Tous les articles par Damien Bancal

BYOD

Géolocalisation de véhicules, l’avenir routier ?

De plus en plus de véhicule sont équipés d’un système de géolocalisation. De la voiture de « monsieur tout le monde » et son GPS, en passant par des supports professionnels offrant la possibilité de suivre et sécuriser sa flotte de livraison en temps réel. Comment fonctionne ces systèmes ? Sont-ils de confiance ?

Depuis le 31 mars 2018, tous les véhicules neufs doivent être équipés d’un système de géolocalisation et d’appel des urgences en cas d’accident. Un système baptisé eCall. L’avantage de ce système de géolocalisation, un contact immédiat avec le centre de secours le plus proche. eCall permet aux pompiers, par exemple, de retrouver l’emplacement exact du véhicule et des passagers en danger.

Le parc automobile datant d’avant mars 2018 n’est pas concerné. L’autre inconvénient, les erreurs de manipulation et les potentiels bugs. Un système qui n’a pas pour vocation de tracer les véhicules, mais de lancer un « SOS » en cas de besoin.

Deux appels sont lancés, le premier, baptisé le Public Safety Answering Point (il est automatique) et le second, via la voix des passagers, dans la mesure où ces derniers sont dans la capacité de parler.

Suivi par GPS

L’autre système de « suivi » que les véhicules peuvent embarquer, le GPS de géolocalisation en temps réel. Ici, ce système intéressera surtout les entreprises. Le projet Web Fleet est l’un de ces systèmes permettant de connecter un véhicule (voiture, camion, fourgonnette …) au régulateur de l’entreprise (bureau, entrepôt …).

Ce produit de géolocalisation prend la forme d’un boitier baptisé LINK. Il est exploitable via un logiciel, baptisé WebFleet, en charge de la gestion des véhicules équipés du GPS.

Via cet outil, il est possible de suivre le chemin parcouru, par exemple, par un camion. Connaître ses points de passage, ses arrêts, le rediriger en cas de bouchons routiers.

Un outil qui devient très vite un allier dans les choix opérationnels de l’entreprise utilisatrice. Webfleet permet aussi de connaitre la vitesse de chaque véhicule et d’être alerté en cas d’accident. L’accéléromètre embarqué permet cette interaction sécuritaire.

Cybersécurité

64% des entreprises ont plus de 1 000 dossiers sensibles auxquels l’ensemble de leurs employés ont un accès libre

Voici un nouveau rapport qui permet de comprendre l’un des gros malaises au sein de nos entreprises. Six entreprises sur 10 laisseraient accés à l’ensemble de leurs employés à plus de 1 000 dossiers sensibles.

Ce rapport vise les risques liés aux systèmes de fichiers. Un volume énorme, on parle ici de de quatre milliards de fichiers dans 56 grandes organisations en France, USA, Angleterre ou encore Allemagne. Le secteur financier compte parmi les plus matures en matière de cybersécurité, mais il n’en demeure pas moins que les entreprises de services financiers sont parmi les plus visées par des cyberattaques, indique le rapport de Varonis, du fait des données sensibles qu’elles collectent auprès de leurs clients.

Cette étude met en lumière que les données des sociétés questionnées sont encore très largement exposées à des failles, menaces internes ou encore des attaques par ransomware. Des données qui mettent également sous la pression d’une non-conformité aux réglementations, telles que le RGPD, ou encore la norme PCI-DSS spécifique au monde bancaire.

Des données, comme les courriels, qui peuvent trés rapidement, dans les mains de pirates, finir en pourriel/spam (définition du spam) ou encore en spear phishing, un hameçonnage de données ciblées.

Dans les organisations analysées, en moyenne 10,8 millions de dossiers sont accessibles à tous les employés. Cela atteint jusqu’à 20 millions dans les plus grands groupes (plus de 1500 employés). En moyenne, un(e) employé(e) d’une société de services financiers a accès à 13% du total des dossiers de l’entreprise. Dans les petites entreprises (entre 1 et 500 employés pour ce rapport), un employé a en moyenne accès à plus d’un demi-million de fichiers, et ainsi une liberté illimitée de consulter, copier, déplacer et modifier les données qu’ils contiennent. Le problème est d’autant plus grave que plus de 20% de ces fichiers comportent des données sensibles sur des employés ou clients.

Au sein de ces dossiers, se trouvent de nombreuses données sensibles : 64% des entreprises analysées ont plus de 1000 dossiers sensibles auxquels l’ensemble de leurs employés ont un accès libre. En moyenne, 69 % des données au sein de sociétés du secteur financiers sont « obsolètes », c’est-à-dire non consultées depuis plus de 90 jours. Ces données incluent souvent des données critiques, et elles sont ainsi tout autant exposées à des failles, et devraient faire l’objet d’une gestion appropriée (archivage sécurisé, suppression). Autre chiffre important : dans 59% des entreprises analysées, Varonis a identifié plus de 500 mots de passe qui n’expirent jamais. (le rapport)

Hacking

Que faire pour éviter « l’après-ransomware » ?

Retenez une chose, pendant l’attaque, pendant qu’ils sont en train de chiffrer tous vos fichiers, les pirates continuent  leur travail. Dans de plus en plus de cas aujourd’hui, l’activité principale d’une attaque de ransomware se passe avant et après l’attaque.

Les pirates ne se contentent pas de juste infiltrer votre machine, ils analysent ensuite tous vos documents volés. Lorsqu’on parle de ransomware aujourd’hui, il ne s’agit plus du simple chiffrement des informations, il s’agit d’un accès pour ensuite tout autoriser. Les opérateurs de ransomwares  sont devenus maître de votre machine et ils comptent bien vous faire chanter.

Comme le rappelle IS Decisions, il y a un état d’esprit marketing flagrant face à la malveillance mise en place. La première étape consiste à prendre en otages les machines et les fichiers par chiffrement puis à vous demander de payer le déchiffrement de ces fichiers.

La deuxième étape consiste à menacer de divulguer les informations volées pour alerter les autorités. Avec les réglementations de type RGPD et la possibilité de lourdes amendes pour non-divulgation d’attaques, cette deuxième étape est de plus en plus courante.

La troisième étape consiste à vendre aux enchères les données volées pour les entreprises qui n’ont pas payé aux deux premières tentatives de chantage.

Comment se protéger ? La sécurité informatique à 100% n’existe malheureusement pas. C’est pourquoi il faut être organisé à l’avance afin d’être prêt pour le jour où ce genre de catastrophe se produit. Que faut-il faire ? Que ne faut-il surtout pas faire ? Il faut mettre en place des mesures préventives et proactives clés afin de fournir des couches supplémentaires de défense contre les attaques de ransomwares.

A découvrir ici.

Mise à jour, Patch

112 vulnérabilités dont 17 critiques affectant notamment les codecs Windows, le système NFS de fichiers en réseau et les postes de travail, ainsi que des correctifs Adobe

Le Patch Tuesday de ce mois de novembre 2020 traite 112 vulnérabilités dont 17 classées comme critiques. Ces 17 vulnérabilités critiques concernent les codecs Windows, le système NFS de fichiers en réseau, Sharepoint, le spouler d’impression Windows ainsi que les postes de travail. De son côté, Adobe a publié des correctifs pour Acrobat Connect et Adobe Reader pour Android.

Corriger les vulnérabilités affectant les codecs Windows, GDI+, les navigateurs, Office et Exchange Server sont une priorité pour les équipements de type poste de travail, c’est-à-dire tout système utilisé pour accéder à la messagerie ou à Internet depuis un navigateur. Les serveurs multi-utilisateurs faisant office de postes de travail distants sont également concernés.

RCE dans SharePoint

Microsoft a corrigé six vulnérabilités dans SharePoint dont l’une est susceptible de déclencher une exécution de code à distance.(CVE-2020-17061). Trois de ces vulnérabilités ((CVE-2020-17016, CVE-2020-17015 et CVE-2020-17060) provoquent des problèmes d’émulation tandis que deux autres (CVE-2020-16979, CVE-2020-17017) entraînent des divulgations d’informations. La dernière (CVE-2020-17061) est une vulnérabilité par exécution de code à distance. Pour cette raison, il est hautement recommandé de privilégier l’application de ces correctifs sur tous les déploiements SharePoint.
Élévation de privilèges au sein du noyau Windows

Même si elle n’est indiquée que comme importante, une vulnérabilité est exploitée de manière active (CVE-2020-17087) dans Microsoft Windows. Cette vulnérabilité facilitant l’élévation de privilèges a été divulguée publiquement par Google fin octobre. Selon Mateusz Jurczyk et Sergei Glazunov, chercheurs en sécurité de l’équipe Project Zero de Google, ce bug permet à un attaquant de remonter des privilèges dans Windows. Ce correctif doit être déployé en priorité sur tous les équipements Windows.

RCE dans le système de fichiers en réseau (NFS) de Windows

Microsoft a corrigé une vulnérabilité (CVE-2020-17051) dans le système NFS (Network File System) de Windows. Cette CVE, qui a obtenu une score CVSS de 9,8, se caractérise par une attaque peu complexe à lancer et ne nécessitant pas l’interaction de l’utilisateur. Cette vulnérabilité peut éventuellement se propager sous la forme de ver et doit donc être résolue en priorité.
RCE dans le service de spouleur d’impression

Microsoft a également corrigé une vulnérabilité par exécution de code à distance (CVE-2020-17042) dans le spouleur d’impression qui est susceptible d’entraîner une élévation de privilèges. L’exploitation de cette vulnérabilité exige l’interaction de l’utilisateur, mais elle se caractérise par une attaque de faible complexité, ce qui augmente le risque de compromission. Ce correctif doit être déployé en priorité.

Adobe

Adobe a publié des correctifs pour résoudre de nombreuses vulnérabilités au sein du Reader pour Android et d’ Adobe Connect. Les patches pour Reader et Connect sont de Priorité 3.

Même si aucune des vulnérabilités rapportées par Adobe n’est a priori activement attaquée pour l’instant, tous les correctifs doivent être déployés en priorité sur les systèmes où ces produits sont installés.

Cybersécurité

Télétravail & confinement : la sauvegarde et la protection des données doivent aller de pair

Nous devons faire à nouveau face à une période difficile de confinement. Malgré une généralisation du télétravail sur l’ensemble du territoire, beaucoup d’entreprises se déchargent encore de la responsabilité du respect de la protection des données des télétravailleurs. Grâce à des formations, à des règles claires et à certaines mesures IT, les risques liés au télétravail peuvent être considérablement réduits.

En France, les départements IT de nombreuses entreprises ont fait passer les collaborateurs en télétravail dans un délai particulièrement court. Cependant, la hâte avec laquelle ces équipes ont dû développer de nouvelles méthodes de travail à partir de rien a généré de nouveaux risques numériques pour les employés et leurs données. Par conséquent, deux tendances ont émergé suite à la mise en place du télétravail. Premièrement, le nombre d’attaques visant les nouveaux modèles de travail sont de plus en plus nombreuses[1]. Ensuite, les responsables chargés de la protection des données indiquent que les télétravailleurs respectent rarement les règles dédiées à la protection de données que ce soit par volonté ou encore par manque de moyens techniques.

En effet, leur domicile devenant leur nouveau lieu de travail, certains collaborateurs n’ont pas les ressources nécessaires pour stocker, sécuriser, ou encore transférer les données. De plus, il leur est parfois difficile de respecter les réglementations mises en place par les entreprises en matière d’emplacement de sauvegarde des données ou de gestion de données confidentielles dans un contexte familial, par exemple. Le manque de connaissance des risques et des règles montre que les employés ne sont ni suffisamment informés de la marche à suivre, ni formés aux bonnes pratiques.

Comme il est impossible pour les entreprises de contrôler le comportement de leurs collaborateurs en télétravail, des formations, un rappel des règles clair et la mise en place de solutions techniques simples semblent être les outils les plus appropriés pour assurer une bonne gestion de données. Car en effet, rappelons que l‘entreprise reste responsable du respect de la protection des données et des exigences légales (RGPD) et peut être condamnée à une amende en cas de violation.

Des improvisations qui ouvrent la voie aux attaques

Le manque de temps et d’équipements (en ordinateurs portables notamment) ont obligé les entreprises à tolérer la connexion d’appareils privés au réseau de l’entreprise. Mais cela n’est malheureusement pas sans conséquences. En effet, le niveau de sécurité des appareils privés est généralement inférieur à celui du réseau d’entreprise, notamment parce que les logiciels et le matériel n’y sont pas normalisés et que les programmes ne font pas l’objet de correctifs ou de mises à jour uniformes. De plus, milieu professionnel et privé ont désormais des frontières bien plus floues : les employés utilisent des données et des services privés en parallèle de ceux mis à disposition par l’entreprise sur les dispositifs professionnels, qui plus est sur des dispositifs généralement situés en dehors de l’environnement sécurisé. Dans ces conditions, le risque d’infection et de perte de données est plus important.

Une récente mise en garde communiquée par Interpol souligne l’intérêt des hackers à utiliser le contexte du coronavirus et du télétravail pour arriver à leurs fins. Ils utilisent par exemple des noms trompeurs et en lien avec l’épidémie dans le titre des pièces jointes pour inciter les collaborateurs à cliquer et à ouvrir la porte à un logiciel malveillant comme un ransomware. Les acteurs malveillants recherchent spécifiquement les points faibles des nouveaux outils de communication afin d’attaquer les systèmes des entreprises, des autorités et des universités. Avec un nombre de télétravailleurs plus important que jamais, les services informatiques sont à nouveau fortement sollicités et réagiront certainement plus lentement en cas d’urgence, malgré les apprentissages tirés de la première vague de l’épidémie – et du premier confinement.

Chaque nouvelle application numérique génère un nombre important de nouvelles données et duplique par conséquent la quantité de lieux de stockage. Cet aspect, loin d’être anodin, a d’importantes conséquences sur l’IT : l’absence de règles claires concernant l’endroit et la manière de stocker les données combinés à un concept de gestion et à une sécurité des données non adaptés – induisant une grande disparité des lieux de stockage de données, favorisent l’apparition d’angles mort au sein du paysage informatique.

À l’heure actuelle, une entreprise ne connaît le contenu que d’environ la moitié de ses données. Alors, il y a de fortes chances que cette même entreprise ne soit pas en mesure d’identifier celles ayant pu lui être volées en cas d’attaque. Pour éviter une telle situation, quelques de règles de bases sont à mettre en place :

  • Les collaborateurs ont besoin de règles claires quant au lieu et à la manière dont ils doivent stocker les données importantes. Ils comprendront, notamment au cours de formations dédiées, qu’il est indispensable de stocker les données de valeur sur des systèmes de stockage mis en place par l’entreprise dans le cloud et que celles-ci ne doivent être conservées que dans des endroits sécurisés.
  • Il n’existe pas d’alternative à la connaissance des employés sur les risques d’attaque par ransomware et à celle de la conduite à tenir dans ce type de situationLes attaques évoluant de façon perpétuelle, ces connaissances doivent être actualisées à intervalles réguliers.
  • Les hackers arrivent parfois à leurs fins, malgré un système de défense rodé et perfectionné. En connaissance du risque, les équipes IT doivent avoir une réelle visibilité et connaissance des données, leur lieu de stockage et selon quelles exigences réglementaires elles doivent être conservées. Ces aspects sont d’autant plus importants que l’environnement est de plus en plus numérique et que le télétravail favorise les échanges de données en dehors du réseau de l’entreprise.
  • Un système de restauration est indispensable, que ce soit pour palier une attaque ou encore une mauvaise manipulation des employés (suppression, falsification, etc.). Une sauvegarde des données menée par une plateforme unique permettra la prise en compte de l’ensemble des dispositifs de stockage et par conséquent une récupération des données plus efficace. (par Jean-Pierre Boushira, Vice President South Region chez Veritas Technologies)
Securite informatique

+ 605 % de cyberattaques liées au Covid-19 au 2e trimestre 2020

Un nouveau rapport sur les activités cybercriminelles liées aux logiciels malveillants et l’évolution des cybermenaces au cours du 2e trimestre 2020 affiche des chiffres qui ont de quoi inquiéter sur l’appétit grandissant des pirates informatiques.

Pendant cette période, une moyenne de 419 nouvelles menaces par minute et une augmentation de 11,5 % de nouveaux logiciels malveillants. Une importante prolifération d’attaques malveillantes utilisant des fichiers offices malveillant Donoff ont été observé, augmentant de ce fait le nombre d’attaques utilisant PowerShell de 117%. L’influence mondial du Covid-19 a incité les cybercriminels à adapter leurs campagnes pour attirer les victimes avec des thèmes liés à la pandémie et exploiter le contexte d’une main-d’œuvre travaillant à domicile.
 
« Le deuxième trimestre de 2020 a vu l’évolution continue de menaces innovantes utilisant PowerShell. Par ailleurs l’adaptation rapide des cybercriminels au contexte actuel a permis un ciblage des organisations par le biais des employés travaillant à distance, déclare Raj Samani, fellow et chief scientist chez McAfee. Ce qui ne représentait au début qu’une poignée de campagnes de phishing et d’applications malveillantes s’est rapidement transformé en un déluge d’URL piratés, d’attaques sur les utilisateurs de services cloud et d’acteurs malveillants capables de tirer parti de la soif mondiale d’informations sur le Covid-19 comme porte d’entrée dans les systèmes informatiques du monde entier ».
Chaque trimestre, la société de cybersécurité évalue l’état du paysage de la cybermenace sur la base de recherches approfondies, d’analyses d’enquêtes et de données sur les menaces. Ces renseignements sont recueillis par la plateforme cloud Global Threat Intelligence, à partir de plus d’un milliard de capteurs répartis sur plusieurs vecteurs de menace dans le monde.
Les campagnes cybercriminelles sur le thème du Covid-19
Après un 1er trimestre qui a vu le monde plonger dans la pandémie, le 2e trimestre a vu les entreprises continuer à s’adapter à un nombre sans précédent d’employés travaillant à domicile, avec les challenges de cybersécurité qui accompagnent cette nouvelle norme.
En réponse à cela, un Tableau de Bord des Menaces Covid-19 McAfee pour aider les RSSI et les équipes de sécurité à comprendre comment les acteurs malveillants utilisent des techniques de plus en plus sophistiquées pour cibler les entreprises, les gouvernements, les écoles et une main-d’œuvre qui doit faire face aux restrictions liées au Covid-19 et aux vulnérabilités potentielles de la sécurité des dispositifs à distance et de bande passante. Au cours du T2, une augmentation de 605 % des détections d’attaques liées au Covid-19 par rapport au T1.
Le malware Donoff
Les fichiers Donoff Microsoft Office agissent comme des « TrojanDownloaders » en utilisant le système de commande Windows pour lancer PowerShell et procéder au téléchargement et à l’exécution de fichiers malveillants. Donoff a joué un rôle essentiel dans l’augmentation de 689 % de codes PowerShell malveillant au premier trimestre 2020.
Au second trimestre, la croissance des logiciels malveillants liée à Donoff a ralenti mais demeure constante, entraînant une hausse de 117 % de code malveillants PowerShell et contribuant à une augmentation de 103 % de l’ensemble des nouveaux logiciels malveillants utilisant Microsoft Office. En 2019, le nombre total d’échantillons de malwares PowerShell a augmenté de 1 902 %.
Attaques sur les utilisateurs de services cloud
7,5 millions d’attaques externes sur les comptes d’utilisateurs cloud. Ce chiffre est basé sur l’agrégation et l’anonymisation des données d’utilisation du cloud de plus de 30 millions d’utilisateurs mondiaux au cours du T2 2020. Cet ensemble de données représente des entreprises de tous les grands secteurs d’activité mondiaux, notamment les services financiers, la santé, le secteur public, l’éducation, le commerce, la technologie, l’industrie, l’énergie, les services publics, le secteur juridique, l’immobilier, les transports et les services aux entreprises.
Paysage des menaces au 2e trimestre 2020
  • Les logiciels malveillants. 419 nouvelles menaces par minute au cours du T2 2020, soit une augmentation de près de 12 % par rapport au trimestre précédent. La croissance des rançongiciels est restée constante par rapport au T1 2020.
  • Les Coinminer malwares. Après avoir augmenté de 26 % au T1, les nouveaux logiciels malveillants faisaint du mining de cryptomonnaies ont augmenté de 25 % par rapport au trimestre précédent.
  • Les malwares mobiles. Après une augmentation de 71 % des nouveaux échantillons de malwares mobiles au T1, la tendance s’est ralentie de 15 % au T2, malgré une forte augmentation des logiciels publicitaires Android Mobby.
  • IoT. Les nouveaux logiciels malveillants IoT n’ont augmenté que de 7 % au cours du T2, mais le domaine a enregistré une activité importante des menaces Gafgyt et Mirai, qui ont toutes deux entraîné une croissance de 22 % des nouveaux logiciels malveillants Linux au cours de la période.
  • Vecteurs d’attaque. Dans l’ensemble, les logiciels malveillants sont en tête des vecteurs d’attaque signalés, représentant 35 % des incidents dévoilés publiquement au T2. Les détournements de comptes et les attaques ciblées ont représenté respectivement 17 % et 9 %.
  • Activité sectorielle. Les incidents divulgués détectés au cours du T2 2020 et visant le secteur scientifique et technologique ont augmenté de 91 % par rapport au trimestre précédent. Les incidents dans le secteur industriel ont augmenté de 10 %, mais les événements dans le secteur public ont diminué de 14 %.
double authentification, Entreprise

Faire face à l’augmentation des attaques par ingénierie sociale visant les télétravailleurs

Avec le reconfinement et le télétravail à nouveau imposé aux entreprises par le gouvernement au minimum jusqu’au 1er décembre prochain, la deuxième vague de la pandémie réunit une nouvelle fois les conditions propices à différents types d’attaques d’ingénierie sociale. En France et au niveau international, de nombreux rapports et avertissements d’organismes publics et d’entreprises privées réputées font état de l’augmentation des attaques liées au coronavirus, allant du phishing au vishing (hameçonnage par téléphone), en passant par le ransomware, alors que le monde entier évolue vers le télétravail et s’adapte aux risques qui y sont associés.

Les attaques deviennent de plus en plus sophistiquées, cependant les cybercriminels capitaliseront toujours sur le facteur humain. L’incertitude, la peur, la distraction, l’isolement et la confusion sont autant de facteurs qui contribuent à accroître la vulnérabilité des utilisateurs. Et tandis que l’actualité évolue rapidement, il est difficile, voire impossible, d’anticiper le prochain rebondissement de la pandémie ou événement majeur que des pirates informatiques opportunistes exploiteront.

Les experts s’attendent à ce que la distanciation sociale se poursuive et que les interactions virtuelles se multiplient bien après la fin de la crise sanitaire. Cela signifie que les entreprises doivent s’appuyer sur une authentification forte pour se prémunir contre l’augmentation des attaques par ingénierie sociale. Par ailleurs, avec un environnement de travail de plus en plus décentralisé et la baisse de confiance dans les systèmes de sécurité, il est essentiel de regagner la confiance des utilisateurs.

Dans ce contexte, bien qu’elle soit essentielle, la sensibilisation des employés à la détection des escroqueries liées au Covid-19 ne constitue pas une réponse pleinement satisfaisante. Quel que soit le degré de sensibilisation des utilisateurs au phishing ou à l’ingénierie sociale, certains cybercriminels parviendront tout de même à leurs fins. Tant que la participation des utilisateurs sera nécessaire et que l’on comptera sur eux pour identifier le phishing et les attaques de type « man-in-the-middle » (qui a pour objectif d’intercepter les communications entre deux parties, sans que ni l’une ni l’autre ne puisse se douter de la compromission du canal de communication), les vulnérabilités continueront à poser problème.

Des solutions modernes d’authentification forte capables de réduire à zéro l’impact d’attaques de type phishing existent, telles les clés de sécurité basées notamment sur l’usage de clés asymétriques, sujettes ni à la fatigue de l’utilisateur ni à son niveau de sensibilisation à la cybersécurité. C’est la raison pour laquelle les organisations ont tout intérêt à revoir leur stratégie d’authentification. Elles ne peuvent en effet plus se permettre de reposer éternellement la sécurité des réseaux via de simples mots de passe, des questions de récupération ou une authentification de base à deux facteurs pour se protéger contre de futures attaques d’ingénierie sociale. Ces méthodes ont prouvé à maintes reprises qu’elles n’étaient pas à la hauteur face aux logiciels malveillants mobiles, au SIM Swapping ou encore aux attaques de phishing. Les cybercriminels sont aujourd’hui de mieux en mieux préparés, et les entreprises doivent suivre la même voie.

De plus, l’expérience de l’utilisateur est essentielle pour garantir la sécurité d’une organisation. Dans un monde où les télétravailleurs se trouvent physiquement éloignés de leurs collègues et de l’équipe IT, et où ils essayent de concilier vie professionnelle et vie privée, l’authentification forte doit fonctionner sur une multitude d’appareils, d’applications métiers critiques et dans différents environnements. En effet, plus l’expérience de l’utilisateur est optimale, plus il est facile de déployer et de sécuriser l’entreprise — contrairement aux solutions ponctuelles complexes qui ne protègent qu’un ensemble d’utilisateurs.

Ainsi, la recrudescence des attaques liées au Covid-19 représente un danger réel et bien présent. Toutefois, il ne s’agit pas seulement de menaces temporaires ou propre à la pandémie. Il est aujourd’hui davantage question de prendre des mesures opérationnelles et matérielles afin de limiter au maximum les vulnérabilités malgré l’intensification des attaques d’ingénierie sociale. (Par Laurent Nezot, Sales Director France chez Yubico)

 

Bitcoin

Bitcoin : le réseau prendra prochainement en compte les adresses Tor

Le réseau de cryptomonnaie Bitcoin va connaître une mise à jour de sécurité majeure. Elle permettra de sécuriser davantage la blockchain, grâce à des adresses Tor.

Tout le monde connaît maintenant Tor, ce réseau de paiement décentralisé mondial, qui s’est fait connaître grâce à son navigateur anonyme. Le réseau Bitcoin est également décentralisé, et il est développé par une implémentation majeure : Bitcoin Core.

C’est cette version qui sera bientôt compatible avec les nouvelles adresses Tor. La manœuvre a été rendue possible par le « Bitcoin Improvement Proposal (BIP) 155 ». Les BIP sont des propositions qui permettent aux développeurs de mettre à jour le réseau de paiement, afin qu’il continue à être sécurisé.

En juillet dernier, les développeurs du réseau Tor avaient annoncé que la deuxième version de leurs adresses (V2) était maintenant obsolète. Elles seront mises au placard définitivement en octobre 2021. Ce sont les nouvelles adresses V3 qui les remplaceront. Développées depuis 2015, elles ont permis d’intégrer les dernières découvertes de la science en matière de chiffrement et de mathématiques.

Intégration de la fonctionnalité « gossiping »

La mise à jour permettra également d’intégrer la fonctionnalité « gossiping » de Tor. Elle permet aux nœuds cachés du réseau de chercher et trouver d’autres nœuds, afin de s’y connecter. Concernant le Bitcoin en particulier, cela permet à un nœud de trouver un service caché qui fait tourner un nœud de la cryptomonnaie, sans que cela soit visible pour les observateurs.

Bitcoin : la plus sécurisée des cryptomonnaies ?

Le réseau Bitcoin fait figure d’ancêtre en ce qui concerne les cryptomonnaies, car il date maintenant de plus d’une décennie. Pour autant, sa technologie continue d’être considérée comme la plus sécurisée, face à d’autres réseaux de paiement alternatifs.

Bitcoin fait en effet usage de la « Preuve de Travail », un protocole de vérification des transactions particulièrement gourmand en énergie, mais aussi particulièrement sécurisé. D’autres protocoles, comme la « Preuve d’Enjeu » sont également efficaces… Mais au prix d’une plus grande centralisation du réseau de paiement.

Il faut cependant noter que l’intégration des adresses V3 de Tor à Bitcoin ne rend pas le réseau plus anonyme. Comme l’explique Cryptonaute, pour acheter du Bitcoin (BTC) il faut d’abord s’inscrire sur un broker comme Capital.com ou eToro. Puis il faut dépenser de l’argent par virement ou carte bancaire, avant d’obtenir des BTC. La manœuvre est donc traçable.

Des moyens de se procurer des Bitcoins de manière plus anonyme existent, mais il faut noter que toute transaction est enregistrée dans les registres distribués de Bitcoin, qui eux sont consultables par n’importe qui. Les utilisateurs qui souhaitent effectuer des transactions entièrement anonymes doivent donc faire usage d’outils annexes, comme le portefeuille Wasabi par exemple.

Les blockchains sont par nature très sécurisées, c’est pourquoi elles prennent de plus en plus d’ampleur dans le secteur de la cybersécurité. Il faut également noter que Bitcoin est un des rares réseaux de paiements cryptographiques à ne pas avoir connu de faille de sécurité au cours de son existence. Il devrait donc continuer à dominer en matière de fiabilité.

Communiqué de presse

6 professionnels français de la cybersécurité sur 10 pensent que la cyberguerre est une menace imminente

Six professionnels français de la cybersécurité sur dix (59%) pensent que la cyberguerre est une menace pour leur organisation, et pourtant un quart (26 %) admettent ne pas avoir de stratégie en place pour atténuer ce risque.

C’est l’un des enseignements de l’étude mondiale « 10 in 10 : La cyber depuis 10 ans et dans 10 ans » réalisée par Bitdefender cette année. Cela a de quoi inquiéter, particulièrement en cette période de bouleversements mondiaux sans précédent, car la moitié des professionnels de la sécurité informatique (50 %) s’accordent à dire que l’accélération de la cyberguerre sera préjudiciable à l’économie dans les 12 prochains mois.

Les RSSI et les professionnels de l’informatique renforcent toutefois leurs défenses : 37% des français estimant avoir besoin d’une stratégie contre la cyberguerre dans les 12 à 18 prochains mois.

43% des professionnels français craignent qu’un ransomware détruise leur entreprise, à court terme

La menace du ransomware est toujours aussi présente.

  • Lors de la crise de 2020, les ransomwares ont fait un bond, 43 % des professionnels de l’informatique ont constaté une augmentation des ransomwares et 60 % des professionnels français s’attendent à une augmentation des ransomwares dans les 12 à 18 prochains mois. Plus inquiétant, ils sont 43% de français à craindre qu’un ransomware détruise leur entreprise dans les 12-18 mois à venir si leurs investissements en sécurité n’augmentent pas !

Comment expliquer cette augmentation des attaques de ransomware ? La réponse remontant du terrain est principalement, l’ampleur des gains… Presque la moitié des professionnels français de (46 %) pensent que l’entreprise pour laquelle ils travaillent paierait une rançon pour empêcher la publication de ses données/informations.

Un changement radical dans la communication est très attendu

La cyberguerre et les ransomwares sont des sujets complexes. La complexité inhérente aux sujets de la sécurité informatique rend toutefois difficile l’obtention d’investissements et de soutien internes pour les projets. C’est pourquoi les professionnels français de la sécurité informatique sont d’avis qu’un changement est nécessaire. En fait, 55 % d’entre eux estiment que pour accroître les investissements dans la cybersécurité, la manière dont ils communiquent sur la sécurité doit changer radicalement.

La question est de savoir quels changements doivent être apportés :

  • 39% des professionnels français de la cybersécurité (39 %) pensent qu’à l’avenir, il faudra communiquer davantage avec le grand public et les clients, tant à l’intérieur qu’à l’extérieur de l’organisation, afin qu’ils comprennent mieux les risques.
  • En outre, 38 % soulignent qu’il faut faciliter une meilleure communication avec les cadres dirigeants, en particulier lorsqu’il s’agit de comprendre les risques commerciaux au sens large.
  • Enfin, 40 % des professionnels français estiment que l’utilisation d’un langage moins technique aiderait l’industrie à mieux communiquer, afin que l’ensemble de l’organisation puisse comprendre les risques et la manière de rester protégé.

Neeraj Suri, Professeur reconnu et Président de la Chair in Cybersecurity de l’Université de Lancaster, Royaume-Uni, commente : « La raison pour laquelle 63% des professionnels estiment que la cyberguerre est une menace pour leur organisation est simple. La dépendance à l’égard de la technologie est à son comble et si quelqu’un devait supprimer le Wi-Fi à la maison ou au bureau, personne ne pourrait plus rien faire. Cette dépendance n’existait pas il y a quelques années, elle n’était même pas aussi élevée il y a quelques mois. Cette forte dépendance à l’égard de la technologie n’ouvre pas seulement la porte aux ransomwares ou aux menaces sur l’Internet des Objets industriels mais aussi à la cyberguerre qui peut être si catastrophique qu’elle peut ruiner les économies. Près d’un quart des professionnels de l’informatique n’ont pas actuellement de stratégie de protection contre la cyberguerre, et la raison est probablement la complaisance. Comme ils n’ont pas subi d’attaque, ou n’ont pas vu à grande échelle les dommages qui peuvent être causés, ils n’ont pas investi le temps nécessaire pour s’en protéger ». 

La diversité – en particulier la neurodiversité – est la clé du succès futur

En dehors des changements drastiques qui sont nécessaires dans la façon dont les professionnels de la cybersécurité communiquent, il est également nécessaire de trouver des solutions à la problématique du manque d’experts. L’industrie de la sécurité informatique dans son ensemble souffre depuis longtemps d’une pénurie de compétences, et cela semble rester un problème permanent et de plus en plus évident :

  • 15 % des professionnels de la sécurité informatique estiment que la plus grande évolution de la cybersécurité au cours des 12-18 mois sera l’augmentation du déficit de compétences.

Si le déficit de compétences se poursuit pendant encore cinq ans, 28 % des RSSI et des DSI pensent qu’il pourra être la cause de la destruction d’entreprises. Et une autre moitié (50 %) des professionnels de la sécurité informatique pense que le déficit de compétences sera gravement perturbateur s’il se poursuit pendant les cinq prochaines années.

Aujourd’hui, cependant, il faudra plus que le simple recrutement de travailleurs qualifiés pour apporter un changement positif et protéger les organisations. En 2015, 52 % des travailleurs de la sécurité informatique auraient convenu qu’il y avait un manque de diversité dans la cybersécurité et qu’il s’agissait d’une préoccupation importante. Cinq ans plus tard, en 2020, la situation reste exactement la même – et c’est un toujours un problème important puisque 40 % des RSSI/DSI et des professionnels de la sécurité informatique affirment que le secteur de la cybersécurité doit refléter la société qui l’entoure pour être efficace.

De plus, 76 % des RSSI et 72 % des professionnels de la sécurité informatique estiment qu’il est nécessaire de diversifier les compétences des personnes chargées de la cybersécurité. En effet, plus spécifiquement en France, 36 % des professionnels de l’informatique estiment que la neurodiversité renforcera les défenses de la cybersécurité, et 29 % ont révélé qu’une main-d’œuvre plus neurodiversifiée permettra d’égaliser le rapport de force avec les attaquants.

Liviu Arsene, Analyste en cybersécurité internationale chez Bitdefender, conclut : « 2020 a été une année de changement, non seulement pour le monde en général, mais aussi pour l’industrie de la sécurité. Le paysage de la sécurité évolue rapidement alors qu’il tente de s’adapter à la nouvelle normalité, de la main-d’œuvre distribuée aux nouvelles menaces. Parmi les nouvelles menaces, on trouve la cyberguerre. Elle préoccupe beaucoup les entreprises et l’économie, mais tout le monde n’est pas préparé à y faire face. Dans le même temps, les professionnels de l’informatique ont dû se tenir au courant des nouvelles menaces provenant d’une ancienne source, les ransomwares, qui peuvent affecter les résultats des entreprises si elles ne sont pas traitées avec soin. La seule chose que nous savons, c’est que le paysage de la sécurité va continuer à évoluer. Des changements vont se produire, mais nous pouvons maintenant nous assurer qu’ils se produiront pour le meilleur et non pour le pire. Pour réussir dans le nouveau paysage de la sécurité, la façon dont nous parlons de la sécurité en tant qu’industrie doit devenir plus accessible à un public plus large afin de gagner le soutien et l’investissement de l’intérieur de l’entreprise. En outre, nous devons commencer à réfléchir à la manière de combler le déficit de compétences d’une manière différente – nous devons nous concentrer sur la diversité, et plus particulièrement sur la neurodiversité, si nous voulons tenir bon et, en fin de compte, vaincre les acteurs malveillants ».

Hacking

YubiKey 5C NFC : la première clé de sécurité multiprotocole arrive

Le géant de la clé sécurisée Yubico lance la YubiKey 5C NFC, la première clé de sécurité multiprotocole au monde prenant en charge le protocole smart card, et dotée de connexions NFC et USB-C sur un seul appareil.

L’arrivée de la YubiKey 5C NFC coïncide avec le besoin accru d’une authentification simple mais forte à l’échelle mondiale. Les attaques de phishing liées au COVID-19 ne cessent de progresser dans le contexte du travail à distance, et des millions d’appareils d’entreprise sont désormais partagés avec les familles et sur les réseaux domestiques. Guido Appenzeller, chef de produit chez Yubico, explique que « la façon dont les individus travaillent et se connectent à Internet est très différente aujourd’hui de ce qu’elle était il y a quelques années, et surtout ces derniers mois. Les utilisateurs ne sont plus liés à un seul appareil ou service, et ils ne veulent plus l’être. C’est la raison pour laquelle la YubiKey 5C NFC est l’une de nos clés de sécurité les plus prisées. Elle est compatible avec la majorité des ordinateurs et des téléphones portables modernes et fonctionne parfaitement avec toute une série d’applications anciennes et récentes. En fin de compte, nos clients ont besoin d’une sécurité qui « fonctionne » quoi qu’il arrive ».

En effet, les clés de sécurité — comme la YubiKey — permettent de lutter contre le phishing et les attaques de type « man-in-the-middle », associée à une expérience utilisateur fluide. D’un simple geste, la YubiKey 5C NFC peut être utilisée pour s’authentifier sur l’ensemble des principales plateformes — iOS, Android, Windows, macOS et Linux — et sur tout appareil mobile, ordinateur portable ou de bureau qui prend en charge les ports USB-C ou NFC. L’authentification par YubiKey peut se révéler jusqu’à quatre fois plus rapide que la connexion avec un code d’accès unique.

RGPD

Les Français, mauvais élèves européens de la protection de leurs données

86 % des Français n’ont aucune idée du nombre d’entreprises qui utilisent, stockent ou accèdent à leurs données personnelles. 38 % des Français n’ont aucune connaissance de la législation destinée à protéger leurs données, contre 24 % des consommateurs allemands, 16 % des Britanniques et 28 % des Espagnols.

Une nouvelle étude* OpenText réalisée auprès de 2000 consommateurs français, met en lumière un manque de connaissance du public quant au traitement de ses données par les entreprises, comparé à ses voisins européens. L’enquête révèle que moins d’un Français sur cinq (17 %) serait prêt à payer plus cher ses achats auprès d’une entreprise qui s’engage à protéger la confidentialité de ses données personnelles. Une proportion bien inférieure à celle de leurs homologues allemands (41 %), britanniques (49 %) ou espagnols (36 %).

Un tiers (33 %) des Français interrogés ne font pas confiance aux entreprises pour préserver la sécurité ou la confidentialité de leurs données personnelles, mais une fois encore, cette proportion est nettement inférieure à celle de leurs voisins : 47 % des Allemands, 45 % des Britanniques, 39 % des Espagnols. De surcroit, près de la moitié (42 %) des Français ne se sont jamais posé la question, contre 34 % des Allemands et des Britanniques, et 33 % des Espagnols.

Maîtriser la protection de la confidentialité des données

La majorité (86 %) des consommateurs français n’ont « aucune idée » du nombre d’entreprises qui utilisent, stockent ou accèdent à leurs données personnelles, telles que leur adresse e-mail, leur numéro de téléphone ou leurs coordonnées bancaires. Un chiffre qui se démarque toujours de celui de leurs voisins : 73 % des Allemands, 80 % des Britanniques, 79 % des Espagnols, qui semblent plus alertes sur le sujet.

Cette proportion coïncide avec le fait que plus d’un tiers (38 %) des Français affirment n’avoir aucune connaissance de la législation destinée à protéger ces données, contre 24 % des consommateurs allemands, 16 % des Britanniques et 28 % des Espagnols. En outre, 32 % des Français ont une bonne connaissance de ces lois, et 30 % en ont une vague idée.

De fait, seuls 23 % des consommateurs français déclarent qu’ils seraient prêts à entrer, de leur propre initiative, en contact avec une entreprise afin de vérifier l’utilisation faite de leurs données personnelles ou la conformité de leur conservation. Leurs voisins Allemands (25 %), Britanniques (32 %) et Espagnols (38 %) sont plus proactifs en la matière. Moins d’un Français sur dix (9 %) a déjà effectué cette démarche au moins une fois, contre 12 % des Allemands, 13 % des Britanniques et 17 % des Espagnols.

« La crise de la Covid-19 a accéléré le rythme de la transformation numérique, les entreprises étant passées au télétravail et au commerce en ligne », commente Benoit Perriquet, VP Worldwide Global Accounts chez OpenText. « Le numérique est désormais au centre de pratiquement toute interaction commerciale, produisant une plus grande quantité de données que les entreprises doivent gérer et protéger. Bien qu’il existe un plus grand degré de complaisance parmi les Français quant à la nécessité de protéger leurs données personnelles par rapport aux consommateurs d’autres pays, la tendance mondiale liée aux attentes accrues des consommateurs en matière de confidentialité de leurs données est claire. Elle met aujourd’hui les entreprises sous pression pour veiller à ce que leurs solutions destinées à préserver cette confidentialité s’adaptent correctement à cette ère qui privilégie le numérique. »

Qui est responsable de protéger la confidentialité des données ?

Une majorité (60 %) des consommateurs français (contre 73 % des Britanniques) estiment savoir comment protéger la confidentialité et la sécurité de leurs propres données dans les applications, les comptes e-mail et sur les réseaux sociaux, qu’il s’agisse de configurer les paramètres relatifs à la vie privée ou de désactiver la géolocalisation. Cependant un sur dix (11 %) pense que la préservation de la confidentialité et la sécurité de leurs données relève de la responsabilité de l’application ou de l’entreprise en question.

Paradoxalement, les Français sont parmi les plus pessimistes quant à l’avenir de la protection de leurs données. En effet, à peine plus d’un Français sur dix (11 %) juge que nous sommes arrivés au stade où chaque entreprise satisfait à ses obligations légales d’assurer la confidentialité des données de ses clients, soit moins qu’en Espagne (17 %) et en Allemagne (13 %). Du reste, près d’un cinquième (19 %) des Français interrogés considèrent que cela ne sera vrai que dans un avenir lointain, voire jamais, contre 26 % des Allemands, 24 % des Britanniques et 18 % des Espagnols.

« Au-delà des amendes encourues, toute entreprise qui ne respecte pas la législation sur la confidentialité des données s’expose au risque de perdre la confiance de ses clients », souligne Benoit Perriquet, VP Worldwide Global Accounts chez OpenText. « Les dirigeants doivent mettre à profit une technologie qui, non seulement offre une visibilité sur leurs pratiques de collecte et de protection des données, mais leur permet aussi de répondre rapidement aux demandes des clients sur la manière dont leurs données personnelles sont traitées, collectées et utilisées. En investissant dans des solutions complètes de gestion de la confidentialité, qui automatisent et intègrent les règles de protection de la vie privée dans une entreprise avec les principes en vigueur dans ce domaine, les entreprises peuvent satisfaire à leurs obligations réglementaires, réduire le risque d’atteinte à leur réputation et conserver la confiance de leurs clients. »

*Méthodologie
Étude réalisée via Google Surveys en avril-mai 2020. À la demande d’OpenText, 12 000 consommateurs ont été interrogés anonymement en Allemagne, en Australie, au Canada, en Espagne, en France, au Royaume-Uni et à Singapour. Le panel français comprenait 2000 participants afin de donner un aperçu du point de vue des consommateurs sur la protection de la confidentialité des données pendant la crise du coronavirus.

Cybersécurité

L’importance de garder un oeil sur les menaces internes

Beaucoup d’entreprises modernes sont tellement préoccupées par la nécessité de protéger leurs réseaux sensibles contre les adversaires malveillants qu’elles en oublient un autre danger, potentiellement encore plus grand, celui des menaces internes.

Chaque année, le rapport Verizon Data Breach Investigations (DBIR) offre un examen approfondi des dernières tendances en matière d’incidents de cybersécurité. Le rapport de 2019 a révélé que les incidents de type menaces internes ont de nouveau augmenté au cours des quatre dernières années et sont désormais responsables de 34 % de l’ensemble des violations de données. Il suffit de découvrir l’histoire rocambolesque entre un pirate Russe et sa tentative de détourner un employé de Tesla pour se dire que le danger interne a encore de beaux jours devant lui.

Les menaces internes englobent autant des employés distraits que des tiers mécontents, les organisations doivent donc être extrêmement vigilantes face à tout signe d’irrégularité. Cependant, la plus grande menace vient peut-être d’un sous-groupe plus précis : celui des employés quittant l’entreprise. Il existe plusieurs moyens de répondre aux questions de sécurité les plus courantes concernant les départs d’employés, notamment, les risques qu’ils posent, leurs motivations et surtout, ce que peuvent faire les organisations pour limiter cette menace.

Attention aux employés sur le départ

Les employés qui partent ont toujours posé de gros problèmes aux organisations de toutes tailles, mais pourquoi ? Car ils ont les droits d’accès et connaissent de l’emplacement des données sensibles, et dans de nombreux cas, ils ont également un motif pour agir. Bien sûr, tous les motifs ne sont pas de nature malveillante. Dans certains cas, il peut simplement s’agir d’un désir de prendre des copies de leur travail avec eux pour la postérité, mais dans d’autres cas, il peut s’agir de donner ou de vendre des informations à un concurrent ou alors de les divulguer aux médias. Quel que soit le motif, toute forme de perte de données aux mains d’un employé quittant l’entreprise peut être extrêmement préjudiciable, autant sur le plan financier que sur celui de la réputation.

Malheureusement, en raison des variables inconnues impliquées, les organisations sont fortement désavantagées face à ce type de menace. C’est pourquoi il est important de surveiller les activités et les comportements révélateurs qui pourraient trahir une potentielle menace d’initié avant qu’il ne soit trop tard.

Surveiller les mouvements des fichiers et données

Les meilleures approches combinent les bonnes technologies et un processus robuste. Avant tout, il est impératif d’avoir une visibilité sur les terminaux ainsi que sur les données qui quittent l’entreprise ou sont transférées en son sein. Au minimum, les entreprises doivent être en mesure de suivre tous les types de mouvements de fichiers et de sortie de données afin de fournir une piste d’audit des activités de chaque employé avant son départ. De cette façon, le comportement d’un employé entre le moment où il remet son préavis et son départ peut être surveillé de près et même présenté lors de son entretien de sortie pour explication ou clarification si nécessaire.

Identifier les signaux révélateurs d’une menace interne

Plusieurs signes à rechercher peuvent révéler qu’un employé sur le départ représente une menace interne. L’un des plus courants concerne les pics de volume des mouvements de données. Par exemple la sortie massive de données vers des appareils de type USB ou des sites de stockage cloud comme Dropbox ou Google Drive. Si une entreprise dispose d’une solution de prévention de la perte de données (DLP), il est possible de classifier les fichiers en fonction de leur niveau de sensibilité, ce qui lui permet alors d’évaluer facilement la confidentialité des données prises. Par exemple, si des fichiers confidentiels sont joints à des e-mails et envoyés vers un domaine personnel comme Gmail ou Hotmail en infraction avec la stratégie de l’entreprise, la DLP le signalera. Un analyste de sécurité peut alors enquêter sur l’incident pour établir l’intention de la personne qui envoie le fichier et la sensibilité de son contenu.

Plus récemment, les fournisseurs de sécurité ont commencé à tirer parti de l’apprentissage automatique de leurs solutions afin de soulager les analystes, qui, par le passé, devaient enquêter manuellement sur chaque alerte créée. L’apprentissage automatique a également un autre avantage : la possibilité de créer un comportement de référence pour un individu ou un ordinateur au fil du temps. Une fois ce comportement créé, tout élément déviant de l’activité « normale » de cet employé ou de cet ordinateur sera automatiquement signalé pour déclencher une analyse approfondie. Cela permettra aux équipes de sécurité d’éliminer plus rapidement les comportements suspects.

Évidemment, il est également important de se rappeler que la taille ne fait pas tout et que la sortie de grandes quantités de données n’est pas toujours alarmante. Souvent, cela peut simplement s’expliquer par les sauvegardes des données de l’entreprise. D’un autre côté, de nombreux secrets commerciaux sensibles peuvent être volés via un seul fichier. C’est pourquoi il est si important de déterminer exactement qui ou quoi accède à ce type d’informations afin de garantir le bon niveau de protection autour de ces données.

Heureusement, les tactiques utilisées par les employés qui quittent leur entreprise ont peu changé au cours des 15 dernières années. Bien qu’il puisse arriver qu’un employé malhonnête possède le savoir-faire technique pour cacher les données volées dans un fichier image et utiliser la stéganographie pour les exfiltrer, de tels cas sont extrêmement rares. En l’état, avec les protections et mécanismes adéquats en place pour surveiller les comportements révélateurs et tester les employés si nécessaire, les entreprises de toutes les formes et tailles peuvent faire de grands progrès vers la réduction, voire l’élimination de la menace posée par ce type de personnes. (Tim Bandos, vice-président Digital Guardian)

Securite informatique

Bitdefender présente son rapport semestriel sur l’évolution des menaces

Parmi les nouveautés, les détections de ransomwares multipliées par sept au premier semestre 2020. En mai et juin, en moyenne 60% de tous les e-mails reçus étaient frauduleux. Les menaces sur le thème du coronavirus deviennent la nouvelle norme.

Le rapport révèle que la pandémie mondiale de coronavirus a provoqué un changement important dans le paysage des menaces, à la fois sur la façon dont les cybercriminels opèrent, mais aussi dans la manière dont ils perfectionnent leurs attaques. Au premier semestre 2020, ils ont exploité les problèmes liés à la crise Covid-19 pour semer la peur et la désinformation. Résultat : une augmentation des escroqueries, du phishing et des logiciels malveillants sur toutes les plates-formes.

En mai et juin, 60% en moyenne de tous les e-mails reçus étaient frauduleux, selon l’étude.

Qu’il s’agisse d’une escroquerie de phishing exploitant le coronavirus, d’une collecte de fonds ou d’une offre exceptionnelle à ne pas rater, les escrocs ont utilisé toutes les cartes du commerce pour tromper les victimes en leur soutirant des informations sensibles ou en installant des logiciels malveillants.

Les vecteurs d’attaque couramment utilisés pour compromettre et prendre le contrôle des réseaux domestiques ont profité de la panique provoquée par la pandémie. Les chercheurs de Bitdefender ont par exemple découvert une attaque de détournement de DNS sur une marque populaire de routeurs domestiques, utilisée par des attaquants pour rediriger les victimes vers des sites Web malveillants, des applications prometteuses proposant des informations sur l’épidémie.

Les développeurs de logiciels malveillants Android ont aussi surfé sur la vague de la pandémie en se ruant notamment sur l’application de visioconférence Zoom, utilisée pour travailler à domicile. Certains développeurs Android légitimes ont même modifié le contenu des pages Web des applications Google Play pour obtenir un meilleur classement, principalement pour les applications des catégories Santé et Forme ou Médical.

Les attaques contre les appareils IoT (Internet des objets) domestiques ont également augmenté. La télémétrie a observé une hausse de 46% d’incidents suspects signalés entre janvier et juin. Les menaces Windows courantes, les ransomwares, les logiciels malveillants sans fichier (fileless malware), les mineurs de cryptomonnaie, les Troyen bancaires et exploits, sont toujours en plein essor.

Alors que le nombre de rapports thématiques a depuis diminué, à commencer par une baisse de 10 % en mai par rapport au mois d’avril, il est peu probable que la tendance s’inverse au deuxième semestre. Les cybercriminels vont probablement, à nouveau, saisir l’occasion de créer des campagnes de fraude avec des produits de santé fictifs et même d’envoyer des spams thématiques promettant de nouveaux traitements ou remèdes.

Cybersécurité, IOT

La maison intelligente est-elle vulnérable face aux cyberattaques ?

À l’heure de la rentrée, c’est le moment où on équipe les enfants et étudiants avec un (premier) mobile, un nouveau PC portable, une tablette; des appareils qu’il faut bien sûr sécuriser à un moment où les cyberattaques se multiplient. En cette rentrée, la maison, avec ses nouveaux mobiliers, aménagements et/ou équipements a besoin elle aussi d’être protégée, notamment la maison intelligente avec ses objets connectés associés tels que la télévision connectée, la gestion du chauffage et de l’éclairage notamment.

La maison intelligente/connectée dispose d’un réseau informatique permettant aux utilisateurs de l’utiliser pour des fonctions telles que l’ouverture de la porte du garage, un gestionnaire d’appareils électroménagers, un régisseur d’éclairage, un DJ à domicile ou encore un superviseur du système de sécurité. Pourtant, les experts en cybersécurité ne cessent de mettre en garde sur le fait que ce réseau domestique extrêmement pratique fourni par ces appareils intelligents peut être exposé à des cybercriminels malveillants qui cherchent à accéder aux informations les plus privées. En effet, le piratage de ces appareils intelligents ouvre une porte d’accès directe vers les informations personnelles les plus importantes des utilisateurs.

Cette menace étant bien réelle, voici quelques conseils aux utilisateurs afin de faire obstacle aux pirates avant qu’ils ne passent à l’action et à assurer la sécurité de leurs appareils domestiques intelligents.

Parallèlement à la popularité généralisée des appareils domestiques intelligents, une nouvelle tendance mise en place par les cybercriminels se développe. Elle consiste principalement à utiliser la technologie IoT pour espionner les entreprises. Ils peuvent également attaquer et diffuser des logiciels malveillants sur les réseaux domestiques. C’est pour cette raison que les utilisateurs doivent prendre conscience de cette réalité lorsqu’ils installent un système de maison connectée.

Bitdefender indique dans son dernier rapport que 55,73% des menaces réseau IoT impliquent des attaques par balayage de ports.

Les risques de la maison connectée

Contrairement à une violation de domicile classique, où les voisins vigilants peuvent s’en apercevoir et appeler la police, un hacker a l’avantage d’opérer en secret. En ayant accès aux informations privées, les acteurs malveillants sont en mesure de voler des informations sensibles ou – dans le pire des cas – de procéder à une usurpation d’identité qui peut avoir des répercussions financières. Lors du choix de produits et de gadgets intelligents qui permettent de se divertir, de s’instruire, de communiquer, les utilisateurs doivent également se renseigner sur les vulnérabilités exploitables par les hackers pour s’introduire dans leur intimité.

En raison de leur accès potentiel, les appareils intelligents qui fonctionnent en permanence tels que le thermostat, l’éclairage, la sécurité peuvent présenter plus de risques que ceux utilisés occasionnellement. Les cyberattaques sur les PC de bureau ou le routeur à domicile sont probablement les plus vulnérables, mais le salon et la chambre contiennent aussi un certain nombre de gadgets intelligents qu’un hacker expérimenté peut tenter d’exploiter. En effet, la télévision connectée, la tablette, les téléphones portables, les réveils, les montres, les moniteurs de sommeil et les logiciels de streaming peuvent également faire de la chambre à coucher un lieu relativement accessible aux pirates.

Le salon et la cuisine offrent également des interfaces qu’il est facile de négliger en matière de cybersécurité : téléviseurs connectés, tablettes, réfrigérateurs, machines à café, fours, etc…Par ailleurs, lors de l’évaluation des menaces potentielles, les utilisateurs doivent être d’autant plus vigilants concernant les jouets connectés des enfants, leurs tablettes ou les babyphones. Il faut garder à l’esprit que tout dispositif intelligent ou connecté peut constituer une ouverture pour les cybercriminels.

Le risque potentiel devrait raisonnablement attirer l’attention des utilisateurs une fois qu’ils auront compris que tous les appareils connectés ont une connexion directe à leurs smartphones, et même à l’internet. Grâce à cette prise de conscience, les utilisateurs devraient être à même de mieux comprendre l’ampleur exacte des efforts déployés par les hackers qui tentent de pénétrer dans le réseau interconnecté qui relie leurs appareils intelligents.

En tant qu’utilisateurs avertis, nombreux sont ceux à savoir que chaque appareil est doté d’un mot de passe par défaut. Néanmoins, ce qu’il est important de rappeler c’est que ce dernier doit être changé. Les utilisateurs doivent prendre le temps de modifier les mots de passe par défaut et veiller à créer des mots de passe longs et uniques, qui sont les plus à même de faire échouer toute tentative de déchiffrement.

Quelques conseils afin d’utiliser les appareils intelligents en toute sécurité

La création d’un deuxième réseau Wi-Fi dédié aux appareils intelligents peut nécessiter un coût supplémentaire pour les utilisateurs, ils en retireront des avantages considérables. « En effet, cela peut contribuer à empêcher toute intrusion sur un réseau distinct qui n’a pas accès aux informations personnelles et bancaires des utilisateurs, confirme Lam Son Nguyen, Partner Product Manager, Mobile and ISP chez McAfee. Et ces simples mesures peuvent également faire une différence significative dans la protection des systèmes domestiques intelligents« .

  • Effectuer des recherches approfondies sur la marque de l’appareil, et choisir celui qui a démontré son efficacité en matière de sécurité.
  • Actualiser le logiciel du produit. Il faut toujours configurer l’appareil pour qu’il se mette à jour automatiquement, si possible, afin d’être sûr d’utiliser la version la plus récente et la plus sûre du logiciel.
  • Renforcer les choix de mots de passe. La plupart des appareils sont équipés d’un mot de passe par défaut. Il faut prendre le temps de créer un mot de passe complexe et unique pour chaque appareil.
  • Choisir les paramètres de confidentialité qui conviennent le mieux aux utilisateurs, plutôt que de garder les autorisations générales fournies avec les appareils.
  • Débrancher tous les appareils intelligents lorsqu’ils ne sont pas utilisés.
  • Installer un logiciel antivirus intégré dans le cloud pour le routeur qui protège tous les appareils électroniques de la maison.
  • Rester protégé. Lors de la création du profil de sécurité de leur maison, les utilisateurs doivent comprendre qu’ils possèdent une propriété nécessitant de l’intérêt, des connaissances et, en fin de compte, de la sécurité. C’est pour cette raison qu’il faut garder une longueur d’avance en restant informé, afin de profiter des bienfaits de la maison intelligente !
Securite informatique

Livre blanc dédié au SOC

Avec la recrudescence des attaques informatiques et face au volume des données à traiter pour une entreprise, la cybersécurité est un enjeu essentiel pour toutes les entreprises peu importe leurs tailles.

Les outils traditionnels de sécurité ne sont plus suffisants pour se protéger contre une cyberattaque. La mise en place d’un SOC est essentiel.

La société Toulousaine iTrust, spécialiste de la cyber sécurité et de la protection via un SOC propose de se pencher sur cet outil devenu indispensable dans l’arsenal en charge de lutte contre les malveillances informatiques, qu’elles soient internes ou externes à l’entreprise. Quel type de SOC mettre en place au sein de son entité ? Quels sont les critères d’efficacité d’un SOC ? Quelles sont les composants essentiels d’un SOC ? A découvrir dans le livre blanc dédié au soc.

APT, backdoor, Cybersécurité

Tibet, OMS et diplomates dans le viseur du groupe de cybercriminels chinois APT TA413

Initialement connu pour ses campagnes contre la diaspora tibétaine, le groupe APT (Advanced Persistent Threat) associé aux intérêts de l’État Chinois, a montré une évolution de ses priorités ces derniers mois. Leur objectif ? Cibler des entités spécifiques pour des motifs économiques, des États pour des motifs politiques ou des organisations mondiales à but non lucratif. Contrairement à leur intention habituelle de cibler la communauté tibétaine, ces campagnes ont cherché à recueillir des renseignements sur les économies occidentales.

Depuis plusieurs mois déjà, la propagation mondiale du virus COVID-19 a entrainé un changement majeur dans le paysage de la menace. Les cybercriminels en profitent pour utiliser des leurres d’ingénierie sociale sur le thème de la pandémie et des recherches publiques ont révélé que plusieurs groupes APT ont adopté des leurres liés au COVID-19 au cours des derniers mois pour mener des campagnes d’espionnage.

En mars 2020, Proofpoint a observé une campagne de phishing imitant les directives de l’Organisation Mondiale de la Santé (OMS) sur la préparation au COVID-19 pour propager une nouvelle famille de malware surnommée « Sepulcher ». Cette campagne visait principalement des entités diplomatiques et législatives européennes, des organismes à but non lucratif et des organisations mondiales économiques.

Selon les chercheurs, on observe depuis juillet 2020 le retour d’un groupe APT avec des campagnes précédemment attribuées à l’acteur Chinois APT TA413. Une campagne de phishing datant de juillet 2020 ciblant les dissidents tibétains a notamment été identifiée, livrant la même souche de malware Sepulcher. En outre, les comptes de messagerie des opérateurs identifiés dans cette campagne ont été publiquement liés à des campagnes historiquement menées par le groupe Chinois APT TA413 ciblant la communauté tibétaine et diffusant le malware ExileRAT.

En se basant sur l’utilisation d’adresses d’expéditeurs connues du public, associées au ciblage des dissidents tibétains et à la livraison de la charge utile du malware Sepulcher, les chercheurs de Proofpoint ont attribué les deux campagnes à l’acteur APT TA413.

Il est clairement devenu indispensable de s’armer face à ces ennemis numériques. Les logiciels de sécurité, la formation, … ne peuvent être oubliés. Un antivirus pas cher ? L’important est d’en posséder un… à jour ! Qu’il se nomme Eset, Kaspersky, Gdata ou Bitdefender.

backdoor, Cybersécurité

La surveillance numérique par les services de renseignement : les États doivent prendre des mesures pour mieux protéger les individus

Dans une déclaration conjointe publiée ce jour, la Présidente du Comité de la « Convention 108 » du Conseil de l’Europe sur la protection des données, Alessandra Pierucci, et le Commissaire à la protection des données du Conseil de l’Europe, Jean-Philippe Walter, ont appelé les États à renforcer la protection des données à caractère personnel dans le contexte de la surveillance numérique effectuée par les services de renseignement, en adhérant à la convention du Conseil de l’Europe sur la protection des données, la « Convention 108+ », et en promouvant un nouvel instrument juridique international prévoyant des garanties effectives et démocratiques dans ce domaine.

« Les pays doivent s’accorder au niveau international sur la portée autorisée de la surveillance exercée par les services de renseignement, sur les conditions dans lesquelles elle s’exerce et selon quelles garanties, incluant le contrôle effectif et indépendant », ont-ils souligné. L’élaboration d’une nouvelle norme juridique pourrait se fonder sur les nombreux critères déjà développés par les tribunaux, dont la Cour européenne des droits de l’homme et la Cour suprême des États-Unis.

Citant l’arrêt de la Cour européenne de justice du 16 juillet 2020 sur « Schrems II », qui conclut que l’accord sur le « Bouclier de protection des données UE – États-Unis » ne fournit pas un niveau suffisant de protection des données à caractère personnel transférées de l’UE vers les États-Unis, en raison de garanties insuffisantes relatives aux droits de l’homme dans le contexte de l’accès aux données par les programmes de surveillance du gouvernement américain, la déclaration met en lumière que cette décision a des conséquences qui vont au-delà des transferts de données UE – États-Unis et offre l’occasion de renforcer le cadre universel de protection des données.

La déclaration rappelle le rôle que le traité modernisé de protection des données du Conseil de l’Europe, qui n’est pas encore entré en vigueur, pourra jouer en tant qu’accord solide juridiquement contraignant pour la protection de la vie privée et des données à caractère personnel au niveau mondial, notamment en ce qui concerne le flux transfrontière des données à caractère personnel.

Certes, la convention fournit déjà un cadre juridique international important pour la protection des données à caractère personnel, qui porte plus spécifiquement sur la nécessité d’un examen effectif et indépendant et d’une surveillance des restrictions à la protection des données à caractère personnel justifiées par des impératifs de sécurité nationale ou de défense ; toutefois, elle n’aborde pas explicitement et de manière exhaustive certains des défis posés au niveau international par les capacités de la surveillance de masse, ce qui nécessite la rédaction d’une nouvelle norme juridique internationale spécifique.

La Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, connue également sous le nom de « Convention 108 », est le seul instrument international juridiquement contraignant dédié à la protection des données et de la vie privée qui soit ouvert à la signature de tous les pays du monde. Adopté en 1981, ce traité a été mis à jour en 2018 par un protocole, pas encore entré en vigueur, qui garantit que ses principes de protection des données sont toujours adaptés aux outils et pratiques actuels et renforce son mécanisme de suivi. À ce jour, 55 pays ont ratifié la « Convention 108 » et de nombreux autres pays du monde s’en sont inspirés comme modèle de leur nouvelle législation relative à la protection des données.

Cybersécurité, Justice

WhatsApp : des fraudeurs arrêtés aux Pays-Bas

Des escrocs passant par WhatsApp arrêtés aux Pays-Bas. Ils usurpaient l’identités de vedettes et membres de famille pour réclamer de l’argent.

Une vedette dans le besoin vous contacte sur votre téléphone portable. Elle vous demande de l’aide, elle a besoin d’argent. Votre fils, votre fille, vos parents … Voilà l’histoire qui a impacté des centaines d’utilisateurs de l’application de communication WhatsApp. L’outil proposé par Facebook déborde d’arnaques en tout genre, certaines ayant permis le piratage de smartphones.
Mais rare sont les escrocs cachés derrière ces piratages retrouvés et  arrêtés. Cinq d’entre eux ont été stoppés par les autorités judiciaires des Pays-Bas fin août. Les voleurs se faisaient passer pour des vedettes dans le besoin, mais aussi pour des membres de la famille de la cible contactée sur WhatsApp.
Le pot aux roses a été découvert après la plainte d’un éditeur de logiciel et d’une utilisatrice. Les pirates s’étaient fait passer pour le fils de la dame. Les pirates lui avaient réclamé de l’argent. L’arnaque, baptisée  « fraude de type enfant-dans-le-besoin« , est très courante. Les voyous cachés derrière ce piège, originaires de Rotterdam, sont âgés de 18 à 21 ans. Ils passaient par un hôtel pour lancer leurs communications malveillantes.
Les autorités ont réussi à les tracer et les arrêter.
backdoor, Cybersécurité

Des failles de sécurité dans des décodeurs Thomson et Philips

Une équipe de chercheurs découvre d’importantes failles de sécurité dans deux des décodeurs numériques (STB) les plus courants du marché. Ces vulnérabilités peuvent permettre à des cybercriminels de stocker des logiciels malveillants dans ces boîtiers de décodage pour lancer des attaques, par botnet ou ransomware, en utilisant un service de prévisions météo. Les boîtiers concernés sont fabriqués par les deux grands noms de l’électronique grand public, THOMSON et Philips. Les boîtiers « THOMSON THT741FTA » et « Philips DTR3502BFTA » sont disponibles dans toute l’Europe et utilisés par de nombreux particuliers dont le téléviseur ne prend pas en charge le standard DVB-T2 ; soit le système de diffusion de signal numérique le plus récent pour la télévision terrestre (TNT) permettant d’accéder à un large éventail de services de télévision haute définition (HD).

Menée par Vladislav Iluishin, responsable d’équipe de l’IoT Lab, et Marko Zbirka, chercheur spécialisé dans les menaces concernant l’Internet des objets, cette enquête entamée en janvier 2020 s’inscrit dans le cadre d’une initiative entreprise par Avast pour explorer et tester le niveau de sécurité des appareils connectés à l’Internet des objets.

Dès le début de leurs travaux, Vladislav Iluishin et Marko Zbirka de chez Avast ont découvert qu’au moment de leur livraison, le port TelNet de ces deux décodeurs connectés à Internet est ouvert. Pour mémoire, ce protocole non chiffré qui date de plus de 50 ans est utilisé pour communiquer avec des appareils ou des serveurs distants. En raison de cette exposition, un cyberattaquant peut accéder à distance aux décodeurs et les ajouter à des réseaux de botnets, dans l’optique de lancer des attaques par déni de service distribué (DDoS) ou tout autre initiative malveillante. Les deux experts ont réussi à exécuter sur les deux appareils le code du botnet Mirai, un malware largement répandu.

Les chercheurs ont également mis en évidence une lacune liée à l’architecture des décodeurs : ces deux produits s’appuient sur le noyau Linux 3.10.23, un programme à privilèges installé sur les boîtiers depuis 2016 et qui sert de passerelle entre les éléments matériel et logiciel en allouant à ce dernier les ressources nécessaires à son bon fonctionnement. Or, la version 3.10.23 n’est plus prise en charge depuis novembre 2017, de sorte que les correctifs (bugs et vulnérabilités) ont été publiés pendant seulement un an, exposant les utilisateurs à des attaques potentielles depuis environ 3 ans.

Parmi les autres problèmes de sécurité qui affectent ces décodeurs, citons une connexion non chiffrée avec une application préinstallée du service de prévisions météorologiques AccuWeather. Cette découverte a eu lieu en analysant le trafic échangé entre les décodeurs et le routeur. La connexion non sécurisée entre les boîtiers et le service d’AccuWeather pourrait permettre à un acteur malveillant de modifier le contenu visualisé sur le téléviseur lorsque l’utilisateur consulte son application météo. Par exemple, un intrus pourrait afficher une demande de rançon en affirmant à l’utilisateur que son téléviseur a été piraté avant d’exiger un paiement pour le « libérer ».

« Les fabricants ne sont pas seulement responsables de veiller à la sûreté des produits qu’ils vendent : ils doivent également en assurer la sécurité et, par conséquent, celle de leurs utilisateurs, analyse Vladislav Iliouchine. Malheureusement, il est rare que les fabricants d’appareils connectés évaluent la manière dont la surface d’attaque de leurs produits peut être réduite. Dans la plupart des cas, ils se contentent du strict minimum, sans tenir compte des enjeux liés à l’IoT et à la sécurité des clients, afin de réduire leurs coûts et de commercialiser leurs produits plus rapidement»

Les propriétaires de décodeurs DVB-T2 Philips ou Thomson sont invités à suivre les conseils suivants :

  1. Si les fonctions Internet ne sont pas utilisées, il est recommandé de ne pas connecter le décodeur au réseau domestique ;
  2. Renseignez-vous : achetez toujours des produits proposés par des marques établies, crédibles et réputées pour la prise en charge à long terme de leurs appareils et le respect de la sécurité ;
  3. Les utilisateurs plus avancés peuvent se connecter à l’interface de leur routeur afin de vérifier dans les paramètres si la fonction « Universal Plug and Play » (UPnP) est activée. Si c’est le cas, nous recommandons de la désactiver. Nous suggérons également de vérifier la configuration du routage de port (port forwarding) et de désactiver cette fonction, sauf si elle est absolument indispensable.

Dans le cadre de cette enquête, l’éditeur d’antivirus a contacté Philips et THOMSON pour leur faire part de ces découvertes et des suggestions permettant d’améliorer la sécurité de leurs produits. Vous trouverez plus de détails, notamment des illustrations, des chronologies et une liste de vulnérabilités et expositions de cybersécurité (CVE — Cybersecurity Vulnerabilities and Exposuresici.

Téléphonie

Pour quelques dollars des sociétés donnent accés aux données d’internautes aux services secrets US

La société Babel Street est spécialisée dans le marketing digital. Ses outils permettent de suivre les internautes afin de leur proposer des promotions ciblées. L’entreprise a vendu des  informations collectées aux services secrets américains.

Pendant que l’Oncle Sam hurle à qui veut l’entendre que la Chine, la Russie, … sont des adeptes de la surveillance numérique globalisée (ce qui n’est pas faux), la Maison Blanche n’est pas si clean qu’elle tente de le faire croire. Le journal Vice vient d’expliquer comment les services secrets des États-Unis (USSS) ont signé un accord avec la société Babel Street afin d’exploiter les données de géolocalisation proposée par son outil « Locate X« .

Babel Street est un spécialiste du marketing digital. Locate X permet de suivre les déplacements d’un téléphone, et cela de manière anonyme. Un contrat de 2 millions de dollars.

Locate X utilise les informations générées par des applications installées dans les mobiles. Le hic! est que les services secrets américains n’avaient aucune autorisation d’exploiter les données en question. Un contrat d’un an, entre septembre 2017 et septembre 2018.

D’autres agences américaines ont acquis le même type de « technologie » comme celle de la société Venntel explique le Wall Street journal.

De quoi regarder la moindre application proposant une géolocalisation d’un autre œil.

Hacking

Une mise à jour Adobe Lightroom efface les photos

Voilà qui est fâcheux pour les utilisateurs de l’application Adobe Lightroom pour iPhone et iPad. La dernière mise à jour effacé les photos des utilisateurs.

Abracadabra… plus de photos ! La dernière mise à jour pour Adobe Lightroom à destination des iPhone et Ipad a effacé les photos des utilisateurs. Un étonnant bug qu’Adobe a rapidement corrigé, mais le mal était fait pour de nombreux utilisateurs. « Certains clients qui ont mis à jour vers Lightroom 5.4.0 sur iPhone et iPad peuvent perdre des photos et / ou des préréglages. Cela a affecté les clients utilisant Lightroom mobile sans abonnement au cloud Adobe. Cela a également affecté les clients du cloud Lightroom avec des photos et des préréglages qui n’avaient pas encore été synchronisés avec le cloud Adobe.« 

Les utilisateurs de l’outil dédié aux photos sous Android, MacOS et Windows n’ont pas connu cette faille. « L’installation de la version 5.4.1 ne restaurera pas les photos ou préréglages manquants pour les clients affectés par le problème introduit dans la version 5.4.0. » souligne Adobe en s’excusant du problème. « Nous savons que certains clients ont des photos et des préréglages qui ne sont pas récupérables. Nous savons à quel point cela sera frustrant et bouleversant pour les personnes touchées et nous nous excusons sincèrement.« 

Hacking

Mode d’emploi pour combattre les pirates de la Corée du Nord

Un mode d’emploi de l’armée américaine explique l’armée de la Corée du Nord et sa section hacking étatique.

La campagne médiatique militaire US à l’encontre de la Corée du Nord vient de voir apparaître, en ce mois d’août, un nouveau document du DoD, le Département de la Défense US, concernant les pirates informatiques de la Corée du Nord. On y apprend que l’armée américaine affirme que de nombreux pirates nord-coréens sont basés en dehors de la dictature locale, dans des pays comme la Biélorussie, la Chine, l’Inde, la Malaisie et la Russie. Une cyber armée forte de 6 000 e-soldats. De nombreux pirates affichés comme membre de l’armée de PyongYang ont été arrêtés en Thaïlande, Philippine ou encore en Chine.

Déjà, en 2011, des petites mains du Gold Farming (création de personnage dans des jeux vidéo pour les revendre) étaient arrêtées en Chine. Quinze pirates informatiques nord coréens. Ils pirataient la planète afin de récupérer des « dollars » pour Kim Jong-Li. Parmi leurs actions, de la revente d´or créés dans World of Warcraft.

Tactiques nord-Coréennes

Ce document de 332 pages est un manuel militaire baptisé « Tactiques nord-Coréennes ». Il a été rendu public en juillet 2020. Il revient surtout sur l’armée populaire coréenne et les tactiques conventionnelles. Un chapitre relate la section numérique de cette force armée. « La plupart des opérations de guerre électronique et dans le cyberespace ont lieu au sein de l’Unité d’orientation de la guerre cybernétique, plus connue sous le nom de Bureau 121″, explique l’armée américaine. Le Bureau 121 a connu une croissance exponentielle ces dernières années ». Toujours selon ce document, le Bureau 121 est passé « d’au moins 1 000 hackers d’élite en 2010 à plus de 6 000 membres aujourd’hui ». Des chiffres assez fantaisiste. Ce qui reste très étonnant pour un document militaire.

Par exemple, en 2013, un rapport du ministère sud-coréen de la Défense parlait déjà de 3 000 soldats pirates en 2013. En 2014, le DoD vendait déjà les black hat de Pyongyang comme « la 3e armée armée de hackers du monde » derrière la Russie et les États-Unis.

En 2014 déjà, l’Agence de Presse Reuters annonçait une armée de 6 000 soldats dédiés à la guerre électronique, au hacking … La source était des transfuges de Corée du Nord. Ils indiquaient alors que le Bureau 121 était composé « de certains des experts en informatique les plus talentueux de l’État, faisait partie du Bureau général de reconnaissance, une agence d’espionnage d’élite dirigée par l’armée« . Un ancien Nord Coréen ayant étudié dans une université informatique militaire partait d’une cyber armée forte de 1 800 hommes. Au même moment, d’autres transfuges annonçaient 1 200 hackers.

Le « North Korean Tactics » 2020 de l’Oncle Sam reprend des données diffusées dans un autre document baptisé lui aussi « north Korean Tactics » publié en 2001.

121 Office

Bref, les vrais chiffres sur cette armée de pirates restent et resteront flou. Une armée de pirates qui aurait été créée en 1998 à la demande de Kim Jong-il (une idée de son fils alors en Suisse ?). Un parfait fantasme pour la communication de la Corée du Nord, comme pour les Etats-Unis. Le New York Times indiquait en 2017 qu’il était estimé que 1700 soldats opéraient de la Corée du Nord, secondés par 5 000 autres, via l’étranger.

Pour rappel, après l’attaque de Sony en novembre 2014 imputée à la Corée du Nord, Barack Obama avait indiqué qu’une riposte à ce piratage était possible « dans un lieu, à l’heure et de la manière que nous choisirons ». Quelques jours plus tard, l’Internet de la Corée du Nord subissait une coupure via un DDoS (inonder un réseau de trafic jusqu’à ce qu’il s’effondre sous la charge) qui se sera jamais revendiqué. Les pirates de Sony avait indiqué ne pas être affilié au pays dont on leur affublé l’origine. En 2014, les pirates Nord Coréens avaient été accusés d’avoir infiltré l’informatique de la chaîné de TV Channel Four. Cette dernière devait diffuser une émission sur un chercheur britannique kidnappé à Pyongyang.

Fin juillet, échappant aux sanctions internationales visant à interrompre son programme d’armement nucléaire, la Corée du Nord a exploité des vulnérabilités présentes dans certaines parties du secteur bancaire de la République démocratique du Congo (RDC) afin d’accéder au système financier mondial, révèle un rapport d’enquête.

Depuis au moins 6 ans, le bureau 121 aurait en gestion au moins 6 000 soldats pirates. Autant dire qu’en 6 ans, ce chiffre a pu être multiplié par 2 … ou zéro. La bande passante locale est estimée à 2,5 gigabits. Il suffit de visiter un site comme celui de l’association des cuisiniers Nord Coréens (sic!) cooks.org.kp pour apprécier le débit ! Si à cela vous rajoutez les coupures de courant et un intranet (Kwangmyong) trés limité, les pirates Nord Coréens ont effectivement intérêt à agir de l’étranger !

The Andarial Group, Bluenoroff and Co

Le 121 Office n’est qu’une sub-division d’une organisation plus vaste comprenant « The Andarial Group ». Plus ou moins 1 600 soldats. La mission est de recueillir des informations en menant des reconnaissances sur les systèmes informatiques ennemis et la création d’une première évaluation de vulnérabilités. Ce groupe cartographie le réseau ennemi en vue d’une éventuelle attaque.

Ensuite, Le groupe Bluenoroff. 1 700 hommes et femmes dont la mission est de mener des actions de cybercriminalité financière en en se concentrant sur l’évaluation à long terme et l’exploitation des vulnérabilités des réseaux ennemis. Ce groupe exploite les systèmes à des fins de gain financier pour le régime ou pour prendre le contrôle du système.

Vient ensuite le Régiment de brouillage de guerre électronique. Situé à Pyongyang

Pour finir, le groupe Lazarus. Nombre inconnu de membres dont la mission est de créer un chaos social via des attaques informatiques. Ce groupe serait derrière l’attaque WannaCry en 2016 et 2017.

Deux fournisseurs d’Internet en Corée du Nord (Star Joint Ventures l’unique FAI du pays) : la Chine, via China Unicom et la Russe (depuis 2017) via TransTelekom. Même sauce pour la 3G avec l’unique opérateur Koryo link. La Corée du Nord dispose d’un peu plus de 1 024 IP officielles (175.45.176.0 à 175.45.179.255) pour 25 millions d’habitants et 115 sites web hébergés dans le pays. La compagnie aérienne Air Koryo était hébergée par exemple à Singapour avant de revenir dans un hébergement 100% locale.

Bref, des pirates informatiques étatiques qui ont pour mission de palier l’obsolescence des armes, radars et autres matériels de l’armée Nord Coréenne. L’armée de terre utilise encore des équipements avec plusieurs générations de retard sur ses ennemis potentiels.

Cybersécurité

Les compagnies aériennes face à l’usurpation d’identité par courriel

La pandémie de COVID-19 a entraîné l’arrêt brutal des voyages internationaux et, bien qu’un certain nombre de pays tentent d’assouplir leurs mesures, les restrictions restent encore majoritaires. Si le secteur du tourisme a toujours été une cible privilégiée pour les cybercriminels, la pandémie a offert de nouvelles raisons de cibler les voyageurs du monde entier : informations sur leurs réservations, recherche de nouveaux vols et conditions d’annulation. Les cybercriminels ont pu tirer parti de cette incertitude mondiale pour mettre en œuvre de nouvelles menaces.

L’email étant le principal vecteur utilisé par les cybercriminels pour propager une cyberattaque, vérifier le niveau de sécurité de ce canal est un bon indicateur du niveau de protection et du risque encouru pour une marque. Et le moyen le plus efficace pour contrôler ce niveau de sécurité consiste à observer la mise en œuvre du protocole DMARC (Domain-based Message Authentication, Reporting & Conformance) au sein des organisations à étudier.

Standard DMARC

Ce standard DMARC est l’équivalent d’un contrôle de passeport dans le monde de la sécurité des emails. Il vérifie que vous êtes bien celui que vous prétendez être en authentifiant correctement les expéditeurs par rapport aux normes DKIM (Domain Keys Identified Mail) et SPF (Sender Policy Framework) établies. Cette authentification protège les employés, les clients et leurs partenaires, contre les cybercriminels qui cherchent à usurper l’identité d’une marque de confiance.

Des employés de chez Proofpoint ont mené une analyse DMARC sur les 296 compagnies aériennes membres de l’Association internationale du transport aérien (IATA) – représentant 82 % du trafic aérien total, révèle aujourd’hui qu’une majorité de ces compagnies est fortement exposée au risque de cyberattaque :

61 % des compagnies aériennes n’ont pas de registre DMARC publié, les rendant plus vulnérables aux cybercriminels qui usurpent leur identité et augmentant le risque de fraude par email visant les consommateurs.

93 % des compagnies aériennes n’ont pas mis en œuvre l’intégralité de la protection DMARC, ce qui signifie que seuls 7 % des compagnies aériennes protègent de manière proactive leurs clients des emails frauduleux usurpant leur nom de domaine. L’email reste le vecteur principal de menace employé par les cybercriminels. Pourtant, l’ensemble des compagnies aériennes ne mettent pas suffisamment de moyens pour se protéger, s’exposant aux attaques de phishing ou campagnes d’usurpation d’identité.

A l’échelle mondiale

La Chine et l’Asie du Nord ont le plus faible niveau d’adoption du DMARC : 85 % des compagnies aériennes de ces régions n’ayant aucun nom de domaine enregistré, donc aucune visibilité sur l’utilisation non autorisée de leurs domaines. Viennent ensuite l’Asie Pacifique (70 %), l’Europe et le Moyen-Orient et l’Afrique (57 % dans les deux régions) et les Amériques (43 %).
En ce qui concerne la protection proactive de leurs clients contre la fraude par email, la Chine et l’Asie du Nord sont les plus mal loties, 100 % des transporteurs n’ayant pas mis en place la politique DMARC la plus stricte. Viennent ensuite l’Europe, le Moyen-Orient et l’Afrique (93 % dans les deux régions), et l’APAC et les Amériques (89 % dans les deux régions).

En Europe

Seules 43 compagnies sur 101 ont une politique DMARC publiée (43%), ce qui signifie que 57% n’ont aucune protection DMARC en place.
Seules 7 compagnies sur 101 (7 %) ont la mise en œuvre complète recommandée de DMARC pour protéger leurs clients contre les emails frauduleux usurpant leur nom de domaine. Cela signifie qu’un pourcentage alarmant de 93% n’a pas la sécurité requise en place pour empêcher les attaques frauduleuses d’atteindre les utilisateurs.

Il est primordial pour les compagnies aériennes et tous les autres secteurs de continuer leurs efforts pour sécuriser leur infrastructure et de mettre en place des défenses solides afin d’empêcher l’arrivée de nouvelles menaces.

backdoor, Cybersécurité

Chasse aux backdoors dans des appareils Cisco contrefaits

Une enquête met en lumière l’impact des composants contrefaits dans une infrastructure informatique. Et si derrière la copie se cachait une backdoor.

Des spécialistes de la sécurité matérielle viennent de publier un rapport détaillant une enquête concernant des commutateurs réseau contrefaits. L’enquête a conclu que les contrefaçons étaient conçues pour contourner les processus qui authentifient les composants du système.

L’équipe de sécurité matérielle de F-Secure Consulting a enquêté sur deux versions contrefaites différentes de commutateurs Cisco Catalyst série 2960-X. Les contrefaçons ont été découvertes par une société informatique après une mise à jour logicielle ratée. Une panne courante du matériel contrefait/modifié aux nouveaux logiciels.

D’abord, les enquêteurs ont découvert que si les contrefaçons ne possédaient pas de fonctionnalités de type « backdoor » (porte cachée), elles employaient néanmoins diverses mesures pour tromper les contrôles de sécurité. Par exemple, l’une des unités a exploité ce que l’équipe de recherche pense être une vulnérabilité logicielle non découverte auparavant pour miner les processus de démarrage sécurisés qui assurent une protection contre la falsification des microprogrammes.

« Nous avons découvert que les contrefaçons étaient construites pour contourner les mesures d’authentification, mais nous n’avons pas trouvé de preuves suggérant que les unités présentaient d’autres risques« , a déclaré Dmitry Janushkevich, consultant senior de l’équipe « Sécurité matérielle » de F-Secure Consulting, et auteur principal du rapport. « Les motifs des faussaires se limitaient probablement à gagner de l’argent en vendant les composants.« . Bref, il est indispensable de vérifier minutieusement tout matériel rentrant dans l’entreprise.

Derrière la contrefaçon

Ensuite, les contrefaçons étaient physiquement et opérationnellement similaires à un authentique commutateur Cisco. L’une des études techniques de l’unité suggère :

  • Les contrefacteurs investissent massivement dans la reproduction du design original de Cisco ;
  • Ils ont eu accès à une documentation technique propriétaire pour les aider à créer une copie convaincante.

« Les services de sécurité ne peuvent pas se permettre d’ignorer le matériel altéré/modifié. Ils doivent enquêter sur toutes les contrefaçons présentes dans la société« . Sans démolir le matériel et l’examiner de fond en comble, les organisations ne peuvent pas savoir si un dispositif modifié a eu un impact plus important sur la sécurité.

Enfin, l’impact peut être suffisamment important pour saper complètement les mesures de sécurité et de protection mises en place dans l’organisation.

Pour conclure, voici quelques conseils pour aider les organisations à se prémunir contre l’utilisation de composants contrefaits :

Procurez-vous tous vos composants auprès de revendeurs autorisés
Disposer de processus et de politiques internes clairs qui régissent les procédures de passation de marchés ;
S’assurer que tous les composants fonctionnent avec les derniers logiciels disponibles fournis par les fournisseurs ;
Notez les différences physiques entre les différentes unités d’un même produit, même si elles sont subtiles.

Communiqué de presse

Prospecter sur Linkedin via un bot

Comment générer de nouveaux contacts via le site de réseautage Linkedin. Développer son business en toute sécurité.

Je ne sais pas si vous êtes sur Linkedin, mais si c’est le cas, avez-vous remarqué cette hausse de demandes de mise en relation provenant de personnes « louches » à l’avatar très synthétique et aux premières demandes, en privée tout aussi inhumaine. Vous avez très certainement croisé un bot malveillant, aux intentions toutes aussi désagréables (collectes d’informations, diffusions de codes malveillants, …). Autant dire qu’il peut rapidement devenir compliqué de trouver les bons contacts pour son travail, son business, son relationnel professionnel.

Une société Française, Propsectin, propose une solution qui vous permettra de générer de vrais et nouveaux contacts qualifiés. Avec plus de 500 millions d’utilisateurs, automatiser cette tache via un outil efficace, facilitera cette prise de contact. D’autant plus que l’outil de cette entreprise Française permet de ne plus envoyer à la main, une par une, les demandes de contact. Ce qui ne vous empêchera pas de personnaliser votre message. Rien de plus énervant que de recevoir un message qui sent bon le robot. Intéressant, l’entreprise propose une extension pour le navigateur Chrome qui vous permettra d’automatiser tout en respectant les limites quotidiennes fixées par LinkedIn.

Compatible est une excellente alternative à des outils tels que Dux-Soup, Octopus CRM, LinkedHelper, PhantomBuster, Meet Alfred, Meet Linda, … Plusieurs tarifs sont proposés. Il existe une proposition gratuite. Elle est parfaite pour une recherche d’emploi. Elle permet de visiter et suivre des profils ; diffusion de messages personnalisés ; demandes d’invitations automatisées. Ensuite, trois tarifs, 9, 19 et 100€ par mois. Bien évidement avec des options plus poussées comme le nombre de messages illimités, la sécurité pour éviter d’envoyer deux invitations à la même personne ou encore la possibilité de créer des scénarios personnalisés.

Une vidéo de démonstration, ci-dessous, vous permet de vous donner une bonne idée de cet outil et de ses très nombreuses possibilités.

Pour visiter Propsectin ici.

Infiltration via Linkedin

Choisir ses de bons contacts est loin d’être chose aisée. D’autant plus que les malveillants usent de stratagème dès plus vicieux pour infiltrer les vies numériques de professionnels ciblés. Par exemple, en juin 2020, nous apprenions que des pirates s’étaient fait passer pour des recruteurs des sociétés aéronautiques Collins Aerospace and General Dynamics. Ils vont réussir, via cette usurpation, à piéger les utilisateurs et l’algorithme mis en place par le réseau social professionnel.

Une méthode qui aurait permis une infiltration dans des réseaux militaires basés en Europe. Par ce biais, et ces multiples rebonds, ils ont pu compromettre la vigilance, officiellement, de deux entreprises spécialisées en Europe. Admettons quand même que l’éducation et la formation à ce type de problématique du personnel semble avoir fait largement défaut… ou alors ces derniers n’ont rien écouter car « Cela n’arrive qu’aux autre ! ». Ils ont cliqué sur un lien proposé dans les messages et… paff ! De l’usurpation sur Linkedin qui ne date pas d’hier. Il devient indispensable d’en comprendre son fonctionnement pour s’en protéger. La Chine (après la Corée du Nord) a été montré plusieurs fois de la souris. Le « pays » aurait utilisée de faux comptes pour recruter des espions. Selon la défense US, des agents de service de renseignements américains auraient ainsi été recrutés de la sorte.

En exemple, Kevin P. Mallory, ancien agent de la CIA. Il a été condamné à 20 ans de prison pour avoir fourni des informations sensibles à un internaute pas comme les autres. Un espion chinois, passé par Linkedin. Il s’était fait passer pour un membre d’un groupe de réflexion économique Think-Tank.

Au premier trimestre 2019, Linkedin a orchestré un grand ménage. Plus de 21 millions de faux comptes avaient été bloqués. 3,4 millions de comptes ont été restreints car ils respectaient pas les règles du site de réseautage professionnel. A la même date, 85 600 profils avaient été détectés comme faux ou ne respectant pas les règles de Linkedin. En juin 2019, l’avatar Katie Jones, un faux compte avec une photographie de profil créée via une intelligence artificielle avaient réussi des mises en relation avec des politiciens de Washington.

Cybersécurité, double authentification

Un centre de contact pour palier les escrocs du web

Un centres de contact pour palier les escrocs du web

Parmi les nombreuses méthodes d’infiltrations pirates, le téléphone. Des pirates, tel que le groupe Sekhmet n’hésitent pas à téléphoner aux entreprises sous cyber attaque pour les faire chanter. Et pourquoi ne pas faire appel à un centre d’appel pour filtrer les premiers contacts.

Fraude au faux virement (FoVI), collecte d’informations, chantage … les fraudes par le biais d’un appel téléphonique sont aussi nombreuses que les lames dans un couteau Suisse. Des groupes de pirates informatiques, comme les opérateurs du ransomware (rançongiciel) Sekhmet le disent eux même : « We can’t say for sure but we think that we are the first group that tries to contact the companies by phone as soon as possible after the incident » – (Nous ne pouvons pas le dire avec certitude, mais nous pensons être le premier groupe à essayer de contacter les entreprises par téléphone le plus rapidement possible après l’incident.)

Bref, former son personnel aux questions de cyber sécurité est indispensable. Une notion qui doit inclure la gestion des appels téléphoniques. Faire appel à un centre de contact peut-être une solution. Nous nous sommes penchés sur Odigo, un des leaders mondiaux des centres de contact as a service (CCAAS) et de l’expérience client. Un de leur article de blog revient sur le télétravail, la cyber sécurité et les informations à fournir lors d’un appel téléphonique.

Hervé Leroux, le directeur marketing & communication d’Odigo explique qu’en matière de sécurité, il est indéniable qu’à l’ère du RGPD, l’usage du cloud soulève de nombreux enjeux autour de sujets tels que le stockage, la rétention, la portabilité, l’accessibilité en continue, mais aussi bien sûr la protection des données. « Nous offrons une sécurité améliorée, renforcées. Peu importe le lieu d’actions des agents.« 

Deux certifications indispensables, ISO-27001 & ISO-9001. L’opérateur du centre doit impérativement respecter les normes spécifiques de l’industrie : traitement des cartes bleues (norme PCI DSS), les données de santé (HDS).

Des équipes d’un centre d’appel qui n’ont pas accès aux « secrets » de l’entreprise : téléphone de la direction, adresses mails de la DRH, code wifi, systèmes utilisés en interne … pour ne citer que ces quatre exemples pouvant être recherchés par les pirates sans parler d’une protection active des appelants.

Chiffrement, Cybersécurité

La menace cyber la plus présente pour les MSP

Les rançongiciels, la menace cyber la plus présente pour les PME. Les décideurs MSP qui gèrent les systèmes informatiques des petites et moyennes entreprises face à un danger très présent.

Un ransomware (ou rançongiciel en français) est un logiciel informatique malveillant qui prend en otage les données et/ou fichiers. Ce logiciel chiffre et bloque les fichiers que contiennent un ordinateur et demande une rançon en échange d’une clé qui permet de les déchiffrer.

Les PME, une cible de choix pour les pirates informatiques

En général, les grandes entreprises ont des systèmes de sécurité plus avancés, alors que les petites entreprises n’ont pas les moyens et les ressources pour sérieusement sécuriser leur parc informatique. Et les hackers l’ont bien compris.

Le nombre d’attaques de rançongiciels contre les PME est en augmentation. Quatre-vingt-cinq pour cent des MSP ont signalé des attaques contre des PME en 2019, contre 79 pour cent des MSP qui ont signalé la même chose en 2018.

De plus, il existe une réelle déconnexion sur l’importance des ransomwares en tant que menace. 89% des MSP indiquent que les PME devraient être très préoccupées par la menace des ransomwares. Cependant, seulement 28% des MSP déclarent que les PME sont très préoccupées par la menace.

Les MSP également dans le viseur

Les MSP sont également une cible privilégiée des attaques de ransomwares. Quatre MSP sur cinq déclarent être de plus en plus ciblés par des attaquants.

Cependant, seulement la moitié des MSP ont une expertise externe disponible pour les aider en cas d’attaque à grande échelle contre eux ou leurs clients.

«Les MSP doivent donner le ton à leurs clients PME lorsqu’il s’agit de se préparer et de répondre aux attaques de ransomwares», a déclaré Ryan Weeks, directeur de la sécurité de l’information chez Datto.

Comment s’en protéger ?

Il existe de nombreuses recommandations pour diminuer le risque d’attaque telles que former les employés aux risques de cybersécurité, mettre à jour les systèmes, renforcer les politiques de mots de passe etc. Cependant, et surtout en sécurité informatique, le risque zéro n’existe pas.

Il existe trois scenarios de défense pour ce type d’attaque :

  • Atténuation des risques: Il s’agit de mettre en place des solutions pour diminuer le risque d’attaque. L’authentification multifacteur est l’un des contrôles les plus efficaces pour se protéger contre les accès non autorisés.
  • Préparation d’un processus de récupération: Ici, il s’agit de se préparer en cas d’attaque et de réagir après l’attaque. Il ne faut surtout pas payer la rançon car vous n’êtes pas sûrs de récupérer vos données. Votre plus belle arme est d’effectuer une sauvegarde régulière de vos données afin de s’assurer de récupérer l’intégralité de vos données.
  • Détection et approche proactive: Cette approche consiste à détecter et arrêter l’attaque avant que tout dommage ne soit causé. Si vous avez en place un système pour détecter les attaques de ransomware, vous pouvez y mettre un stop avant le chiffrement de vos données.

En savoir plus…

Pour en savoir plus sur ce sujet, n’hésitez pas à vous inscrire gratuitement à la conférence en ligne organisée par BeMSP puis à participer à la session animée par FileAudit le 7 juillet à 14h30 : « Sécuriser simplement les PME contre les activités malveillantes en mode MSP ».

Intervenants :

backdoor, Chiffrement, Cybersécurité

Tycoon, le ransomware qui infiltre les petites et moyennes entreprises dans les domaines de l’éducation et du logiciel

Le rançongiciel Tycoon tente d’infiltrer de petites et moyennes entreprises dans les domaines de l’éducation et du logiciel.

La société Blackberry Research & Intelligence vient de publier une étude concernant le ransomware Tycoon. La découverte d’une « nouvelle » souche montre que les attaquants deviennent de plus en plus créatifs et ont des programmes R&D qui ne se cachent plus.

Jusqu’à présent, les acteurs de cette menace ont utilisé ce rançongiciel pour infiltrer de petites et moyennes entreprises dans les domaines de l’éducation et du logiciel. Ce code malveillant utilise un format d’image inhabituel afin de passer inaperçu (Java IMAGE). Il verrouille les accès des administrateurs systèmes en attaquant leur contrôleur de domaine et leurs serveurs de fichiers. La typologie des victimes et le texte de rançon suggèrent un lien avec le ransomware Dharma/CrySIS.

Les pirates désactivent les solutions anti-malware à l’aide de l’utilitaire ProcessHacker. Ensuite, ils modifient les mots de passe des serveurs Active Directory. Cela laisse la victime incapable d’accéder aux systèmes infiltrés.

Le rançongiciel Tycoon se présente sous la forme d’une archive ZIP contenant une version JRE (Trojanized Java Runtime Environment). Le malware est compilé dans un fichier image Java (JIMAGE) situé dans lib\modules.

Il semble exister plusieurs versions de ce code malveillant. Il rajoute comme extension aux documents pris en otage : .grinch ou encore .thanos.

Les victimes, des cibles classiques. Plus fragile à une cyber attaque et plus à même de payer face à la perte de toutes leurs données. A lire, à ce sujet, une technique employée par les pirates opérateurs du ransomware Sodinokibi, découverte par la société en cyber sécurité de Montréal The 8 Brains, à destination des particuliers, PME et étudiants.

Cybersécurité

Des applications VPN frauduleuses pour iOS tentent d’escroquer les utilisateurs

Mise en garde contre les applications « fleeceware » sur l’App Store d’Apple et partage quelques conseils pour éviter de se faire escroquer par ces applications

Fleeceware – Découverte de trois applications qui surfacturent les utilisateurs, ne fournissent pas les services dont elles font la promotion et semblent être des « fleecewares ». Les applications sont disponibles sur l’App Store d’Apple sous la dénomination Beetle VPN, Buckler VPN et Hat VPN Pro. Selon les données de Sensor Tower, une société spécialisée dans les renseignements et l’analyse marketing des applications mobiles, les applications ont été téléchargées plus de 420 000, 271 000 et 96 000 fois, respectivement, entre avril 2019 et mai 2020.

Les applications se font passer pour des applications VPN, facturant 9,99 dollars US (un peu moins de 9 euros) par semaine pour un abonnement une fois que leur essai gratuit de trois jours a expiré. Les applications affichent toutes des notes hautes, allant de 4,6 à 4,8, accompagnées de commentaires positifs. Des avis écrits de la même manière. Des messages comme potentiellement factices. Parmi les critiques élogieuses, se trouvent quelques commentaires qui mettent en garde contre ces escroqueries. Les politiques de confidentialité des applications sont également très similaires en termes de langage et de structure.

 Les chercheurs d’Avast ont installé les trois applications et sont parvenus à acheter des abonnements pour chacune d’entre elles. Cependant, lorsqu’ils ont essayé d’utiliser les VPN, les applications ne proposaient à nouveau que des options payantes. Après le nouvel achat, les chercheurs apprennent qu’ils ont déjà un abonnement. Mais pas de connexion VPN avec aucune des applications.

Zone crise des escrocs

Les applications fleeceware se situent dans une zone grise, car elles ne sont pas malveillantes en soi, elles font simplement payer aux utilisateurs des sommes faramineuses pour des abonnements hebdomadaires, mensuels ou annuels donnant accès à des fonctionnalités qui devraient être proposées à des coûts beaucoup moins élevés.

‘ »es applications ne présentent pas un caractère malveillant ; elles contournent les processus de filtrage pour intégrer les « app stores » officiels auxquels les utilisateurs font confiance. De nombreuses personnes se tournent vers les applications VPN pour protéger leurs données lorsqu’elles travaillent à distance, ce qui montre à quel point il est important pour les utilisateurs de faire des recherches sur ce type d’applications avant de les installer, notamment pour savoir qui est à l’origine du produit, leurs antécédents avec d’autres services et les avis des utilisateurs, ainsi que leur expérience en matière d’applications de sécurité et de confidentialité  » indique Nikolaos Chrysaidos, Directeur sécurité et intelligence mobile chez Avast.

Comment les utilisateurs peuvent-ils reconnaître les applications « fleeceware » ?

Les applications « fleeceware » peuvent prendre n’importe quelle forme. Les commentaires qui s’y rapportent semblent souvent factices. Des utilisateurs emploient des formulations telles que « Sensationnel » ou « J’adore ». Les commentaires authentiques indiquent le plus souvent que l’application ne fonctionne pas. Qu’elle fait payer aux utilisateurs des sommes importantes à leur insu.

Les applications « fleeceware » offrent généralement un essai gratuit de trois à sept jours, mais elles peuvent exiger des utilisateurs qu’ils saisissent leurs informations de paiement avant le début de l’essai, et elles facturent ensuite automatiquement des sommes exorbitantes au terme de la période d’essai.

 Les utilisateurs doivent bien prendre connaissance des modalités applicables à l’issue de la période d’essai d’une application et du montant des frais qui seront facturés après une période gratuite, afin de vérifier si ces frais seront automatiquement déduits de leur carte bancaire de façon permanente, sauf s’ils annulent l’abonnement.

Cybersécurité, double authentification

Les connexions VPN ont besoin de 2FA

Comment l’authentification à deux facteurs sécurise votre réseau VPN

L’authentification à deux facteurs (2FA) empêche les pirates d’accéder à votre réseau à l’aide d’identifiants compromis. La 2FA oblige les utilisateurs à valider leur identité en présentant un deuxième facteur de sécurité en plus de leur mot de passe. Au moment de la connexion à un réseau d’entreprise, les utilisateurs doivent d’abord saisir leurs informations d’identification Active Directory, suivies d’un mot de passe à usage unique (OTP) basé sur le temps ou HMAC. Cet OTP (un code numérique) est affiché sur quelque chose qu’un utilisateur «possède», comme par exemple une application pour smartphone spécialisée appelée authentificateur ou un jeton matériel programmable type Token2 ou YubiKey.

L’une des idées clés derrière la 2FA est qu’il est extrêmement difficile d’usurper l’identité d’un utilisateur sans avoir accès à ce deuxième facteur. Cela signifie que même si des pirates informatiques parviennent à voler tous les noms d’utilisateur et mots de passe de vos employés, ils ne pourront toujours pas accéder à votre VPN car ils ne disposent pas du code 2FA.

Il s’agit d’une couche de sécurité supplémentaire contre les accès non autorisés à vos systèmes.

Comment UserLock rend la 2FA plus facile et sécurisée pour vos sessions VPN

L’une des principales critiques à l’encontre de la 2FA est le fait que ce soit complexe et qu’elle oblige l’utilisateur à prendre des mesures supplémentaires – ce que les utilisateurs n’apprécient pas.

UserLock présente une solution 2FA qui est à la fois sécurisée et facile à utiliser. La dernière version bêta du logiciel vient d’être publiée, et elle permet désormais d’appliquer la 2FA aux connexions VPN.

UserLock s’associe de manière transparente à Active Directory pour faciliter l’implémentation de l’authentification multifacteur dans toute une organisation.

UserLock prend en charge la MFA via des applications d’authentification qui incluent Google Authenticator, Microsoft Authenticator et LastPass Authenticator, ou des jetons matériels programmables tels que YubiKey et Token2.

Bien qu’il n’y ait pas de sécurité absolue, il est juste de dire qu’avec UserLock, vous obtenez un équilibre parfait entre sécurité et convivialité.