Tous les articles par Damien Bancal

Cybersécurité, IOT

Plus de 200 000 certificats RSA actifs vulnérables

Des spécialistes auraient identifié une vulnérabilité dans près de 250 000 certificats RSA actifs vulnérables aux cyber-attaques.

La recherche révèle des taux importants d’objets connectés faillibles. De l’IoT qui pourrait inclure des voitures, des implants médicaux et d’autres appareils critiques, qui, s’ils étaient compromis, pourraient entraîner de graves dommages. La société parle même de cas pouvant devenir mortels.

JD Kilgallin, ingénieur principal en intégration, présentera les résultats à la Conférence internationale de l’IEEE sur la confiance, la confidentialité et la sécurité dans les systèmes intelligents et les applications (12-14 décembre à Los Angeles).

Une annonce de la société Keyfactora, avec les résultats, seront ensuite publiés sera mise en ligne le lundi 16 décembre.

Communiqué de presse

Wanted ! bêta testeurs recherchés

La société IS Decisions vient de sortir la version bêta de FileAudit 6.1. Elle recherche des personnes intéressées pour devenir bêta testeurs.

Le but de ce programme est de valider les dernières fonctionnalités de FileAudit et les améliorations apportées par de vrais utilisateurs, capables de fournir les commentaires les plus pertinents et de les aider à publier la version finale la plus fiable et la plus efficace possible.

Si vous êtes intéressé pour devenir bêta testeur pour FileAudit, voici la procédure de test bêta. Pour plus d’informations, n’hésitez pas à visiter leur site internet ou à les contacter.

backdoor, Bitcoin, Cybersécurité

Stantinko, un botnet déployant un module de cryptomining

Des chercheurs découvrent que des cybercriminels exploitent le botnet Stantinko, composé de près de 500 000 ordinateurs. Les pirates le déploie maintenant avec un module de minage Monero sur les appareils qu’ils contrôlent.

Actifs depuis 2012 au minimum, les responsables du botnet Stantinko contrôlent près d’un demi-million d’ordinateurs.

Ils ciblent principalement la Russie, l’Ukraine, la Biélorussie et le Kazakhstan.

Récemment, ils ont déployé un nouveau modèle économique. Aprés les NAS et autre caméra de surveillance. Voici le minage de cryptomonnaie.

« Après des années d’activités basées sur la fraude au clic, l’injection de publicités, la fraude sur les réseaux sociaux et le vol d’identifiants, Stantinko mine maintenant Monero. », explique Vladislav Hrčka, l’analyste malware responsable de cette enquête chez ESET.

Depuis août 2018 au moins, les cybercriminels déploient un module de cryptomining sur les ordinateurs qu’ils contrôlent.

Identifié par les produits de sécurité d’ESET sous la dénomination Win{32,64}/CoinMiner.Stantinko, ce module de cryptomining est une version considérablement modifiée du cryptominer open source xmr-stak. Il se démarque surtout par sa technique d’obscurcissement visant à résister aux analyses et à éviter la détection.

En plus de sa méthode d’obscurcissement à la source reposant partiellement sur le hasard, ce module est compilé individuellement. Chaque nouvelle victime, et chaque échantillon sont uniques.

Stantinko utilise plusieurs techniques intéressantes

Pour masquer ses communications, le module n’interagit pas directement avec son pool de minage. Il passe par des proxies dont les adresses IP figurent dans des descriptifs de vidéos YouTube.

Le malware bancaire Casbaneiro utilise une approche similaire pour dissimuler des données dans l’espace de description des vidéos YouTube.

« Nous avons informé YouTube de ces activités abusives et la plateforme a supprimé toutes les chaînes liées à ces vidéos », déclare M. Hrčka.

Stantinko peut également suspendre sa fonction de cryptomining lorsque l’ordinateur fonctionne sur batterie. Lorsqu’il détecte un gestionnaire de tâches. Il peut également détecter les éventuelles autres applications de cryptomining en cours d’exécution. Il est aussi capable d’analyser les processus en cours d’exécution pour identifier les logiciels de sécurité.

CoinMiner.Stantinko est loin d’être le plus dangereux des malwares, mais personne n’a envie que son ordinateur enrichisse les cybercriminels en arrière-plan. Et à tout moment, Stantinko pourrait déployer un nouveau malware potentiellement dangereux sur les postes infectés, ce qui est assez préoccupant.

pour conclure, il est conseillé aux utilisateurs de respecter les principes de sécurité de base et d’utiliser des logiciels fiables pour se protéger contre ce type de menace. Sa télésurveillance numérique !

Argent, backdoor

Découverte du cheval de Troie bancaire Android, Ginp.

Le cheval de Troie Ginp est apparu dans le paysage des menaces en juin 2019 en tant qu’outil d’espionnage. Il vise avant tout les données bancaires. Découverte de cette malveillance.

Le logiciel pirate Ginp, encore peu connu, vise banques et données bancaires transitant par votre smartphone et tablette. Un outil malveillant sous Android.

En tant que logiciel malveillant bancaire, Ginp incite ses victimes à fournir des informations personnelles et sensibles, telles que des informations d’identification de connexion en ligne, des codes de sécurité bancaires et même des détails de carte de crédit grâce à des attaques par superposition.

Ginp est un trojan construit à partir de rien et recevant de nouvelles fonctionnalités via un autre cheval de Troie, Anubis.

Une méthode qui a tendance à indiquer des acteurs sélectifs et ciblés.

La liste des cibles indique un intérêt évident pour les banques espagnoles. Du moins, pour le moment.

Un total de 24 cibles uniques pour 7 banques différentes. Bien que les objectifs se concentrent sur les institutions espagnoles, la structure utilisée par le ou les auteurs semble indiquer un élargissement possible des objectifs à d’autres pays. Il serait même étonnant que ces pirates n’agissent pas de la sorte.

Ginp est peut-être un test, voir un leurre.

C’est déjà le deuxième nouveau cheval de Troie bancaire découvert cette année. Des logiciels espion qui commencent par une focalisation claire sur des banques européennes.

Étonnante envie et intérêts à commettre une fraude en Europe.

L’attaque par superposition fonctionne toujours en deux étapes: voler les identifiants bancaires et les détails de carte de crédit, maximisant ainsi les chances de recueillir des informations personnelles précieuses auprès des victimes.

The Reat Fabric revient sur ce piège numérique dans une analyse complète qui sera diffusée ce 21 novembre.

Chiffrement, Communiqué de presse

FileAudit, un outil qui peut vous sauver des rançongiciels

Selon le Federal Bureau of Investigation, la police fédérale américaine, les  rançongiciels (ransomwares) sont de plus en plus présent. De plus en plus dangereux. Une préoccupation croissante. La société IS Decisions explique comment avec son outil FileAudit, il devient aisé de détecter et protéger un réseau contre cette d’attaque. 

Pour rappel, un ransomware est un outil qui va chiffrer les données d’un serveur, d’un ordinateur. Il apparaît, le plus généralement, via une pièce jointe proposé dans courriel. missive ouverte par un employé négligent. Par l’exploitation d’une faille de sécurité, un code malveillant est lancé, ce qui permet de télécharger et d’installer un programme sur la machine de la victime.

Le programme contactera ensuite un serveur distant appartenant aux attaquants où une paire de clés de chiffrement asymétrique est générée. La clé privée est conservée sur le serveur attaquant tandis que la clé publique est stockée sur l’ordinateur de la victime. Le programme peut alors commencer à chiffrer tous les documents auxquels l’utilisateur a accès en générant une clé de chiffrement symétrique aléatoire pour chaque fichier. Il va ensuite chiffrer le fichier avec cette clé et ajouter à la fin du fichier la clé de chiffrement chiffrée avec la clé asymétrique publique.

Cela se passe de cette façon, le chiffrement direct des données avec une clé asymétrique est 1 000 fois plus lent qu’avec une clé symétrique, mais dans les deux cas, le résultat est identique. Sans la clé privée, il n’est pas possible de déchiffrer les fichiers. Cela signifie que si la victime ne dispose pas d’une sauvegarde de tous les fichiers cryptés, l’attaquant pourra le forcer à payer une rançon pour obtenir la clé privée.

Se protéger, compliqué ?

Cela signifie que si la victime ne dispose pas d’une sauvegarde de tous les fichiers cryptés, l’attaquant pourra le forcer à payer une rançon pour obtenir la clé privée.

Défense en profondeur face aux rançongiciels

Il existe un certain nombre de mesures pratiques pour contrer et se protéger d’un rançongiciel. D’abord, éduquer vos utilisateurs afin qu’ils n’ouvrent pas les pièces jointes étranges des emails ; Interdire les fichiers portant certaines extensions dans les pièces jointes (Ex : fichiers exécutables, type de fichier non nécessaire dans votre entreprise). Assurer que les programmes autorisés à ouvrir des pièces jointes sont à jour, par exemple. si vous utilisez bien les dernières versions de Microsoft Word ou Acrobat Reader.

Les utilisateurs normaux ne doivent pas être en mesure d’exécuter des programmes à partir des emplacements où ils sont autorisés à écrire (par exemple, leurs dossiers de documents). Ils ne devraient pouvoir lancer que des programmes approuvés par l’administrateur. Sous Windows, cela peut être implémenté avec AppLocker.

Un compte administrateur ne doit jamais être utilisé pour effectuer des tâches utilisateur de base telles que lire des emails, surfer sur Internet ou effectuer des tâches bureautiques normales.

Les utilisateurs ne doivent pouvoir modifier que les fichiers nécessaires à leur travail. Les fichiers qu’ils n’ont aucune raison de modifier doivent être limités à un accès «lecture seule» pour eux.

Un logiciel anti-virus à jour doit être exécuté sur votre serveur de messagerie et sur les stations de travail pour détecter les infections et vous protéger contre celles-ci.

Vous devez avoir un moyen de détecter et d’arrêter le cryptage massif de fichiers sur vos serveurs de fichiers. Plus tôt vous détecterez une attaque, plus vite vous pourrez l’arrêter, ce qui signifie moins de pertes de données et moins de travail pour nettoyer le désordre! C’est ici que FileAudit peut vous aider.

Vous devez avoir une sauvegarde de tous vos fichiers dans un endroit sécurisé.

Découvrer la configuration d’un outil tel que FileAudit face à ce type d’attaque informatique.

Cybersécurité, Securite informatique

Votre système de sécurité est-il réellement fiable ?

De nos jours, la majorité des entreprises ont recours à un système de caméras de surveillance, que ce soit dans leurs bureaux ou leurs entrepôts. Supposées éloigner ou attraper des potentiels malfaiteurs, ces caméras sont aujourd’hui un nouveau danger car la technologie actuelle permet à certains pirates de contrôler les systèmes de surveillance à distance. Pour éviter cela, il faut comprendre le fonctionnement des caméras, connaître les meilleurs modèles et apprendre à protéger son système de surveillance efficacement.

Comment les pirates agissent-ils ?

À l’époque, les caméras de surveillance étaient reliées par des câbles permettant de filmer et de relayer l’information sur un écran. Actuellement, la plupart des systèmes utilisent une connexion Internet (Wi-Fi) afin de relier leurs caméras, et c’est de là que le danger peut survenir. En effet, les pirates prennent contrôle du système de surveillance en s’y infiltrant par le Wi-Fi. Nombreuses sont les personnes qui ne protègent pas leurs caméras avec un mot de passe réellement sécurisé, ce qui est une porte ouverte aux malfaiteurs. Ceci est aussi valable pour les caméras de particuliers qui ont un système de sécurité à leur domicile.

Quel modèle choisir ?

Les caméras de sécurité ont beaucoup évolué et sont maintenant facilement accessibles au grand public. Ceci n’est pas forcément avantageux pour les entreprises car certains fabricants, au prix de la compétitivité, mettent sur le marché des nouveautés qui ne sont pas d’une grande qualité au niveau sécuritaire. C’est pour cela qu’en tant qu’entreprise (ou même particulier), il vous faut faire appel à un fournisseur professionnel et sérieux, comme par exemple RS Components en ligne, qui garantira un meilleur niveau de sécurité. Ensuite, au niveau du type de caméra, cela dépendra de la zone que vous avez à filmer. Les caméras thermiques appréciées car excellentes pour les entrepôts plutôt grands et obscurs, vu que le manque de lumière ne les affecte pas. Pour des zones où vous souhaitez avoir une image standard, plusieurs options s’offrent à vous au niveau de la qualité de résolution, de la forme et de l’adaptation à la lumière, choix qui se feront en fonction de la zone à filmer.

Comment se protéger ?

La première chose à faire est de définir un mot de passe avec un niveau élevé de sécurité car cela peut être le premier obstacle pour un pirate. Ensuite, si vous êtes inquiet pour votre webcam d’ordinateur, installez un antivirus. En ce qui concerne les entreprises et les systèmes de surveillance plus gros, il est nécessaire de choisir un type de caméra sûr mais aussi de se renseigner sur les possibles failles du modèle en question car les pirates adapteront leur tactique en repérant celui auquel ils ont à faire. Finalement, si vous le souhaitez, il est aussi possible d’installer des caméras en circuits fermés. C’est-à-dire non connectées à un réseau, ce qui immunise efficacement contre les piratages en ligne.

La menace

La menace des piratages de caméras de surveillance est bien réelle. La première étape vers une meilleure sécurité est de se renseigner sur la manière dont les pirates agissent et sur les moyens disponibles pour se protéger, que vous soyez une entreprise ou un particulier. En bref, assurez-vous d’acheter votre système de surveillance chez un professionnel, renseignez-vous sur les failles et n’oubliez pas les réflexes de base comme l’installation d’un mot de passe à sécurité élevée.

Cybersécurité, Paiement en ligne

Pipka, le voleur de données bancaires sur site marchand

A la veille des fêtes de fin d’année, voici venir Pipka, un outil pirate voleur de données bancaires à partir des boutiques en ligne qu’il infiltre.

En septembre 2019, le programme Visa Payment Fraud Disruption (PFD) a identifié un nouvel outil pirate baptisé Pipka. Un skimmer JavaScript. Un voleur de données bancaires.

Pipka cible les données de paiement saisies dans les formulaires de paiement de commerce électronique des sites marchands. Le blog ZATAZ nous relatait ce type de malveillance électronique en 2018 et 2019.

Identification de Pipka sur seize sites marchands compromis. Contrairement aux précédents skimmers JavaScript, Pipka est capable de se retirer du code HTML du la site Web compromis après son exécution. Cela diminue ainsi la probabilité de détection.

Pipka, petit frère d’Inter

Semblable au skimmer JS Inter, le nouveau code pirate permet aux cybercriminels de configurer les champs de formulaire.

L’outil pirate analyse et extrait les données. Bilan, numéro de compte de paiement, date d’expiration, CVV, identités, adresse du titulaire de la carte sont copiés directement via la page légitime ! Le « pirate » vérifie les champs configurés avant l’exécution.

Le code malveillant s’injecte directement à divers endroits sur le site du commerçant. Les données chiffrées en ROT13.

L’aspect le plus intéressant et unique de Pipka est sa capacité à ne pas être présent dans le code HTML. Cela permet un mode fantôme efficace !

Que faire pour s’en protéger ? Compliqué tant la technique est efficace. Préférez des boutiques passant par des sites bancaires. Et espérer que votre commerçant soit au taquet du côté de sa cybersécurité, de son code et de sa veille ! (PFD)

Cybersécurité, Identité numérique

Geneva, le priseur de censure ?

La censure d’Internet par des gouvernements autoritaires interdit un accès libre à l’information. Des millions de personnes dans le monde bloquées. Des chercheurs viennent de présenter Geneva, un tueur de censure ?

Les tentatives pour échapper à une telle censure se sont transformées en une course sans cesse croissante pour suivre le rythme de la censure sur Internet, en constante évolution et de plus en plus sophistiquée. Les régimes de censure ont eu l’avantage dans cette course. Les chercheurs doivent chercher manuellement des moyens de contourner cette censure. Processus qui prend beaucoup de temps.

Des universitaires américains viennent de présenter à Londres Geneva. Un algorithme capable de contourner les outils mis en place pour bloquer la liberté d’expression sur la toile.

De nouveaux travaux dirigés par des informaticiens de l’Université du Maryland vont-ils modifier l’équilibre de la course à la censure ?

Les chercheurs ont développé un outil baptisé Genetic Evasion (Geneva).

Cette IA apprend automatiquement à contourner la censure.

Elle a été testée en Chine, en Inde et au Kazakhstan. Genèva a trouvé des dizaines de façons de contourner la censure en exploitant des bogues.

Des « accès » pratiquement impossibles à trouver manuellement.

Cette intelligence artificielle a été présentée lors de la 26e conférence sur la sécurité des ordinateurs et des communications (ACM – Londres). « Avec Genèva nous avons pour la première fois, un avantage majeur dans cette course, déclare Dave Levin, professeur assistant en informatique à l’UMD. Geneva représente le premier pas contre les censeurs. »

Et gagner cette course signifie permettre la liberté de parole à des millions d’utilisateurs à travers le monde.

Cybersécurité, Fuite de données

Fuite de données : attention à la mauvaise configuration de votre Google Formulaire

Confidentialité : Vous utilisez Google Formulaire pour vos sondages, questionnaires ? Si vous ne le configurez pas correctement, fuite de données assurée concernant vos participants.

Il y a 30 jours j’alertais la CNIL et l’ANSSI d’un problème rencontré via le service « Google Formulaire ».

L’outil du géant américain, en cas de mauvaise configuration, est capable de laisser fuiter les informations rentrées par les participants à des sondages, questionnaires, …

J’en ai profité pour poser quelques questions, par courriel, à un représentant de Google en Europe, mais sans aucune réponse de sa part.

Vous avez dit « Prefill »

Le problème est le suivant. Lors de la création d’un Google Formulaire, il est possible de mettre en mode invitation le document. Le lien de ce dernier apparaît alors sous cette forme https://docs.google.com/forms/d/*****/prefill. D’ailleurs, une requête dans le moteur de recherche, via le dork « inurl:docs.google.com/forms/d/ && prefill » permet de faire apparaître des centaines de créations de part le monde.

Demande d’autorisation. Sans l’accord de l’auteur, pas d’accès aux informations.

La plupart de ces formulaires apparaissent, quand on clique sur leur lien respectif, avec une demande d' »autorisation nécessaire« . Vous souhaitez accéder à ce contenu mais vous ne le pouvez pas. Il faut en faire une demande d’accès au créateur du formulaire.

Sauf que cette demande d’autorisation peut-être outrepassée.

Fuites de données assurées !

Il devient possible d’accéder aux données des participants !

Seulement, mal configuré, le « Google Form » va diffuser les informations des participants d’une manière dés plus triviale. Ozaik, un lecteur de Data Security Breach, m’a expliqué avoir retrouvé ses données par ce biais.

La méthode est simple. Il suffit de remplacer « prefill » par une autre commande. Nous ne la fournirons pas dans nos colonnes. Le problème venant des créateurs et de la mauvaise configuration de leur formulaire, il ne s’agit pas d’une faille Google. Cette commande fait sauter la « demande d’autorisation » et les autres restrictions de confidentialité. Le problème ne peut être corrigé que par les auteurs.

Plus dramatique, dans certains cas, les identités, les mails, les téléphones des participants apparaissent. Un malveillant n’a plus qu’à collecter. Les escroqueries et autres phishing « très » ciblés n’ont plus qu’à être lancés !

Les organisateurs ont été alertées afin d’effacer les informations !

Phase 03

Vous êtes Utilisateur des formulaires Google ? Sortez le mode d’emploi.
Vous souhaitez participer à un questionnaire via un formulaire Google ? Vous savez dorénavant les risques qui en découlent.

Côté RGPD, bon courage pour savoir qui a fuité, qui n’a pas fuité, qui va alerter et qui fera comme dans la majorité des cas : « Pas vu, pas pris » !

Hacking

L’authentification multifacteurs, un contrôle efficace

L’authentification multifacteurs fait partie des contrôles les plus efficaces qu’une organisation puisse mettre en place afin d’empêcher une personne non autorisé à accéder à un périphérique ou à un réseau et donc à des informations sensibles.

La société IS Decisions revient sur son outil dédié à l’authentification multifacteurs. Pour répondre aux besoins et aux budgets des clients de petite, moyenne et grande taille, découvrez comment UserLock facilite l’activation de l’authentification à deux facteurs et la gestion d’accès contextuels dans un environnement Windows Active Directory.

 

Téléchargez la version d’essai gratuite entièrement fonctionnelle et constatez par vous-même à quel point UserLock peut vous aider à sécuriser l’accès au réseau.

Cybersécurité, Entreprise, Social engineering

Le nombre de vos contacts augmente le piratage

Disposer d’un réseau de contacts professionnels est essentiel pour réussir dans le monde de l’entreprise, mais ces contacts peuvent être utilisés à mauvais escient par des attaquants

Les voies d’accès inattendues que des cybercriminels exploitent en s’attaquant au réseau de contacts d’une entreprise sont multiples. Voici la nature de ces risques et sur les mesures que les organisations peuvent prendre pour s’en prémunir.

Les criminels s’intéressent aux contacts de tous types : L’expansion d’un réseau de contacts accroît mécaniquement la surface d’attaque. Les contacts à tous les niveaux. Des partenaires commerciaux aux distributeurs. Des employés aux clients. Ils accroissent le risque potentiel d’une intrusion. En conséquence, des protections de cyber sécurité sont nécessaires pour gérer cette catégorie de risques.

Reconnaître les risques par association : Les relations d’affaires sont autant de potentielles voies d’accès pour des cybercriminels. Une entreprise peut être une cible intéressante. Elle offre une voie d’accès plus facile à certains de ses clients et partenaires.

Les plus grandes organisations doivent avoir mis en place des systèmes de sécurité plus sophistiqués. Donc, des malveillants infiltrent leurs partenaires pour y avoir accès par leur intermédiaire.

Le fournisseur, cet ennemi qui s’ignore

Les fournisseurs de services introduisent un nouvel ensemble de risques. Le modèle « as a service » accélère l’adoption de nouvelles technologies. Le processus de transformation digitale des entreprises, mais il introduit aussi de nouvelles vulnérabilités.

Toutes les entreprises s’exposent à des risques induits par leurs fournisseurs de services, fournisseurs de cloud ou autres. Pour protéger leurs opérations et leurs actifs, elles doivent donc contrôler leurs connexions avec chaque fournisseur de service, et leur infrastructure de sécurité comme leur gestion des risques à renforcer en conséquence.

Relationnel… pirate !

Les responsabilités des entreprises s’étendent à leurs relations avec leurs partenaires : Lorsqu’une intrusion se produit, les responsabilités ne sont pas limitées à une seule organisation. Ses dirigeants doivent faire tout leur possible pour protéger non seulement leur propre entreprise, mais aussi ses partenaires. En réponse à une cyber attaque, tous les efforts doivent être entrepris pour contenir, contrôler, rapporter et résoudre l’incident. Et il est important de réaliser qu’une entreprise peut être tenue pour financièrement responsable de pertes subies par d’autres qui ont été exposés à des risques en raison de leur connexion avec l’entreprise attaquée. Une partie des coûts induits par le cyber crime est liée aux obligations que les entreprises ont vis-à-vis de leurs connexions.

Employés, ohé! ohé !

Vos propres employés vous mettent en danger : Dans une organisation, ce sont les employés qui représentent le plus grand facteur de risque. Le rythme accéléré des affaires, nos méthodes de travail et la pléthore de distractions auxquelles nous sommes exposés dans notre vie de tous les jours conspirent tous à nous rendre vulnérables. Nous faisons des erreurs, nous sommes dans l’urgence, nous ouvrons des emails, cliquons sur des liens et téléchargeons des pièces jointes sans arrière-pensées. Et ce faisant, nous mettons nos entreprises en danger. Autant de raisons pour lesquelles les organisations ont besoin de nouvelles compétences en matière de sécurité pour les aider à sécuriser leurs activités.

Parlez-vous secret ?

Le blog ZATAZ.COM revient sur un test gratuit proposé par le SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE ET DE LA SÉCURITÉ NATIONALE (SGDSN). L’idée, comprendre le secret en entreprise, et s’auto-évaluer sur cette problématique. A tester sans modération.

Etude FireEye.

Communiqué de presse, Securite informatique

DFIR ORC : un outil de collecte libre pour l’analyse forensique

Conçu en 2011 pour répondre aux missions opérationnelles de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) en matière d’investigation et de réponse à incident, le logiciel DFIR ORC (pour Outil de recherche de compromission) n’a cessé d’évoluer pour regrouper un ensemble d’outils qui permettent la recherche, l’extraction et la mise à disposition de données forensiques dans un environnement Microsoft Windows… à l’échelle d’un parc entier ! L’outil, intégralement libre, est aujourd’hui publié par l’agence à l’usage des acteurs et des professionnels de la communauté.

Créé et utilisé de longue date par les équipes de l’ANSSI, le logiciel de collecte DFIR ORC regroupe un ensemble d’outils qui permettent la recherche, l’extraction et la mise à disposition des données forensiques. Il a été entièrement conçu afin de fonctionner dans l’écosystème Microsoft Windows de façon décentralisée et à grande échelle.

« Après 8 ans d’usage, DFIR ORC a été utilisé sur plus de 150 000 postes dans le cadre de nos activités opérationnelles en matière de réponse à incident. » indique François Deruty, sous-directeur Opérations de l’ANSSI.

En s’engageant dans une démarche d’ouverture avec la communauté de la sécurité numérique, l’ANSSI souhaite aujourd’hui partager cet outil mature qu’elle utilise au quotidien depuis plusieurs années*. [https://dfir-orc.github.io]

DFIR ORC – POUR QUI ? POUR QUOI ?

DFIR ORC s’adresse aux professionnels de la sécurité informatique soucieux d’acquérir les données nécessaires à la réponse aux incidents de sécurité de façon fiable, ainsi qu’à tous les développeurs qui souhaiteront s’en inspirer ou contribuer à son développement.

DFIR ORC peut être déployé sur l’intégralité d’un parc Microsoft Windows, tout en minimisant l’impact sur son fonctionnement normal. Il assure ainsi la collecte des informations souhaitées avec une exigence de fiabilité, de qualité et de traçabilité, sans modifier la configuration des machines analysées, tout en minimisant les risques d’altérations des données collectées.

Par son usage, DFIR ORC permet donc de disposer d’une vision de l’état du parc au moment de la collecte. Il ne vise cependant pas à pratiquer une analyse sur les données collectées : c’est le rôle de spécialistes disposant d’une méthodologie et d’outils adaptés.

CONTRIBUEZ AU DÉVELOPPEMENT DE DFIR ORC

DFIR ORC est un outil modulaire, configurable, qui peut embarquer d’autres outils, notamment ceux qui sont déjà proposés par l’agence. Avec la publication de DFIR ORC, l’ANSSI partage le code source, la procédure de compilation ainsi que des exemples de configuration de l’outil. Tous ces éléments permettent la génération d’un outil fonctionnel adapté à l’usage souhaité.

« À travers DFIR ORC, nous avons l’ambition de contribuer activement à la vie de la communauté de la réponse à incident, en lui permettant de s’approprier et de développer l’outil à sa manière », ajoute François Deruty. L’ANSSI souhaite encourager l’émergence d’une communauté publique de développeurs et d’utilisateurs de l’outil, pour favoriser sa montée en maturité et l’apparition de nouvelles fonctionnalités. L’agence continuera de même à développer DFIR ORC, et publiera régulièrement des mises à jour de l’outil. L’agence invite tous les acteurs de la communauté à enrichir dès à présent ce projet avec nos équipes.

Cybersécurité, double authentification

MFA : authentification multi-facteurs

Pour protéger l’accès réseau de vos utilisateurs, et si vous pensiez à l’authentification multi-facteurs (MFA). La MFA est l’une des meilleures mesures à mettre en place. Une sécurisation des connexions insuffisante et l’entreprise est exposée à des risques de violations et de non-conformité. Explication par IS Decisions.

L’authentification multi-facteurs (MFA), considérée comme coûteuse et complexe, ne semble pas encore adoptée comme il le faudrait.

Les petites et moyennes entreprises (PME/PMI) pensent à tort qu’une entreprise doit dépasser une certaine taille afin de pouvoir bénéficier de la MFA. C’est faux.

Adopter une solution MFA doit être vu comme une couche de sécurité essentielle pour toute entreprise, qu’importe sa taille, et doit représenter une façon simple de protéger les comptes utilisateur. Peu importe la taille de votre entreprise, voici six recommandations indispensables à considérer pendant la préparation afin d’assurer un déploiement MFA réussi. Par exemple : Sécuriser les connexions améliore de manière considérable votre position de sécurité ; Choisissez une solution MFA qui ne contrarie pas les équipes informatiques ; La MFA doit allier sécurité et productivité des utilisateurs ; Éduquez vos utilisateurs et donnez-leur les moyens de soutenir la MFA ; Utilisez la MFA pour tous les comptes. ; Obtenez l’adhésion et l’engagement de la direction. Explication par IS Decision.

Base de données, Communiqué de presse, RGPD

Collectivités territoriales : un guide de sensibilisation au RGPD

Afin d’accompagner les collectivités territoriales dans leur mise en conformité au RGPD, la CNIL a élaboré un guide de sensibilisation disponible sur son site web.

Les collectivités territoriales traitent de nombreuses données personnelles, que ce soit pour assurer la gestion des services publics dont elles ont la charge (état civil, inscriptions scolaires, listes électorales, etc.), la gestion de leurs ressources humaines, la sécurisation de leurs locaux (contrôle d’accès par badge, vidéosurveillance) ou encore leur site web. Cette tendance ne fera que se renforcer avec la transformation numérique de l’action publique.

Dans ce contexte, le respect des règles de protection des données constitue aujourd’hui un facteur de transparence et de confiance à l’égard des citoyens et des agents, qui sont de plus en plus sensibles à la protection de leurs données. C’est aussi un gage de sécurité juridique pour les élus responsables des fichiers et des applications utilisés au sein de leur collectivité.

Les principes du règlement général sur la protection des données (RGPD) s’inscrivent dans la continuité de la loi Informatique et Libertés de 1978. Malgré cela, la CNIL est consciente que la mise en conformité au RGPD peut parfois être complexe, et que l’importance des enjeux justifie un appui spécifique de sa part.

Aussi, afin d’accompagner les collectivités territoriales dans leur mise en conformité au RGPD, la CNIL a élaboré un guide de sensibilisation.

Quel plan d’action pour se mettre en conformité ?

Ce guide s’adresse prioritairement aux communes de petite ou de moyenne taille, ainsi qu’à leurs groupements intercommunaux, ne disposant pas nécessairement en interne de ressources dédiées spécifiquement à la protection des données. Il propose des clés de compréhension des grands principes, des réflexes à acquérir, un plan d’action pour se mettre en conformité ainsi que des fiches pratiques.

Il évoque les conditions de désignation du délégué à la protection des données afin que chaque collectivité puisse identifier la modalité la plus adaptée à sa situation.

Pour élaborer ce guide, la CNIL s’est rapprochée des principales associations regroupant les différents niveaux de collectivités et autres organismes intervenant auprès du secteur public local. Cet appui permet d’apporter des réponses concrètes et adaptées aux collectivités.

Ce guide actuellement envoyé en version papier à toutes les mairies de Métropole et d’Outre-Mer.

En complément de ce guide de sensibilisation, des fiches techniques consacrées aux principaux sujets de préoccupation des collectivités ont également été publiées sur le site web de la CNIL.

La CNIL proposera par ailleurs un cours en ligne gratuit sur le RGPD et les collectivités.

Communiqué de presse

En 3 ans, le nombre d’attaques ciblant des objets connectés a augmenté de 13497%

Analyse des attaques ayant ciblé des « honeypots » simulant des objets intelligents durant 3 ans. Des attaques qui ont augmenté de 13 497%.

Depuis 3 ans, Doctor Web surveille et étudie les menaces actives ciblant l’Internet des objets. Pour cela, les experts ont mis en place un système d’appâts spécialisés appelés « Honeypots ». Ils imitent différents types d’IoT permettant d’observer les techniques et comportements d’attaques ciblant ces objets, tout en récupérant les malwares utilisés pour ces attaques, dans le but d’améliorer leur détection et faire face à la menace de manière plus efficace.

Elena Kostyuchenko, Senior Analyst Technical Writer, chez Doctor Web explique : « Doctor Web a mis en place plusieurs honeypots, établis dans différentes régions. Ils prennent en compte les protocoles classiques, Telnet et SSH, pour que les malwares puissent fonctionner, ainsi que toutes leurs caractéristiques possibles : modification de clés SSH, ajouts d’utilisateurs, téléchargement d’autres malwares, etc. Ces honeypots sont basés sur des solutions open-source, sur lesquelles nos experts apportent quelques modifications. Grace à ces systèmes, durant 3 ans nous avons pu analyser les malwares en récupérant leurs charges virales, étudier les lieux de diffusion, et cela nous permet de fournir des solutions de protection plus efficaces ».

Voici quelques-uns des principaux enseignements :

  • En 3 ans, le nombre d’attaques augmente de 13497 % : alors que l’activité observée en 2016 était faible, en seulement 4 mois, les experts recensaient déjà 729 590 attaques. Ce nombre se multiplie par 32 en 2017. Il ne cesse de croître considérablement. En 2018, ce sont plus de 99 millions d’attaques. L’année 2019 semble dépasser tous les records, avec plus de 75 millions d’attaques relvées durant les 6 premiers mois. 
  • L’origine de ces attaques est mondiale : les attaques proviennent de plus de 50 pays à travers le monde, et majoritairement des États-Unis et des Pays-Bas.
  • Des processeurs plus vulnérables que d’autres : les honeypots ont mis en évidence que les dispositifs ARM, MIPSEL et MIPS subissent le plus d’attaques.
  • Mirai, le Trojan le plus utilisé : datant de 2016, la diffusion de son code source dans le domaine public a provoqué très rapidement de nombreuses modifications. Mirai est le Trojan ciblant Linux le plus répandu et fonctionne sur de nombreux processeurs. Après avoir contaminé un appareil, il se connecte au serveur de gestion et attend d’autres commandes. Sa principale fonction est de lancer des attaques DDoS.
  • Plusieurs autres malwares très présents, avec des caractéristiques différentes : Hajime (propage un ver), BackDoor.Fgt (contamination d’IoT), ProxyM (assure l’anonymat des pirates), HideNSeek (contamine les IoT, génère des adresses IP auxquelles il essaie de se connecter par force brute)

Le rapport Dotor Web met en avant plusieurs tendances :

  • La disponibilité des codes sources de Trojans (Mirai, BackDoor.Fgt, BackDoor.Tsunami…) accentue l’apparition de nouveaux programmes malveillants.
  • Le nombre d’applications malveillantes écrites en langage de programmation « non standard » Go et Rust, ne cesse de croître.
  • De plus en plus d’informations sur les vulnérabilités des dispositifs sont accessibles, ce qui profite aux cybercriminels.
  • Les miners de cryptomonnaie (Monero) sont toujours populaires et utilisent les IoT.

Elena Kostyuchenko conclut : « Des milliards d’IoT sont aujourd’hui présents sur le marché.

Des proies faciles pour les attaquants : la sécurité est toujours très peu « by-design » et les vulnérabilités sont nombreuses. Le problème est que la plupart des utilisateurs pensent que ces objets sont sûrs. La sécurité n’a pas été intégrée, la mise à jour devient ensuite compliquée.

Si des efforts de sécurité (ce qui nécessite un investissement…) ne sont pas faits par les constructeurs, et a minima que des couches de sécurité complémentaires ne sont pas mises en place. Malheureusement il faut continuer à nous attendre à une recrudescence des logiciels malveillants ciblant les IoT ».

Le rapport complet de Doctor Web est disponible ici en français : https://news.drweb.fr/show/?i=13353

Communiqué de presse, Cybersécurité

Les cybercriminels misent toujours davantage sur les techniques de contournement des antimalwares

De nombreux outils modernes de malware intègrent des fonctionnalités pour contourner les antivirus et autres mesures de détection : les cybercriminels ont affûté leurs armes pour gagner en furtivité, déjouer les analyses antimalware et éviter de se faire détecter.

À titre d’exemple, une campagne de spam illustre comment les assaillants utilisent et affinent ces techniques contre leurs cibles. Lors de cette attaque, un email de phishing est utilisé pour transmettre un fichier Excel avec une macro malveillante, dont l’objectif est de désactiver les outils de sécurité, d’exécuter des commandes de manière arbitraire, de causer des problèmes au niveau de la mémoire et de ne cibler que les systèmes japonais. Une de ses propriétés recherche plus particulièrement une variable xIDate, mais ce mode opératoire semble encore non documenté à ce jour.

Autre exemple, celui du cheval de troie bancaire Dridex qui modifie le nom et les hash des fichiers à chaque connexion de la victime, ce qui rend plus difficile l’identification du malware sur les systèmes hôtes infectés.

L’utilisation croissance de techniques d’évasion et de contournement des analyses antimalware incite à déployer différentes couches de sécurité et à s’orienter vers une détection comportementale des menaces.

Les attaques furtives visent le long terme

Le malware Zegost de détournement de données, au cœur d’une campagne de spear phishing, présente des techniques pour le moins intrigantes. À l’instar d’autres outils similaires, l’objectif principal de Zegost est de recueillir des informations sur le dispositif de la victime et de les exfiltrer. Cependant, Zegost se distingue par sa furtivité, grâce notamment à une fonction de « nettoyage » des logs applicatifs, qui permet de masquer sa présence. D’autre part, Zegost présente également une commande de mise en attente jusqu’au 14 février 2019, date à laquelle il a initié son processus d’infection.

Les auteurs de Zegost ont su utiliser tout un arsenal d’exploits pour établir et maintenir une connexion avec leurs victimes, ce qui en fait une menace sur le long terme par rapport aux autres malware similaires.

Le ransomware continue à se transmettre via des attaques toujours plus ciblées

Les attaques ciblant de multiples villes, collectivités locales et acteurs de l’enseignement rappellent que le ransomware reste d’actualité et qu’il continue à viser de nombreuses organisations. Les attaques par ransomware se font de moins en moins en masse et de manière opportuniste. Le ciblage est devenu une réalité et la priorité est donnée aux entreprises perçues comme susceptibles de régler une rançon. Dans certains cas, les cybercriminels procèdent à une phase amont approfondie de reconnaissance avant de déployer leur ransomware sur des systèmes identifiés avec précision, ce qui maximise les opportunités d’infection.

À titre d’exemple, le ransomware RobbinHood s’en prend à l’infrastructure réseau des entreprises. Il est capable de désactiver les services Windows qui préviennent le chiffrement des données, mais aussi de déconnecter les disques partagés.

Un autre nouveau ransomware appelé Sodinokibi pourrait bien devenir la prochaine menace majeure pour les entreprises. D’un point de vue fonctionnel, il n’est pas vraiment différent de la majorité des outils de ransomware. Il se distingue néanmoins par son vecteur d’attaque puisqu’il exploite une nouvelle vulnérabilité qui permet l’exécution de code arbitraire et n’a pas besoin d’interaction de la part de l’utilisateur, comme c’est le cas pour d’autres logiciels de ransomware livrés par email phishing.

Quel que soit le vecteur utilisé, le ransomware reste, et restera, une menace sérieuse pour les entreprises : plus que jamais, le patching doit être prioritaire, au même titre que la sensibilisation des collaborateurs aux risques de cybersécurité.

De plus, les vulnérabilités du protocole RDP (Remote Desktop Protocol), comme BlueKeep, sont un avertissement que les services d’accès à distance peuvent être des opportunités pour les cybercriminels et qu’ils peuvent également être utilisés comme vecteur d’attaque pour diffuser des logiciels de rançon.

De nouvelles opportunités sur la surface d’attaque

Entre l’imprimante personnelle et les infrastructures critiques, émergent désormais de nombreux systèmes de contrôle à usage résidentiel et pour les petites entreprises. Ces systèmes intelligents attirent moins l’attention des assaillants que leurs homologues industriels, mais les choses peuvent évoluer compte tenu de l’augmentation observée de l’activité ciblant ces dispositifs de contrôle tels que les capteurs environnementaux, les caméras de sécurité, ou encore les systèmes de sécurité. Une signature liée aux solutions de gestion techniques du bâtiment émise par 1% des entreprises. Ce chiffre peut paraître peu élevé, mais il reste néanmoins supérieur à ce qu’on observe parmi les systèmes de contrôle industriel (ICS) et SCADA.

Les cybercriminels sont à la recherche de nouvelles possibilités de détourner les dispositifs de contrôle, tant au sein des espaces résidentiels que des entreprises. Parfois, ces types d’appareils ne sont pas aussi prioritaires que d’autres ou ne sont pas intégrés dans les processus traditionnels de gestion IT. La sécurité des systèmes intelligents résidentiels et pour les petites entreprises mérite une attention particulière, d’autant que la possibilité d’y accéder pourrait lourdement peser sur la sécurité. Ceci est particulièrement vrai pour les environnements de travail distants où la sécurité des accès reste critique. (Fortinet)

Phishing, Social engineering

Selon le FBI, les attaques BEC auraient coûté 26 milliards de dollars aux entreprises

Les attaques BEC auraient coûté 26 milliards de dollars aux entreprises entre juin 2016 et juillet 2019.

Plus de 99% des cyberattaques requièrent une action humaine pour se propager. Les attaques BEC reposent sur l’engagement des individus et les cybercriminels s’appuient sur la psychologie humaine en demandant des réponses urgentes à des sollicitations pour des virements ou l’envoi de données confidentielles, simulant souvent un besoin commercial immédiat mais fictif. Pour réduire les chances de succès de telles attaques, les entreprises doivent prendre des mesures rapidement, en sensibilisant leurs employés et en déployant des solutions qui placent l’individu au cœur de leur stratégie de sécurité.

Les BEC et les EAC (des attaques BEC lancées à partir de comptes internes compromis appartenant à des cadres – et donc plus difficiles à détecter) représentent des armes de choix car elles sont peu coûteuses et nécessitent plus de recherche que les infrastructures d’envoi.

L’envoi d’emails frauduleux est peu coûteux. Les messages n’exigent pas de logiciels malveillants coûteux ; pourtant, les attaques elles-mêmes sont très efficaces, entraînant des milliards de dollars de pertes.

E-mails frauduleux

L’exploitation du canal email par le biais de messages hautement personnalisés et conçus par ingénierie sociale permet aux cybercriminels d’usurper facilement l’identité d’un employé ou d’un partenaire de confiance. La prévalence et l’efficacité des stratégies de phishing et de vols d’identifiants alimentent également les attaques EAC, ouvrant aux attaquants un canal interne pour mettre en œuvre leurs cyberattaques.

« Ces systèmes d’ingénierie sociale vont devenir de plus en plus répandus et difficiles à identifier, à détecter et à combattre. Il est essentiel que les entreprises privilégient une approche de cybersécurité centrée sur les personnes qui protège toutes les parties (employés, clients et partenaires commerciaux) contre le phishing, la fraude par email, le vol d’identifiants et les attaques par force brute. » indique  Loïc Guézo de Proofpoint.

Des défenses à plusieurs niveaux au niveau de la périphérie du réseau, de la passerelle de messagerie, du cloud et des points d’accès, ainsi qu’une solide formation des utilisateurs afin d’offrir la meilleure défense contre ces types d’attaques.

D’autant plus malicieuses : le phishing n’est pas un virus. Le type de logiciel malveillant que détectent les antivirus par exemple.

Direction Hong Kong… mais pas que !

Sur la base des données financières, les banques situées en Chine et à Hong Kong restent les principales destinations des fonds frauduleux. Toutefois, le Federal Bureau of Investigation constate une augmentation du nombre de transferts frauduleux vers le Royaume-Uni, le Mexique et la Turquie.

Les statistiques BEC / EAC suivantes ont été rapportées à l’IC3 et proviennent de sources multiples. Notamment des données d’IC3 et de plaintes internationales en application de la loi, ainsi que des informations transmises par des institutions financières entre octobre 2013 et juillet 2019:

Les statistiques suivantes ont été rapportées dans les plaintes déposées par les victimes auprès de la CI3 entre juin 2016 et juillet 2019:

Incidents nationaux et internationaux: 166,349
Perte de dollars exposée aux niveaux national et international: $26,201,775,589
Les statistiques BEC / EAC suivantes ont été rapportées dans les plaintes des victimes déposées auprès de l’IC3 entre octobre 2013 et juillet 2019:
Total des victimes américaines: 69,384
Perte totale en dollars exposés aux États-Unis: $10,135,319,091
Total non-U.S. victims: 3,624
Perte totale en dollars exposés en dollars américains: $1,053,331,166
Les statistiques suivantes ont été rapportées dans les plaintes déposées par les victimes auprès de la CI3 entre juin 2016 et juillet 2019:
Total des bénéficiaires financiers américains: 32,367
Destinataire financier américain total exposé perte en dollars: $3,543,308,220
Total des bénéficiaires financiers non américains: 14,719
Total des pertes financières en dollars des bénéficiaires financiers autres que les États-Unis: $4,843,767,489

(FBI)

Communiqué de presse, Cybersécurité

Stealth Falcon : Des attaques cibles des politiques au Moyen-Orient

Des chercheurs découvrent une backdoor dotée de fonctionnalités intéressantes et apparentée au logiciel malveillant utilisé par le tristement célèbre groupe Stealth Falcon

Stealth Falcon est un groupe de cybercriminalité actif depuis 2012 qui cible les journalistes et les activistes politiques au Moyen-Orient. Certains analystes l’associent au Project Raven, une initiative qui impliquerait d’anciens agents de la National Security Agency (NSA). Pour en savoir plus, cliquez ici.

Des informations techniques limitées sur Stealth Falcon ont déjà été rendues publiques, notamment une analyse du composant principal du malware – une backdoor en PowerShell qui se propage via un document infecté joint à un e-mail malveillant.

Les chercheurs d’ESET ont découvert une backdoor exécutable inédite qu’ils ont nommée Win32/StealthFalcon. Ils ont constaté un petit nombre d’attaques par ce malware aux Émirats arabes unis, en Arabie saoudite, en Thaïlande et aux Pays-Bas ; dans ce dernier cas, la cible était une mission diplomatique d’un pays du Moyen-Orient.

Win32/StealthFalcon

Les travaux d’ESET ont mis en évidence des similarités entre la backdoor exécutable récemment découverte et le script PowerShell doté de capacités de backdoor précédemment attribué au groupe Stealth Falcon. Les chercheurs d’ESET considèrent ces similarités comme une preuve solide que les deux backdoors sont l’œuvre du même groupe.

Win32/StealthFalcon utilise une technique relativement inhabituelle pour communiquer avec son serveur de commande et contrôle (C&C) : le service de transfert intelligent en arrière-plan (BITS), un composant standard de Windows.

Par rapport aux méthodes de communication traditionnelles via des fonctions d’API, le mécanisme BITS passe par une interface COM, ce qui le rend plus difficile à détecter. Fiable et furtive, cette approche a également davantage de chances d’être autorisée par le pare-feu de l’hôte.

Outre son mode de communication C&C inhabituel, Win32/StealthFalcon fait appel à des techniques avancées pour empêcher sa détection et son analyse, assurer sa persistance et compliquer l’analyse criminalistique.

Pour plus d’informations : « ESET discovered an undocumented backdoor used by the infamous Stealth Falcon group ».

Argent, Cybersécurité, Social engineering

Tentative de piratage CoinHouse

Des pirates informatiques ont tenté de piéger les clients du site spécialisé dans les cryptomonnaie CoinHouse. Mais comment les pirates ont-ils eu les mails utilisés dans leur tentative de fraude ?

Jeudi 12 septembre, 20 heures. La société CoinHouse alerte ses clients d’une tentative de fraude. Une cyber attaque aux couleurs de ce spécialise des cryptomonnaie prenant la forme d’un phishing. « Vous avez pu recevoir un mail ayant pour objet  »Action requise: vérifiez vos données », avec un message en anglais vous invitant à cliquer sur un bouton  »Verify ». » explique CoinHouse dans son courriel d’alerte. « Ce message a été envoyé par des pirates informatiques pour vous rediriger vers un faux site : app.colnhouse.com et ainsi récupérer vos identifiants. »

L’attaque a débuté quelques heures auparavant. Un courriel signe coinhouse.com comme le montre la capture écran de Data Security Breach. « In order to continue using our services, please verify our submitted data and documents. It will not take more than 3 mintues to complete the verifying steps, once you finish, please proceed by pressing save button. » annonçait l’arnaque.

La page pirate recupérait les identifiants de connexion.

Infiltration, exfiltration

Fait intéressant : si les hameçonnages sont très fréquents, l’histoire ne dit pas comment les pirates ont eu accès aux adresses électroniques. Plusieurs lecteurs de Data Security Breach, dont votre serviteur, exploitent une adresse dédiée à ce service ! A noter que ce courriel usurpateur a été envoyé via l’outil bmail exploité en interne par CoinHouse.

Les pirates avaient parfaitement organisés leur action. En plus du courriel et de sa méthode de diffusion, ils avaient enregistré le domaine https://app.colnhouse.com. Un typosquatting. Le i de CoinHouse remplacé par un L minuscule : app.colnhouse.com

Cybersécurité, Mise à jour, Patch

Microsoft et navigateurs : 79 vulnérabilités corrigées

Ce mois-ci, le Patch Tuesday de septembre 2019 traite de 79 vulnérabilités dont 17 classées critiques. Parmi ces dernières, 8 affectent les moteurs de scripts et les navigateurs, 4 la connexion Bureau à distance et 3 SharePoint. En outre, Microsoft a publié un nouveau patch pour une vulnérabilité critique au sein des fichiers LNK et pour une vulnérabilité dans Azure DevOps/TFS. Adobe a également publié des correctifs pour Flash et Application Manager.

 

Le déploiement de patches pour les moteurs de script, les navigateurs et les fichiers LNK est une priorité pour les équipements de type poste de travail, c’est-à-dire tout système permettant d’accéder à la messagerie ou à Internet depuis un navigateur. Concernés les serveurs multi-utilisateurs faisant office de postes de travail distants.

Connexion Bureau à distance et navigateurs

Microsoft a corrigé quatre vulnérabilités par exécution de code à distance au sein de la fonctionnalité Connexion Bureau à distance : CVE-2019-0787, CVE-2019-0788, CVE-2019-1290 et CVE-2019-1291. Pour exploiter ces vulnérabilités, un attaquant aura besoin qu’un utilisateur se connecte à un serveur RDP malveillant ou compromis. Les vulnérabilités découvertes par Microsoft suite à un test interne sur la fonction Connexion Bureau à distance. Des patchs prioritaires sur tous les systèmes qui utilisent la fonction de connexion Bureau à distance.

SharePoint

En outre, Microsoft a publié des correctifs pour résoudre trois vulnérabilités RCE dans SharePoint : CVE-2019-1257, CVE-2019-1295 et CVE-2019-1296. L’une d’entre elles implique de télécharger une application malveillante tandis que les deux autres sont des vulnérabilités au niveau de la désérialisation dans l’API SharePoint.

Des correctifs à déployer en priorité pour tous les serveurs SharePoint.

Azure DevOps Server (anciennement Team Foundation Server)

Azure DevOps Server et Team Foundations Server (TFS) sont affectés par une vulnérabilité par exécution de code à distance (CVE-2019-1306) qui est exploitée via des téléchargements de fichiers malveillants. En effet, quiconque télécharge un fichier vers un serveur peut exécuter du code via un compte Azure DevOps/TFS. Aussi concernés les utilisateurs anonymes via des serveurs configurés pour les valider.

Un correctif prioritaire pour toutes les installations Azure DevOps ou TFS.

Attaques actives sur des vulnérabilités facilitant une élévation de privilèges

Microsoft corrige deux vulnérabilités facilitant une élévation des privilèges exploitées en aveugle.

CVE-2019-1214 est une faille dans le pilote Common Log File System (CLFS), tandis que CVE-2019-1215 concerne le pilote Winsock.

Ces deux problèmes impactent toutes les versions Windows. Corrections prioritaires. Les vulnérabilités facilitant une élévation des privilèges sont généralement utilisées avec une exécution de code à distance où cette dernière n’accorde pas de droits administratifs

Adobe

Ce mois-ci, peu de publications d’Adobe. L’éditeur a publié des correctifs pour deux vulnérabilités critiques dans le Flash Player, correctifs qui doivent être déployés de manière prioritaire sur tous les systèmes de type poste de travail Adobe a également corrigé une vulnérabilité classée comme importante concernant le chargement de DLL non sécurisé dans Application Manager.

Communiqué de presse, Fuite de données

Un tiers des Français seraient prêts à vendre leurs données personnelles à un inconnu

vendre ou être vendu ! Au cours des derniers mois, les fuites de données massives ou les scandales liés aux abus des grandes sociétés technologiques se sont multipliés, à l’image de cette révélation concernant Facebook et l’accès privilégié de certaines entreprises comme Netflix et Spotify aux données personnelles des utilisateurs. Il n’y a donc rien de surprenant à ce que 60% des internautes français perçoivent la confidentialité absolue comme une chimère à l’ère du tout-numérique. Résignés, 34% seraient prêts à accorder à un inconnu l’accès sans limite à leurs données personnelles contre de l’argent. C’est ce que révèle une étude sur la confidentialité menée par Kaspersky auprès de 11 887 consommateurs dans 21 pays.  Il en ressort qu’en matière de confidentialité et de protection de leurs données personnelles, les Français vont de paradoxe en paradoxe.

Vendre ou être vendu ! 62% des Français se déclarent très ou relativement inquiets par la collecte des informations utilisateurs faite par les éditeurs d’applications mobiles. Cette inquiétude se traduit par une attention particulière portée aux permissions : plus de 73% des répondants contrôlent les autorisations (74% pour les utilisateurs Android et 73% pour les utilisateurs d’iPhone et d’iPad).

L’opacité de la collecte d’information sur le Web est aujourd’hui source d’une perte de confiance, qui se concentre en particulier contre les entreprises qui opèrent les grands réseaux sociaux actuelles. Lorsqu’on leur demande avec qui ils ont le plus peur de partager leurs données, les Français placent les réseaux sociaux (Facebook, Twitter, etc.) en 3ème position, derrière les cybercriminels et Internet en général. Ils sont suivis par les grandes entreprises technologiques (Google, Microsoft, Apple, etc.).

C’est pourquoi il est surprenant de noter que 67% des sondés disent se moquer de partager leurs activités sur les réseaux sociaux avec quiconque.

A noter que le blog de référence ZATAZ permet aux internautes de fouilles le black market, le darknet à la recherche de données qui auraient pu leur être volées.

Données personnelles : rien à cacher, rien à craindre ?

38% des Français accepteraient de partager leur historique de recherche avec un tiers et autant partageraient leurs achats. Viennent ensuite l’historique de navigation (30%) et les informations liées à l’identité (27%). Seules les données financières se distinguent (7%).

Pourtant, seuls 7% des Français reconnaissent ne pas s’inquiéter pour la protection de leur vie privée, en ou hors ligne et 85% souhaiteraient en savoir plus sur la manière dont ils peuvent protéger leur vie privée sur le Web.

Dans les faits, l’application des bonnes pratiques est très variable. En ce qui concerne la protection des équipements, 59% des Français protègent tous leurs appareils avec un mot de passe, 43% utilisent des logiciels de nettoyage (type CCleaner), 27% vérifient systématiquement les paramètres de confidentialité et 24% couvrent leur webcam (contre 62% à l’international).

Exception française concernant le téléchargement de logiciels ou d’applications piratés : 62% des répondants n’y renoncent pas malgré les risques, contre 52% à l’international.

En matière de protection des comptes en ligne, les résultats sont tout aussi mitigés. 56% des sondés français essaient de toujours utiliser des mots de passe complexes mais seuls 38% changent régulièrement de mot de passe. Ils sont 27% à utiliser une adresse email dédiée plutôt que leur adresse email principale pour s’inscrire à des services considérés comme non prioritaires.

Les raisons qui peuvent expliquer ces disparités sont multiples, mais la résignation et l’ignorance jouent sans aucun doute un rôle majeur. 60% des Français pensent qu’il est impossible de profiter d’une confidentialité absolue et 35% reconnaissent ne pas savoir comment protéger complètement leur vie privée.

Navigation Internet : vous reprendrez bien un cookie ?

En avril 2019, la 3ème édition du baromètre DIMENSION[2] de Kantar Media témoignait d’un rejet massif de la publicité ciblée en France : 61% des consommateurs refusent d’être suivis à la trace sur la base de leurs précédentes navigations (vs 54% au niveau global).

Ce rejet se traduit-il par une adoption massive des bonnes pratiques liées à l’usage des cookies ? Pas forcément, selon l’étude de Kaspersky. Seuls 42% des Français nettoient régulièrement leur historique de navigation. Ils sont encore moins nombreux (16%) à utiliser des outils logiciels ou modules de navigateurs dédiés pour bloquer le pistage. Au total, ce sont 21,5% des français qui admettent ne jamais effacer leurs traces sur Internet. C’est très loin de nos voisins allemands, champions européens de la confidentialité : 57% nettoient régulièrement leur historique et 25% utilisent des outils adaptés.

Les modes de navigation privée n’ont pas vraiment la cote et il semble que des efforts de sensibilisation restent nécessaires pour accélérer leur adoption : 16% seulement des Français les utilisent, contre 24% à l’international.

Cybersécurité : qui a laissé la porte ouverte ?

 17% des Français reconnaissent avoir dû faire face à une compromission de leurs données personnelles. Le plus souvent, il s’agit d’un accès non autorisé à un compte en ligne (41%) ou à un appareil (28%). Dans 18% des cas, les victimes se sont fait voler leurs données et ces dernières ont ensuite été exploitées.

Ces fuites de données n’ont pas toujours des conséquences dramatiques mais elles peuvent également influer sur le moral des consommateurs. 34% des victimes rapportent avoir été stressées. En outre, elles peuvent 17% ont observé une augmentation du nombre de spams reçus et 17% ont perdu de l’argent.

Bertrand Trastour, Head of B2B sales France termine ainsi : Pas besoin d’être un expert informatique pour comprendre comment les données peuvent être détournées et exploitées contre les consommateurs. Les exemples ne manquent pas. On se souvient par exemple de la fuite de données du Marriott[3] en 2018 qui a touché plus de 500 millions de clients dont certains ont ensuite été les victims de fraudes. Ou encore le cas plus personnel d’un musicien[4] dont la petite-amie a utilisé le compte email pour refuser une bourse d’étude qui l’aurait obligé à déménager. Cela semble parfois difficile à croire mais la protection de la vie privée est encore possible sur Internet, à condition d’avoir une bonne hygiène numérique et d’appliquer quelques bonnes pratiques.

1 https://www.nytimes.com/2018/12/18/technology/facebook-privacy.html

2 https://www.kantarmedia.com/dimension/fr

3 https://www.travelandleisure.com/travel-news/marriott-paying-new-passports-after-data-breach

4 https://www.telegraph.co.uk/news/2018/06/15/clarinetist-awarded-214000-damages-girlfriend-faked-rejection/

Communiqué de presse, Securite informatique

Des failles de sécurité dans des traceurs GPS

Des failles de sécurité dans des traceurs GPS, plus d’un demi-million d’enfants et de personnes âgées concernés.

a découvert de sérieuses failles de sécurité dans le T8 Mini GPS tracker et dans près de 30 autres modèles du même fabricant, Shenzhen i365 Tech. Commercialisés pour garantir la sécurité des enfants, des personnes âgées, des animaux domestiques et même des biens personnels, ces appareils dévoilent toutes les données envoyées dans le cloud, y compris les coordonnées GPS exactes en temps réel. De plus, des défauts de conception peuvent permettre à des tiers indésirables d’usurper la localisation ou d’accéder au microphone à des fins d’écoute illicite. Les chercheurs du Threat Labs d’Avast estiment à 600 000 le nombre de traceurs non protégés utilisés dans le monde, mais ils soulignent que ces problèmes de sécurité de l’IoT dépassent largement le cadre d’un seul fournisseur.

Martin Hron, Senior Researcher, chez Avast, qui est à l’origine de cette étude, conseille aux acheteurs de ces produits de choisir une solution alternative auprès d’une marque plus fiable intégrant une la sécurité dès la conception du produit : connexion sécurisée, un chiffrement des informations.

Comme pour tout appareil prêt à l’emploi, modifier les mots de passe par défaut de l’administrateur. En choisir un complexe.

Cependant, dans ce cas précis, cela n’empêchera pas une personne motivée d’intercepter le trafic non chiffré. « Nous avons fait preuve de toute la diligence voulue en communiquant ces vulnérabilités au fabricant, mais comme nous n’avons pas eu de réponse dans le délai habituel, nous publions ce message d’intérêt public à l’attention des consommateurs et vous recommandons fortement de cesser d’utiliser ces appareils », explique Martin Hron.

Signaux d’alerte dès la sortie de l’emballage

Le Threat Labs d’Avast a d’abord analysé la procédure de démarrage du T8 Mini, en suivant les instructions pour télécharger l’application mobile à partir du site http://en.i365gps.com — en l’occurrence, un site Web desservi par le protocole HTTP plutôt que par celui du HTTPS, plus sécurisé. Les utilisateurs peuvent alors se connecter à leur compte avec le numéro d’identification attribué. Le mot de passe par défaut très générique « 123456 ».

Ces informations sont transmises via un protocole HTTP non « secure ».

Le numéro d’identification dérivé de l’International Mobile Equipment Identity (IMEI) de l’appareil ; les chercheurs ont donc pu facilement prédire et répertorier les numéros d’identification possibles d’autres traceurs de ce fabricant.

En combinaison avec le mot de passe fixe, pratiquement n’importe quel appareil suivant cette séquence de numéros IMEI étaient piratables sans le moindre effort.

Rien n’est chiffré

À l’aide d’un simple outil de recherche de commandes, les chercheurs découvrent les informations en texte brut. Sans chiffrement.

Il est encore plus inquiétant de constater que l’appareil peut envoyer des commandes qui vont au-delà de l’usage prévu de suivi GPS, telles que :

  • appeler un numéro de téléphone, permettant ainsi à un tiers d’écouter les conversations à travers le microphone du traceur ;
  • envoyer un SMS qui pourrait permettre au hackers d’identifier le numéro de téléphone de l’appareil et donc d’utiliser le SMS entrant comme vecteur d’attaque ;
  • utiliser les SMS pour rediriger la communication de l’appareil vers un autre serveur afin d’obtenir le total contrôle de cet appareil ou de fausses informations envoyées vers le cloud ;
  • partager une URL vers le traceur, permettant à un attaquant à distance de placer un nouveau firmware sur l’appareil sans même y toucher, qui pourrait remplacer complètement la fonctionnalité ou implanter un backdoor.

Sans surprise, les chercheurs ont également découvert que l’application mobile AIBEILE (disponible sur Google Play et iOS App Store) communiquait avec le cloud via un port HTTP non standard, TCP:8018, envoyant du texte brut non chiffré au terminal. Après avoir examiné minutieusement l’appareil lui-même pour analyser la façon dont il communique avec le cloud, le Threat Labs d’Avast a confirmé que les données transitent à nouveau sans être chiffrées, du réseau GSM au serveur, sans aucune autorisation.

Ce que les consommateurs devraient retirer de cette étude

Outre l’appareil qui fait l’objet de cette étude, 29 autres modèles de traceurs GPS présentant ces vulnérabilités. La plupart des fournisseurs mentionnés ci-dessus.  50 applications mobiles différentes utilisent la même plateforme non « secure ».

Les chercheurs estiment qu’il existe plus de 600 000 appareils dans la nature dont les mots de passe par défaut sont « 123456 ».

Des applications mobiles  téléchargées près de 500 000 fois. Le fabricant n’a donné aucune réponse aux avertissements.

En tant que parents, nous sommes enclins à adopter les technologies qui nous promettent de protéger nos enfants. Se renseigner sur les produits que nous achetons est indispensable.

Méfiez-vous des fabricants qui ne respectent pas les normes minimales de sécurité. Qui n’ont pas de certification ou homologation par des tiers.

Choisissez uniquement des marques en qui vous avez confiance pour protéger vos informations.

Android, backdoor, Sécurité

Nouvelle tactique furtive de faux-clics publicitaires dans des apps du Google Play Store

Une étude révèle une nouvelle tactique furtive utilisée par des applications malveillantes sur le Google Play Store consistant à cliquer automatiquement et sournoisement sur les annonces publicitaires pour générer du profit.

Cette technique furtive récemment découverte utilise des publicités intégrées – stratégiquement positionnées au-delà de la zone d’écran visible d’un appareil mobile – pour lancer un processus automatisé de clic publicitaire qui génère furtivement des revenus pour des acteurs à risque.

Deux applications populaires (IDEO Note et Beauty Fitness) présentes sur le Google Play Store.

Elle compte plus de 1,5 million de téléchargements à elles deux. Elles ont un comportement trompeur découvert par Symantec.

Les utilisateurs de téléphones mobiles affectés peuvent voir leur batterie s’épuiser. Les performances ralenties. Une augmentation de l’utilisation des données mobiles en raison de visites fréquentes sur les sites publicitaires.

L’application bloc-notes et l’app de mise en forme sont codées avec l’outil légitime développé à l’origine pour protéger la propriété intellectuelle des créations sous Android.

Cela explique également la capacité du développeur à rester sur le Play Store. Sous le radar pendant près d’un an avant détection. (étude)

Cyber-attaque, Securite informatique

Hausse de 265 % des événements liés aux attaques sans fichiers !

Échappant aux mesures de sécurité traditionnelles, les menaces 2019 mettent les systèmes de défense à rude épreuve.

Un rapport publié met en évidence une recrudescence des attaques sans fichiers (fileless) visant à masquer des activités malveillantes. En comparaison avec le premier semestre 2018, les détections de cette menace spécifique ont augmenté de 265 %. Des analyses courant sur le premier semestre 2019.

Jusqu’à présent, les constatations réalisées en 2019 confirment bon nombre des prévisions faites par Trend Micro en fin d’année dernière. Les attaquants redoublent notamment d’efforts pour cibler les entreprises et les environnements offrant le plus grand retour sur investissement.

« Sophistication et discrétion sont aujourd’hui les maîtres mots en matière de cybersécurité, à mesure que les technologies au sein des entreprises et que les attaques des cybercriminels deviennent plus connectées et intelligentes », souligne Renaud Bidou, Directeur Technique Europe du Sud, Trend Micro. « Nous avons pu constater que les hackers ont des objectifs précis, avec des attaques ciblées et ingénieuses qui exploitent de manière furtive le facteur humain, les processus et la technologie. Cependant du côté des entreprises, avec la transformation numérique et les migrations vers le Cloud, la surface d’attaque s’est considérablement élargie. Pour faire face à cette évolution, les organisations ont besoin d’un partenaire technologique capable de combiner l’expertise humaine à des technologies de sécurité avancées afin de mieux détecter, corréler, traiter et contrecarrer les menaces. »

Parallèlement à la prolifération des attaques sans fichiers, les cybercriminels déploient de plus en plus de menaces non détectables via les filtres de sécurité classiques, car elles peuvent être exécutées en mémoire d’un système, résider dans la base de registre ou usurper des outils légitimes. Les kits d’exploits reviennent également en force, avec une augmentation de 136 % en comparaison de la même période en 2018.

Attaque Fileless

Les malwares destinés au minage de cryptomonnaies demeurent la menace la plus détectée au premier semestre 2019 et touchent de plus en plus les serveurs et les environnements Cloud. Autre prévision corroborée : le nombre de routeurs impliqués dans de potentielles attaques entrantes a bondi de 64 % comparé au premier semestre 2018, avec davantage de variantes de Mirai recherchant des appareils vulnérables.
 En outre, le nombre de stratagèmes d’extorsion numérique connaît une hausse de 319 % par rapport au second semestre 2018, ce qui concorde avec les projections précédentes. Les attaques de type BEC (Business Email Compromise) constituent toujours une menace substantielle, avec une augmentation de 52 % des cas détectés comparativement aux six derniers mois. Les fichiers, e-mails et URL liés aux ransomwares continuent également de se multiplier (+77 % au cours de la même période).
Au total, 26,8 milliards de menaces au cours du premier semestre 2019 ont été bloquées, soit 6 milliards de plus qu’à la même période l’année dernière. À noter que, dans 91 % des cas, l’e-mail a été le vecteur d’infection des réseaux d’entreprises. (Rapport)
double authentification, Securite informatique

Testé pour vous, la clé double authentification SoloKeys

Après vous avoir proposé de découvrir les méthodes de double authentification offertes sur le web, Google ou encore la Yubico, voici la présentation de la Solo Tap Hacker de chez Solokeys !

Les tests que nous vous proposons sur les matériels de cybersécurité vous plaisent. Vos messages nous font plaisir et nous incitent à vous en proposer d’autres. Après vous avoir fait découvrir la double authentification de Google, Facebook, Linkedin, de l’administration d’un site web sous WordPress. Après la découverte des clés 2FA/FIDO de chez Yubico ou encore la Titan Security Key de chez Google. Voici le test de la Solokeys.

Solokeys, kesako

La solution de cybersécurité Solokeys à le goût de la clé de chez Google ; la couleur de la clé de chez Yubiko mais sa force se cache ailleurs. Cette double authentification physique tire sa force de sa communauté. C’est la première Fido Security Key open source. Bilan, les « codeurs » qui veulent mettre leur nez dans l’objet et sa programmation sont attendus les bras ouverts. Plusieurs versions sont proposées. J’ai testé la SOLO (USB) et la SOLO TAP (USB et le sans contact). Il est possible de recevoir la clé en mode « développeur ». Compter 20€ pour la SOLO ; 35€ pour la TAP. La version « je mets mes doigts dedans » coûte 20euros.

Test de la Solokeys

Le packaging arrive par la poste dans une enveloppe à bulle. J’avoue que pour avoir eu des colis de ce type arriver dans le même type d’enveloppe me laisse des sueurs froides sur le front. Je me souviens encore de cette enveloppe à bulle… et les traces de roues de ce qui semblait être une moto. L’objet à l’intérieur était littéralement DÉFONCÉ !

En ce qui concerne la SoloKeys, pas de problème. Le colis est arrivé en 20 jours après le paiement.

Les clés sont dans une seconde enveloppe métallisée, celle qui protègent les appareils électroniques de l’électricité statique. Selon la clé, vous recevrez dans votre colis la clé nue et deux protections en caoutchouc. A noter que j’ai cassé une des clés commandées rien qu’en tentant de mettre la protection noire. La clé à fait… crick, crack. Je mettrais cela sur mon petit côté « gros doigts de bourrin ». Une fois la seconde clé protégée par sa ganse rouge, son utilisation est fort simple. D’ailleurs, la page proposant sa mise en route est l’une des plus claire rencontrée. Pour authentifier la clé, il suffit de se rendre dans les espaces de Validation en deux étapes et activer la clé. Google c’est par ici ; Facebook c’est par .

La SoloKeys est très simple d’utilisation… et modifiable. Son code est open source.

Résistance et confiance ?

La force de la Solo keys réside dans son code source ouvert. Son matériel (fabrication) l’est tout autant. Autre détail loin d’être négligeable, surtout pour ceux qui craignent les Américains, les Russes, la Corée du Nord et les extraterrestres, le processeur et le circuit imprimé sont fabriqués et programmés en Europe. Côté résistance physique. Comme déjà indiqué, j’ai « cassé » une clé en voulant la placer dans son étui en latex. J’en ai cassé une autre en voulant l’accrocher à un porte clé. Côté étanchéité. Un passage en machine à laver n’a pas altérée le fonctionnement de la clé.

En conclusion. La Solokeys Une excellente alternative pour ceux qui ne souhaitent pas passer par les géants du secteur. La double authentification étant un outil indispensable dans votre panoplie cybersécurité.

backdoor, Cybersécurité

La Gendarmerie Nationale coupe l’infiltration de Retadup

7 commentaires

960 000 ordinateurs de part le monde désinfectés du code malveillant Retadup par le centre de lutte contre les criminalités numériques de la Gendarmerie Nationale.

Les militaires du centre de lutte contre les criminalités numériques (C3N) ont frappé fort en faisant taire le code malveillant Retadup. Après une prise de contrôle du serveur permettant de contrôler plus de 960 000 machines de part le monde, les cyber gendarmes ont désinfectés les machines zombies.

Un sacré coup de frein aux actions malveillantes d’un groupe de pirates connus pour agir de Palestine.

Retadup est un cheval de Troie permettant de surveiller un ordinateur, intercepter les frappes claviers. Il peut aussi mettre la main sur les données financières, dont des cryptomonnaies. ZATAZ explique que la furtivité du logiciel pirate fait de lui un code malveillant redoutable.

ID, Mise à jour

Infiltration de votre agenda Google

Un commentaire

Retour en force du spam via l’agenda Google. Une attaque que les malveillants ressortent de leur tiroir.

Plusieurs lecteurs de Data Security Breach se sont étonnés de mystérieux messages apparus dans leur agenda Google. Des rendez-vous proposant des rencontres via des sites pour adultes.

Bref, un spam et des publicités non sollicités via ce support.

La technique est assez simple, elle permet des phishings efficace.

L’interlocuteur malveillant annonce un rendez-vous avec vous. Si vous avez mal configuré votre compte Agenda, le rendez-vous s’affiche dans votre agenda. J’avoue profiter de cette option chez des potes qui utilisent l’enceinte connectée Google et l’Agenda. Cela permet d’énoncer des rendez-vous… particuliers !

Ce qui est intéressant est que l’alerte mail termine dans les spams. Mais l’Agenda valide l’invitation. En juin 2019, Kaspersky se faisait l’écho de ce spam.

Originalité des pirates

Les menaces de spam et de phishing qui exploitent des vecteurs d’attaque non traditionnels peuvent être lucratives pour les criminels, car elles peuvent souvent tromper avec succès des utilisateurs qui pourraient ne pas craindre une attaque plus évidente.

Cela est particulièrement vrai en ce qui concerne les services légitimes de confiance, tels que les fonctionnalités de calendrier de messagerie, qui peuvent être exploitées via ce qu’on appelle le « phishing de calendrier« .

Dans cette attaque, les agenda se retrouvent avec des rendez-vous qui se répètent sur 7 jours.

La force de Google étant aussi la géolocalisation. Les spammeurs intègrent des invitations personnalisées selon votre localisation. Bilan, les annonces affichent l’Apple Store le plus proche de chez vous pour être plus convaincant.

Pour vous protéger, rien de plus simple.

Désactivez l’ajout automatique d’invitations à votre calendrier. Pour ce faire, ouvrez Google Agenda, cliquez sur les paramètres, puis sur Paramètres d’événement.

Pour l’option « ajouter automatiquement des invitations« , cliquez sur le menu déroulant et sélectionnez « Non, ne montrer que les invitations auxquelles j’ai répondu« .

En dessous, dans la section Options d’affichage, assurez-vous que la case « Afficher les événements refusés » ne soit PAS cochée, à moins que vous ne souhaitiez spécifiquement les afficher.

Chiffrement, Sauvegarde

Protéger ses transferts de fichiers avec castrum.io

Castrum.io, une jeune pousse de la cybersécurité Française propose une solution pour sécuriser vos transferts de fichiers. Découverte !

Castrum est un projet 100% Français. Mission, permettre une sécurité optimale dans le transfert de fichier.

L’idée est apparue en 2016 via la SSII Ex Algebra. Depuis, la jeune pousse de la cybersécurité a mûri son projet au point que des cabinets d’avocats utilisent ce service.

Castrum.io se veut un projet permettant de proposer un système de gestion de fichier, un peu à la Dropbox. Mission, partager des fichiers, tout en gardant le contrôle total sur le partage.

« Nous sommes parti d’un constat simple, explique Michel Gashet, les partages de fichiers débutent très souvent par un mail, non chiffré. Perte complète du contrôle, l’information reste dans la boite électronique du destinataire« . Bilan, Castrum se propose de servir d’espace de stockage sécurisé afin de partager vos fichiers.

Il est possible de paramétrer un mot de passe pour accéder au fichier (Il n’est pas envoyé dans le mail qui communique le lien d’accès). Le diffuseur doit partager le mot de passe par un autre moyen de contact de confiance : téléphone, remise en main propre.

Une durée d’expiration du lien (valide un mois, par exemple); un nombre d’accès autorisé (pas plus d’un certain nombre). Et même la possibilité d’autodétruire le fichier quand son partage a expiré.

L’hébergement se fait uniquement en France. Chaque client à son propre serveur. Les disques sont chiffrés.

Comment ça marche ?

Après la connexion, vous choisissez le fichier à partager. Taille maximale de ce dernier, 1Go (dans la version démo). Une taille qui pourra évoluer selon les besoins. Un studio de création graphique utilisateur diffuse du 8Go sans problème.

Vous l’envoyez sur votre serveur sécurisé Castrum.

Il ne reste plus qu’à envoyer un mail ou de récupérer le lien de téléchargement. Une adresse web codée à communiquer à votre contact.

Les actions s’affichent dans votre administration. « Le fichier « 92829 », partagé le 27/08/2019, n’a pas encore été chargé. Quand ce dernier a été vu, votre admin l’affiche avec le nombre de téléchargement. J’avoue que rajouter l’heure et la zone géographique du téléchargement pourrait rassurer. En cas d’interception, cela pourrait être un détail important d’action rapide. L’heure est cependant disponible dans l’espace « fichier partagé ».

Côté coût, 38 euros HT/mois pour 500 fichiers partagés par jour, maximum 2 Go par fichier. Parfait pour une PME/PMI qui souhaite utiliser un canal chiffré et contrôlé de bout en bout (exemple d’utilisation moyen pour une PME). « Un nombre de fichier qui peut évoluer sans surcoût« .

Bref, une idée qui germe de manière fort sympathique. Castrum est RGPD-ready. Le site vous simplifie toutes les étapes pour le respect des données personnelles. Parmi les projets à venir, l’accès aux logs plus poussés des fichiers partagés comme permettre d’avoir des preuves d’accès aux fichiers et de la moindre action sur le compte.

cryptomonnaie, Fuite de données

Centrale nucléaire : fabrique pirate de cryptomonnaie

Les services secrets ukrainiens viennent de mettre la main sur du matériel pirate dans la seconde centrale nucléaire du pays. Quelqu’un minait de la cryptomonnaie.

Ce n’est pas un cas unique, la Russie et de nombreuses universités ont déjà eu à faire à ce genre d’infiltration. La seconde centrale nucléaire d’Ukraine était exploitée par un pirate pas comme les autres. Les services secrets du pays ont découvert du matériel permettant de miner des cryptomonnaies. L’usine, située à Yuzhnoukrainsk, hébergeait six cartes vidéo Radeon RX 470.

Du matos caché dans une aile administrative. Elle n’était pas en lien direct avec la centrale. Le fait d’utiliser les ressources de la société est un délit.

Le même jour, des perquisitions effectuées dans les locaux utilisés par l’unité militaire 3044 (Garde nationale de l’Ukraine – Éd.), Située sur le territoire de la centrale nucléaire du sud de l’Ukraine. À la suite de la recherche, 16 cartes vidéo, une unité centrale avec le numéro d’inventaire de l’unité militaire, sept disques durs, deux disques SSD, un lecteur flash USB et un routeur saisis .

De fuites…

2017, les activistes du mouvement éclair mobilisateur #fuckresponsibledisclosure initié par l’Ukernian Cyber ​​Alliance constatent des problèmes de sécurité chez Energoatom.

Décembre 2017, l’hacktiviste Dmitry Orlov signale une fuite de données à la centrale nucléaire de Zaporizhzhya. Accès libre à la documentation interne.

Octobre 2018, Alexander Galouchtchenko, expert en sécurité, découvre des documents liés aux travaux de la centrale nucléaire.

19 mars 2019, la police ouvre une procédure pénale pour un cas d’ingérence dans le fonctionnement du réseau de la centrale. Trois employés du département de la sécurité nucléaire impliqués.

Et demain ?

En 2015, Data Security Breach vous expliquait comment des chercheurs s’inquiétaient des installations. De plus et plus dépendantes des systèmes numériques. la sensibilisation de haut niveau des menaces liées à la cybersécurité stagne. « Les récentes attaques de grande envergure ont soulevé de nouvelles inquiétudes concernant les failles de sécurité des cyber d’installations nucléaires », commentait le rapport.

Communiqué de presse, Entreprise, Fuite de données

Quels sont les derniers fichiers modifiés/consultés sur votre partage de fichiers Windows ?

Pour de nombreuses normes de conformité, vous devez être en mesure de répondre à certaines questions comme « Qui a accédé à quel fichier ? Quels changements ont eu lieu ? ». Pour des raisons évidentes de sécurité, vous devez être capable d’identifier facilement une activité sur vos fichiers et dossiers partagés les plus sensibles et de réagir en cas de menace. Explication par notre partenaire IS Decisions.

FileAudit offre à la fois aux professionnels de l’informatique une visibilité optimale les données de l’entreprise, mais également une possibilité de réagir rapidement aux événements.

Trouver les derniers fichiers consultés/modifiés

Une fois l’audit configuré, je peux voir en temps réel les accès qui se produisent sur les partages que j’ai sélectionnés, à partir de l’observateur d’accès.

Je peux voir la date et l’heure, le fichier ou le dossier auquel on a accédé, le type d’accès, le refus ou l’octroi, l’utilisateur qui a tenté d’accéder au fichier, la machine à partir de laquelle l’accès a été effectué avec son adresse IP et le serveur sur lequel le fichier est stocké.

Surveiller les accès refusés

Lorsque je suis sur l’observateur d’accès, je peux facilement voir qu’il existe des accès refusés à certains dossiers. Je peux donc aller de l’avant et examiner de plus près ce dossier pour voir qui a tenté d’y accédé. Nous prendrons ici l’exemple d’un utilisateur dénommé Alice et de dossiers appelés « Accounting » et « Peopleopps ».

Je vais ensuite regarder de plus près l’activité générale de cet utilisateur en cliquant sur son nom d’utilisateur. J’obtiens un tableau de bord de l’activité d’Alice des derniers jours et semaines.

Cela me permet de voir s’il y a eu beaucoup d’accès refusé par cet utilisateur. Je peux faire défiler davantage et voir tous ces accès vers tous ces fichiers et dossiers qui ont été lus à la même heure le même jour. S’ils se sont produits simultanément, cela peut m’amener à penser qu’Alice sélectionne un grand nombre de fichiers et les copie sur un lecteur externe ou éventuellement sur son bureau.

Une fois cette vue détaillée obtenue, je peux l’exporter au format PDF au cas où je souhaiterais l’envoyer à un responsable ou au cas où d’autres alertes viendraient de cet utilisateur.

Définir des alertes

La prochaine étape que je souhaite mettre en place consiste à envoyer des alertes proactives au cas où de tels accès se reproduiraient. Je peux donc accéder à l’onglet d’alertes et à partir de là créer mes alertes.

Ce que je vais faire en premier lieu, c’est créer une alerte d’accès unique pour les accès refusés sur les dossiers sensibles Accounting et Peopleops.

Très facilement, il me suffit de sélectionner le statut d’accès « refusé », de laisser tous les types d’accès et d’entrer l’utilisateur Alice. Il faut ensuite sélectionner les deux chemins que nous avons vus précédemment, Accounting et Peopleopps et valider. Je peux enfin simplement choisir le destinataire de l’e-mail et je peux également ajouter un canal Slack où tous les administrateurs recevront des messages afin qu’ils puissent les voir également.

La deuxième alerte que je vais mettre en place s’agit d’une alerte d’accès en masse pour Alice, en raison de l’activité sur plusieurs fichiers ou dossiers accédés en même temps, montrant qu’elle pourrait copier ou déplacer un grand nombre de fichier.

Je vais laisser le statut et les types d’accès, je vais juste ajouter ici à nouveau notre utilisateur Alice et je vais définir un seuil que je vais définir assez bas. Je vais dire que si 25 fichiers ou dossiers sont consultés en l’espace de 30 secondes, j’aimerais que cette alerte soit déclenchée. Pour les chemins à surveiller, je vais mettre tout ce qui est audité, je ne vais pas exclure d’heures, mais je vais ajouter les destinataires de l’e-mail et choisir les mêmes qu’auparavant, l’e-mail de l’administrateur et mon canal Slack qui reçoit toutes ces alertes. Il suffit de valider, sauvegarder cette alerte et maintenant, j’ai la configuration de mes deux alertes.

Réagir aux alertes d’accès suspects

En plus de la surveillance en temps réel et de l’identification des menaces, vous devez être en mesure d’agir sur les menaces potentielles.

FileAudit peut réagir immédiatement à une alerte sans avoir à attendre que le service informatique intervienne. Un script personnalisé peut être créé et exécuté chaque fois qu’une alerte spécifique est déclenchée.

Je peux par exemple arrêter la machine d’Alice ou bien la déconnecter. Cela me permet d’agir sur les menaces potentielles avant que tout dommage ne soit causé.

C’est ainsi que vous pouvez utiliser FileAudit pour voir les accès sur vos fichiers ou vos dossiers, générer des rapports, configurer des alertes de manière proactive et réagir en cas de comportement suspect sur votre réseau.

Cliquez ici pour voir une courte démo explicative de FileAudit.

Ne vous fiez pas à ce que nous disons, téléchargez dès maintenant l’essai gratuit entièrement fonctionnel et constatez par vous-même avec quelle facilité FileAudit peut vous aider à identifier une activité sur vos fichiers et dossiers partagés les plus sensibles.