TeleMessage piratée 🔓, WhatsApp: NSO paie 168M$ ⚖️, Microsoft sans mots de passe 🔑
Bonjour et bienvenue dans l'édition du vendredi 9 mai !
A la une aujourd'hui:
- TeleMessage : L'application Signal non officielle utilisée par des responsables américains piratée
- NSO Group condamné à payer 167 millions de dollars pour ses attaques contre WhatsApp
- Microsoft annonce la fin du mot de passe pour les nouveaux comptes
- CrowdStrike réduit ses effectifs de 5% et cite l'IA comme facteur d'efficacité
- Alerte aux IA de conformité cyber : qui est responsable en cas d'erreur ?
TeleMessage : L'application Signal non officielle utilisée par des responsables américains piratée
Points Clés :
- TeleMessage, qui fournit un outil d'archivage de messages Signal, a suspendu tous ses services suite à un piratage
- Un hacker a pu accéder aux messages archivés et aux informations de contact de responsables gouvernementaux
- Des vulnérabilités importantes ont été découvertes dans le code source de l'application TM SGNL
Description :
TeleMessage, une entreprise israélienne qui commercialise un outil non officiel d'archivage de messages Signal utilisé par certains responsables gouvernementaux américains, a suspendu tous ses services après avoir été piratée. Le hacker a affirmé avoir accédé en moins de 30 minutes à des messages directs et des conversations de groupe archivés, ainsi qu'à des informations de contact et des identifiants de connexion au back-end.
Pourquoi c'est important :
Cette violation souligne les risques liés à l'utilisation d'applications de messagerie non officielles, même par des responsables gouvernementaux de haut niveau. L'incident met en lumière le compromis problématique entre la conformité réglementaire (archivage des communications) et la sécurité des communications sensibles. Signal a clairement indiqué qu'elle ne peut garantir la sécurité des versions non officielles de son application, rappelant l'importance d'utiliser uniquement des canaux de communication approuvés.
NSO Group condamné à payer 167 millions de dollars pour ses attaques contre WhatsApp
Points Clés :
- Un jury fédéral américain a condamné NSO Group à payer 167,7 millions de dollars à WhatsApp pour une campagne d'espionnage ciblant 1 400 utilisateurs
- NSO Group a exploité une faille zero-day dans WhatsApp pour installer son logiciel espion Pegasus
- Ce verdict historique représente la première condamnation judiciaire d'un fournisseur de logiciels espions
Description :
Un jury fédéral américain a ordonné à NSO Group de verser 167,7 millions de dollars à WhatsApp suite à une campagne d'espionnage menée en 2019. L'entreprise israélienne avait exploité une vulnérabilité dans la fonction d'appel de WhatsApp pour déployer son logiciel espion Pegasus sur les appareils de 1 400 utilisateurs, dont des journalistes, des diplomates et des défenseurs des droits humains, et ce même sans que les appels soient décrochés.
Pourquoi c'est important :
Ce verdict représente un tournant majeur dans la lutte contre l'industrie des logiciels espions commerciaux, étant la première fois qu'un tribunal tient légalement responsable un fournisseur de tels outils. La décision établit un précédent juridique important et envoie un message dissuasif aux autres entreprises du secteur. Elle confirme également que les développeurs de logiciels espions peuvent être tenus directement responsables des opérations d'infection, même lorsqu'ils prétendent ne fournir que des outils aux forces de l'ordre.
Microsoft annonce la fin du mot de passe pour les nouveaux comptes
Points Clés :
- Les nouveaux comptes Microsoft seront désormais créés sans mot de passe par défaut
- Microsoft privilégie les passkeys (clés d'accès) et les codes à usage unique pour l'authentification
- Près d'un million de clés d'accès sont enregistrées chaque jour sur les services Microsoft
Description :
Microsoft fait un pas décisif vers un avenir sans mot de passe en configurant par défaut les nouveaux comptes avec des passkeys. Cette technologie utilise la cryptographie pour renforcer la sécurité contre le piratage et le phishing. Les utilisateurs seront invités à utiliser des codes à usage unique puis encouragés à enregistrer une clé d'accès, tandis que les utilisateurs existants peuvent supprimer leur mot de passe via les paramètres de leur compte.
Pourquoi c'est important :
Cette évolution marque un tournant majeur dans les pratiques d'authentification. Les mots de passe traditionnels constituent un maillon faible de la sécurité numérique, souvent réutilisés sur plusieurs plateformes et vulnérables aux attaques. En adoptant les passkeys, Microsoft rejoint Apple et Google dans une initiative sectorielle visant à éliminer progressivement les mots de passe, offrant une expérience utilisateur plus fluide tout en renforçant significativement la protection des données personnelles.
CrowdStrike réduit ses effectifs de 5% et cite l'IA comme facteur d'efficacité
Points Clés :
- CrowdStrike supprime environ 500 postes tout en réalignant son modèle opérationnel pour la croissance dans de nouveaux segments de marché
- L'entreprise invoque l'IA comme 'multiplicateur de force' permettant d'optimiser ses opérations
- Des analystes remettent en question l'utilisation de l'IA comme justification des licenciements, évoquant un phénomène d'"AI-washing"
Description :
CrowdStrike réduit 5% de ses effectifs malgré une croissance de 29% de son chiffre d'affaires l'an dernier. Le PDG George Kurtz cite l'IA comme facteur d'efficacité permettant d'innover plus rapidement et d'optimiser les opérations. L'entreprise prévoit de continuer à embaucher pour les rôles orientés client et l'ingénierie produit, tout en se concentrant sur de nouveaux segments de marché.
Pourquoi c'est important :
Cette décision illustre une tendance croissante où les entreprises technologiques invoquent l'IA pour justifier des réductions d'effectifs. Elle soulève des questions sur l'impact réel de l'IA sur l'emploi dans la cybersécurité et pourrait préfigurer une vague similaire chez d'autres fournisseurs. Ces licenciements interviennent également dix mois après une mise à jour défectueuse qui avait causé d'importants dysfonctionnements des systèmes Windows.
Alerte aux IA de conformité cyber : qui est responsable en cas d'erreur ?
Points Clés :
- Les IA de conformité cyber peuvent produire des erreurs dont l'entreprise utilisatrice reste responsable
- Les dirigeants et RSSI risquent des sanctions personnelles en cas de non-conformité
- Des mesures de contrôle et de formation sont essentielles pour limiter les risques
Description :
Les solutions d'IA pour la conformité aux réglementations cyber (RGPD, NIS 2, Dora) se multiplient, mais présentent un risque majeur : en cas d'erreur de l'IA, c'est l'entreprise utilisatrice qui sera sanctionnée, pas l'éditeur. Les amendes peuvent atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial, avec une possible mise en cause des dirigeants.
Pourquoi c'est important :
Cette situation crée un dilemme de responsabilité où les RSSI pourraient devenir des "fusibles" en cas de problème. Pour se protéger, les entreprises doivent impérativement contrôler l'usage de ces IA, former leurs équipes, et négocier des clauses contractuelles avec les éditeurs. L'enjeu est crucial alors que de plus en plus d'organisations adoptent ces outils pour faire face à la complexité croissante des réglementations cybersécurité.
Avant de partir, j'ai 2 (petits) services à te demander :
- Réponds à ce mail avec ton avis/ressenti sur cette édition. C'est toujours un plaisir de pouvoir échanger avec toi sur ces sujets, je réponds à tout le monde ! Tu peux aussi donner ton avis en cliquant sur les boutons ci-dessous.
- Si tu as trouvé cette newsletter utile, partage-la à tes proches. C'est ce qui m'aide le plus à la faire grandir.
Bon vendredi à toi !