Brave est souvent cité comme une référence en matière de navigateur respectueux de la vie privée. Pour autant, depuis son lancement en 2016, nombreux sont les petits écarts que se permet celui-ci. Une récente découverte a soulevé des questions sur ses pratiques. D’après une conversation sur GitHub, Brave semble installer son service de VPN sur les appareils Windows sans le consentement explicite des utilisateurs lors des mises à jour du navigateur.

Qu’est-ce qui se passe exactement ?

Si vous utilisez Brave sur votre PC, il se peut que vous soyez concerné. Ces services sont installés sans le consentement de l’utilisateur. Plus précisément, il s’agit des services « Brave Vpn Wireguard Service » et « Brave Vpn Service ». À partir de la version 1.59.117, ces services sont installés en mode de démarrage manuel et ne sont pas démarrés par défaut. Ils sont conçus pour être utilisés avec le service Brave Firewall + VPN , qui est une offre payante proposée par Brave en collaboration avec le VPN Guardian.

© 2022 Guardian.

Lancé en 2022, il s’agit d’une collaboration entre Brave Software et Guardian. Le prix de ce VPN est proposé au tarif de 9,99 $ par mois. Cette dernière peine à convaincre.

Une très vive réaction de la part des internautes qui se sont aperçus de cette installation non-consentie

Plusieurs utilisateurs ont exprimé leur mécontentement face à cette décision, soulignant que l’installation silencieuse de services supplémentaires sans le consentement de l’utilisateur est contraire à l’éthique d’un navigateur axé sur la vie privée.
Certains ont rappelé d’autres incidents passés avec Brave, tels que le problème du code de référence et les accusations de laisser passer certaines publicités rémunérées. Plusieurs internautes indiquent que la confiance est ébranlée et envisagent d’autres navigateur à l’avenir.

Comment savoir si Brave a installé son VPN sur mon PC ?

Si vous souhaitez savoir si le navigateur a installé à votre insu son VPN pour PC. Voici comment faire :

Ouvrez le Gestionnaire des services :

• Appuyez simultanément sur les touches Windows + R pour ouvrir la boîte de dialogue « Exécuter ».
• Tapez services.msc et cliquez sur « OK » ou appuyez sur « Entrée ».

Recherchez les services de Brave.

La réponse de Brave

Suite à cette nouvelle polémique, Brave a annoncé son intention de résoudre le problème dans une future mise à jour. Le service VPN ne sera installé qu’après l’achat par un utilisateur. Brave reconnaît que l’installation de ces services peut être perçue comme une forme de « bloatware » (logiciel encombrant), mais insiste sur le fait que l’ajout d’un service ne rend pas Brave moins sécurisé. Ils se défendent en indiquant avoir écrit le code eux-mêmes et appliqué leur processus d’examen habituel. Les services sont désactivés par défaut.

Pour conclure

Ce qui ressort de cette affaire, c’est l’importance du consentement dans le monde numérique. Les utilisateurs doivent être informés, et surtout, avoir le choix. Lorsqu’un logiciel prend des libertés avec ces principes, ça peut lui coûter sa réputation.
Brave a de nombreux fans dans le paysage des navigateurs axés sur la confidentialité. Espérons qu’il s’agit la d’un incident isolé sans mauvaises intentions, car Brave n’a fait aucune déclaration sur les raisons de cette installations silencieuse. Cela ressemble à du forcing.
Et vous ? Utilisez-vous Brave ? Cette nouvelle découverte change-t-elle votre perception du navigateur ?

Indispensable pour contourner les géo-restrictions et assurer la confidentialité en ligne les VPN et leurs utilisateurs sont devenus des cibles de choix pour les cybercriminels. En exploitant cette tendance, les campagnes malveillantes se multiplient. Actuellement, des VPN pour Windows sont victimes d’une tactique d’attaque redoutable où le malvertising et le cybersquatting se combinent pour infecter les appareils.

Quand le malvertising et le cybersquatting se combine pour devenir un vecteur d’attaque imparable

Une nouvelle campagne de distribution du malware BbyStealer est en cours, exploitant divers domaines de phishing pour cibler les utilisateurs cherchant à installer des applications de VPN gratuit sur pc. Cette campagne a été identifiée par Cyble Research and Intelligence Labs. Ils ont découvert de nombreux sites frauduleux imitant les pages de téléchargement de fournisseurs de logiciels légitimes, tous proposant un bouton de téléchargement et d’installation gratuits. Les visiteurs qui cliquent sur ces boutons reçoivent une archive RAR contenant un faux installateur VPN qui installe le malware BbyStealer sur l’appareil.

Les domaines de cybersquatting utilisés dans cette campagne sont notamment :

• totalvpn.tech
• wolfervpn.com
• vpncyberfortress.com
• vpnfortres.online
• itroppervpn.online

Faux site VPN de VPN gratuit pour pc – Ne téléchargez surtout pas !

Ces faux sites VPN pourraient être promus par le biais de malvertising et de Black SEO, les faisant ainsi apparaître en tête des résultats de recherche sur Google pour des termes pertinents. De plus, le trafic vers ces sites pourrait être dirigé par des publications malveillantes sur les réseaux sociaux, des messages directs, entre autres.

Un détail alarmant révélé par Cyble est l’absence de détection de ces fichiers malveillants par les antivirus actuels. Une mise à jour des signatures est attendue. Il en va de même pour les exécutables contenus qui installent le BbyStealer, rendant peu probable la prise de conscience par les utilisateurs qu’ils ont reçu un fichier dangereux.

Qu’est-ce que le BbyStealer ?

BbyStealer est un malware conçu pour voler des informations sensibles des victimes.

Une fois installé, il se présente comme une application VPN standard sur le disque de la victime. En réalité, il s’agit d’une opération en tant que service (MaaS) vendu à des cybercriminels via Telegram, le service de messagerie chiffré.
Lorsque BbyStealer est exécuté, il ajoute une entrée dans le dossier de démarrage de Windows pour assurer sa persistance et exécute des commandes pour accéder aux données stockées dans la base de données du navigateur, telles que les mots de passe, les numéros de cartes bancaires et les informations sur les portefeuilles de cryptomonnaie.

Conclusion : Ne paniquez pas !

La prudence est de mise. Téléchargez toujours vos applications VPN directement depuis le site officiel du fournisseur sans passer par la publicité même si il s’agit d’un Ads Google lors d’une simple recherche.

Si vous avez des doutes sur le VPN que vous avez téléchargé, effectuez des recherches en ligne pour confirmer son authenticité. En cas de doute, désinstallez immédiatement le VPN, exécutez une analyse antivirus et modifiez tous vos mots de passe. Redémarrez votre ordinateur en mode sans échec et exécutez une analyse. En mode sans échec, seuls les programmes essentiels sont chargés, ce qui peut faciliter la détection et la suppression de malwares.

Assurez-vous que votre système d’exploitation et tous vos logiciels sont à jour. Les mises à jour contiennent souvent des correctifs de sécurité qui peuvent protéger contre les malwares connus.
Les fournisseurs d’antivirus sont déjà informés de cette menace et travaillent activement à mettre à jour leurs bases de données. Une mise à jour de votre solution antivirus pourrait donc bientôt être disponible pour détecter et neutraliser ce malware spécifique.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles. Merci pour votre soutien et pour vos nombreux partages !

L’année 2023 marque l’introduction de la Directive NIS2, une grosse mise à jour apportée par l’Union européenne pour renforcer la sécurité des réseaux et des systèmes d’information. Avec une échéance fixée au 17 octobre 2024 pour transposer cette nouvelle loi dans la législation, le compte à rebours est lancé pour les États membres de l’UE.

Contexte : La Directive NIS Originelle

Avant de plonger dans les détails de la Directive NIS2, il est pertinent de comprendre son prédécesseur, la Directive NIS (Network and Information Systems).
Instaurée en 2016, cette directive était la première législation de l’UE consacrée à la cybersécurité. Elle visait à établir un niveau commun élevé de sécurité des réseaux et des systèmes d’information à travers l’Union, en mettant particulièrement l’accent sur les opérateurs de services essentiels dans des secteurs tels que l’énergie, les transports, et la santé, ainsi que sur les fournisseurs de services numériques comme les moteurs de recherche et les plateformes en ligne.
La Directive NIS a mis en place des exigences en matière de sécurité et des mécanismes de notification des incidents pour aider les États membres à répondre aux défis de cybersécurité et à protéger les consommateurs et les infrastructures critiques.

Nouvelle réalité, nouvelles règles

Contrairement à son prédécesseur, la Directive NIS2 élargit son champ d’application au-delà des fournisseurs de services essentiels tels que les secteurs de l’énergie, de la santé, et des transports, pour inclure également divers prestataires de services numériques. Elle impose des mesures de sécurité appropriées pour gérer les risques liés à la cybersécurité et des obligations de report en cas d’incidents de sécurité.
La NIS2 propose un cadre réglementaire solide pour aider les entreprises à naviguer dans un environnement digital complexe. Elle cible toutes les entités, publiques et privées, opérant dans l’UE, qui sont vitales pour l’économie et la société.

Préparation et conformité : les entreprises responsabilisées

La Directive NIS2 impose aux entreprises de mettre en place des politiques et des procédures solides pour l’analyse des risques, la sécurité des systèmes d’information, et l’évaluation de l’efficacité des mesures de gestion des risques en matière de cybersécurité. Elle exige également que l’accès soit désactivé lorsque les employés ou les contractuels cessent de travailler pour l’entreprise, et interdit l’utilisation de comptes génériques.

Dans ce contexte, l’utilisation d’un VPN d’entreprise reposant sur le principe du zéro Trust (ZTNA) utilisant différents systèmes de passerelles afin de sécuriser les points d’accès au réseau devient incontournable.

Par ailleurs, l’adoption de solutions de Détection et Réponse sur les Endpoints (EDR) est vivement recommandée pour fournir une visibilité et un contrôle améliorés sur les activités des systèmes d’exploitation des entreprises, permettant ainsi une réponse rapide en cas d’incidents de sécurité. Les menaces contemporaines telles que les ransomwares et le malvertising nécessitent une attention particulière, car elles peuvent causer des dommages considérables aux opérations des entreprises et à leur réputation, tout en entraînant des coûts de récupération élevés. La Directive NIS2, en établissant un cadre réglementaire plus stricte, vise également à encourager les entreprises à adopter des mesures proactives pour se défendre contre ces menaces persistantes et évolutives.

Sanctions Financières : Un Levier de Conformité

La NIS2 prévoit des sanctions financières sévères en cas de non-conformité. Pour les entités essentielles, l’amende maximale sera d’au moins €10 millions, ou 2% du chiffre d’affaires annuel global. Pour les entités importantes, l’amende maximale sera d’au moins €7 millions, ou 1,4% du chiffre d’affaires annuel global.

Pour conclure

Difficile d’ignorer certaines réalités troublantes du paysage actuel de la cybersécurité. Il semblerait que l’engagement envers la protection des données personnelles varie considérablement d’un secteur à l’autre.

D’un côté, certaines entreprises semblent négliger la valeur intrinsèque des informations personnelles qu’elles détiennent, traduisant ainsi une certaine désinvolture en matière d’investissement dans la cybersécurité.

D’un autre côté, des secteurs indispensables tels que la santé, confrontés à des contraintes budgétaires, peinent à allouer les ressources nécessaires pour renforcer leur cybersécurité. Les récentes attaques par ransomware visant des établissements de santé illustrent tristement cette réalité.

La Directive NIS2 est une avancée significative qui vise à augmenter la résilience et la coopération en matière de cybersécurité au sein de l’UE. Mais c’est également un sacré coup de pression pour beaucoup de PME. Avec l’échéance de 2024 qui approche rapidement, les entreprises doivent agir sans délai pour se conformer aux nouvelles exigences réglementaires et assurer ainsi un environnement numérique plus sûr sous peine de lourdes amendes.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles. Merci pour votre soutien et pour vos nombreux partages !

Google, le géant de l’internet, a récemment corrigé une vulnérabilité zero-day dans son navigateur Chrome. Cette faille, activement exploitée par des fournisseurs de logiciels espions, a levé un vent de panique chez de nombreux utilisateurs.

Détails de la vulnérabilité

Identifiée sous le nom de CVE-2023-5217, cette vulnérabilité est un débordement de tampon dans l’encodage vp8 de la bibliothèque libvpx.

Pour faire simple, La vulnérabilité en question est comme une porte défectueuse dans un logiciel qui gère les vidéos. Cette porte, au lieu de laisser passer la bonne quantité d’informations, en laisse passer trop, créant une opportunité pour les cybercriminels de s’infiltrer et de causer des dégâts. Imaginez une écluse qui laisse entrer trop d’eau, risquant de provoquer une inondation.

Cette vulnérabilité pourrait affecter non seulement Chrome, mais aussi d’autres applications et plateformes très utilisées qui reposent sur la bibliothèque libvpx, comme 1Password, Firefox, Microsoft Edge, Safari et Signal, le service de messagerie sécurisée.

Des dégâts déjà répertoriés

Cette vulnérabilité a été activement exploitée par un fournisseur de logiciels espions commerciaux. Le marché des logiciels espions connaît une croissance, avec des outils capables d’accéder à distance aux données des smartphones, d’activer des microphones et de suivre des emplacements.

Ces outils, bien que présentés comme des moyens de surveillance légale, sont souvent utilisés de manière abusive.

Google contre attaque

Google a été rapide dans sa réponse, créditant la découverte à Clement Lecigne de son Threat Analysis Group. La société a été prudente en matière de divulgation, limitant l’accès aux détails jusqu’à ce qu’une mise à jour soit largement déployée.

[$NA][1486441] High CVE-2023-5217 : Débordement de mémoire tampon dans l’encodage vp8 dans libvpx. Signalé par Clément Lecigne du Threat Analysis Group de Google le 2023-09-25

Pour conclure

Alors que les entreprises technologiques s’efforcent de protéger leurs utilisateurs, la menace des logiciels espions commerciaux et l’utilisation abusive de la technologie de surveillance soulignent la nécessité d’une vigilance constante et d’une réglementation stricte.

Réflexions finales :

• La sécurité avant tout : Comment les entreprises peuvent-elles anticiper et se préparer à de telles menaces à l’avenir ?
• Surveillance vs. Vie privée : Où doit-on tracer la ligne entre la surveillance nécessaire et la violation de la vie privée ?
• Rôle des régulateurs : Comment les organismes de réglementation peuvent-ils jouer un rôle plus actif pour garantir que les technologies de surveillance sont utilisées de manière éthique ?