une communication sur l’incident leur est faite.

Enfin, le DPO fait une déclaration à la CNIL le 21 juin.

3.    Renseignements complémentaires

3.1. Gestion informatique

L’informatique est complètement externalisée à un prestataire externe. La fonction de DPO (Data Protection Officer) est aussi assurée par un prestataire externe.

3.2. Office365 et authentification forte (MFA)

La société victime utilise la suite Office365 et avait mis en place une authentification forte depuis plusieurs mois. L’authentification forte n’a cependant pas empêché la compromission du compte.

3.3. Description du mail reçu

Le mail reçu provient d’un expéditeur de confiance (client de l’entreprise) et son sujet et son contenu (logo de l’entreprise et signature du mail) sont cohérents. Il n’y a pas de faute de Français dans le mail.

Le mail ne contient pas de destinataire mais une longue liste de personnes (en tout 489 personnes dont l’employé victime) en sont en copie.

L’entête du mail ne présente aucun élément particulier et le mail respecte les règles d’authentification (DMARC=pass, DKIM=pass, SPF=pass).

3.4. Le document Excel (Sharepoint)

Celui-ci est accessible via le lien suivant :

https://societeB-my.sharepoint.com/:x/g/personal/societeB/EeNE5lWlhkpJkoG14GB7-IkB37eNCsEedtH8bzMTwMWpLQ

Il s’agit d’un document présent sur le Sharepoint d’une société tierce (société B). Cette société basée en Nouvelle Calédonie est aussi cliente de la société victime.

Contactée cette autre société a indiqué aussi avoir fait l’objet d’une attaque similaire quelques jours auparavant.

La société B ignorait cependant l’existence de ce document sur son Sharepoint. Elle a pu procéder à un « scan » de son Sharepoint et a identifié 2 documents Sharepoint qui ont été effacés le lundi 04 juillet.

4.    Conclusion et enseignements

Cette attaque de phishing utilise la technique d’ingénierie sociale et d’usurpation d’identité : un compte de confiance (un client de l’entreprise) dont le compte est compromis est utilisé pour compromettre de nouveaux comptes.

Le mail de phishing est particulièrement réaliste car l’expéditeur du mail est donc un client de cette entreprise et le mail reprend la charte graphique du client. Il n’y a pas non plus de faute de Français qui aurait pu indiquer un risque.

Trois signaux « faibles » auraient cependant pu attirer l’attention de l’employé :

1. Le mail n’est pas ciblé vers un destinataire mais est diffusé largement (489 destinataires)
2. Le document est hébergé sur le Sharepoint d’une société tierce (société B) et non pas par celui de l’émetteur du mail.
3. Le document joint est un document Sharepoint et non une pièce jointe (point relevé par l’employé) comme habituellement avec ce client. Il est toutefois à noter que de plus en plus de sociétés utilisent Sharepoint et qu’il n’est plus rare d’avoir des liens Sharepoint dans des mails.

Une fois la compromission détectée, la société victime a réagi rapidement et a pris des actions de nature à arrêter la propagation de cette attaque (réinitialisation du compte compromis, communication à ses clients).

Il est à noter que le document Sharepoint n’a été effacé que le 04 juillet soit une quinzaine de jours après la compromission. La société B ignorait d’ailleurs l’existence de ce document.

 

Enseignements

• La formation faite aux employés pour reconnaitre des mails de phishing doit évoluer pour leur permettre une meilleure reconnaissance. Les critères classiques de reconnaissance (expéditeur inconnu, adresse email incorrecte ou encore fautes d’orthographes) ne sont plus suffisants.

 

• Lors d’une compromission ou tentative de compromission d’un compte Office365, il est important de « scanner » le Sharepoint pour s’assurer que des documents qui pourraient servir à propager une nouvelle attaque soient effacés.

 

Téléchargez le rapport

 

 

La commission cybersécurité travaille depuis quelques mois sur la création d’une lettre d’information dédiée à la cybersécurité dans le but de pouvoir vous informer sur le sujet.

 

Cette newsletter mensuelle se compose d’une partie Actualité avec un focus sur la Nouvelle-Calédonie grâce notamment au Honeypot installé par Julien Frasson (MF2G) et Xavier Bahuon (Action Cyber). Nous pouvons ainsi avoir une idée du nombre d’attaques que subit le territoire.

Vous obtiendrez également des conseils si vous êtes victime et des bonnes pratiques à adopter.

Enfin, en dernière partie, retrouvez toutes les alertes, menaces, incidents et recommandations en cours.

 

Encore merci à la commission cybersécurité et aux contributeurs – Serge Keller (CCI), Romuald Guillou (Optimium), Julien Frasson (MF2G), Xavier Bahuon (Action Cyber), Laurent Verolin (Gendarmerie Nationale), Laurent Rivaton (AdDo).

 

Pour consulter la newsletter c’est par ici

 

Bonne lecture à vous, et inscrivez-vous pour la recevoir directement dans votre boite !

Le fait d’être une île du Pacifique ne met pas la Nouvelle-Calédonie à l’abri des cyber-risques, bien au contraire ! Ces dernières années, la protection des données et de l’information des entreprises locales a révélé