Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Cyberattaques : l’immobilisation des entreprises coûte bien plus cher qu’on ne le pense

Il faudra s’y habituer, la digitalisation croissante amène avec elle son lot de problèmes et parmi ceux-ci se trouvent les cyberattaques. Leur puissance et leur structure varient selon la cible choisie mais la conséquence est identique pour toutes les victimes : une immobilisation totale ou partielle de l’appareil productif pour une durée indéterminée. S’en suit alors un véritable chemin de croix pour les structures qui cherchent à se remettre de ces attaques.

Cyberattaque : une méthodologie précise et difficilement détectable

A l’origine de telles attaques se trouve, encore et toujours, l’argent comme principale motivation. Qu’il soit réclamé via une demande de rançon ou obtenu par la revente de données entreprises, il est toujours au centre des préoccupations des hackers. Pour parvenir à leurs fins, ces derniers doivent donc déployer une stratégie qui nécessite parfois plusieurs mois de préparation selon la structure ciblée. Dans certains cas, les hackers cherchent à s’infiltrer très tôt et mettent leurs programmes en dormance via la technique de l’obfuscation. Ils peuvent ainsi effacer leurs traces et déclencher leur attaque quelques semaines/mois plus tard.

Au cœur de la méthodologie d’une cyberattaque, la première étape est celle de la reconnaissance, elle consiste à récupérer un maximum d’informations – mails, téléphones, noms – sur une ou plusieurs personnes de l’entreprise. Cette phase de social engineering permet de trouver un point d’entrée qui est, dans la majorité des cas, celui de l’email. Qu’il s’agisse d’employer la méthode du phishing, l’installation de malware ou en ayant recours aux arnaques au président, l’objectif, une fois à l’intérieur des systèmes d’informations, est d’effectuer des mouvements latéraux permettant aux hackers d’infiltrer et de toucher d’autres éléments du réseau de l’entreprise. L’attaque se déploie plus largement et capte ainsi davantage de données et paralyse les serveurs internes.

Une production durement et durablement touchée

L’un des premiers réflexes pour les entreprises est de couper leurs systèmes d’informations pour limiter la casse et éviter que l’attaque ne se propage davantage en interne. Un réflexe de survie qui leur permet d’organiser une riposte et d’accélérer le retour à une situation normale. Si les directions des systèmes d’information, pour les entreprises qui en disposent, sont sur le pied de guerre pour colmater les brèches, elles ne peuvent cependant que constater les dégâts causés.

Et ces derniers peuvent avoir un impact très important sur la production et la mener à son immobilisation pendant un certain temps. En témoigne la récente cyberattaque dont a été victime Colonial Pipeline, un important réseau d’oléoducs qui transporte près de 45% des carburants de la côte Est des Etats-Unis, et qui a provoqué un arrêt de l’approvisionnement durant plusieurs jours. Cela a généré des mouvements de panique au sein de la population qui ont eu pour conséquence des pénuries dans certaines stations essence. En fin de compte, la société a dû verser près de 4,4 millions de dollars de rançon aux hackers.

Des exemples comme celui-ci montrent qu’une immobilisation de la production, même de courte durée, peut entraîner de lourdes pertes financières pour les entreprises touchées par les cyberattaques ainsi que pour les acteurs de leur écosystème.

Prévention des cyberattaques : un défi humain

Dans un processus de retour à la normale, il est possible que certaines entreprises décident de payer immédiatement une rançon contrairement à d’autres qui tentent de contrer l’intrusion dans leur système d’information. Dans les deux cas, il n’est jamais tout à fait certain que ce type d’attaque ne se reproduise pas. Il est donc utile de s’assurer en interne qu’il existe une stratégie de prévention comme les plans de reprise d’activité (PRA) qui se déclenchent à la suite d’un sinistre. Cela revient également à investir dans des solutions de protection d’application ainsi que dans celles qui visent à détecter les attaques et à les bloquer en amont. En somme, Il ne s’agit pas de savoir si le système d’information sera touché, mais plutôt quand il le sera.

Malgré toutes les dispositions technologiques prises, de nouvelles attaques toujours plus puissantes et vicieuses parviendront à contourner les nombreux systèmes de sécurité mis en place par les entreprises. L’un des enjeux de ces prochaines années se situe donc au niveau de la prévention humaine. L’idée d’un firewall humain n’est possible que si les collaborateurs d’une entreprise sont formés à reconnaître les signes d’une cyberattaque. Cet aspect sera d’autant plus important que la transition digitale des entreprises s’est largement accélérée depuis la crise du Covid-19 et avec elle le nombre de cyberattaques qui a été multiplié par quatre entre 2019 et 2020 en France. Il est donc essentiel et urgent d’instaurer un système de responsabilité partagée qui permettra, à défaut d’atteindre le risque zéro, de préparer au mieux les entreprises à de futures attaques.

CHARMING KITTEN : des pirates venus d’Iran

Alors qu’ils ciblaient en mars dernier les éminents chercheurs en médecine via des campagnes de phishing principalement aux États-Unis et en Israël, l’acteur malveillant TA453, qui serait affilié au gouvernement iranien, également connu sous les noms de CHARMING KITTEN et PHOSPHORUS, est de retour avec une nouvelle campagne de leurres par email.

Baptisée « SpoofedScholars », cette opération représente l’une des campagnes les plus sophistiquées de TA453 selon la société en cybersécurité Proofpoint. Cet acteur malveillant procèderait en usurpant des infrastructures légitimes et reconnues pour atteindre leurs cibles. C’est en initiant des campagnes d’emails malveillants que TA453 a pu obtenir illégalement l’accès à un site Web appartenant à une institution universitaire de renommée mondiale afin de récolter les identifiants des cibles victimes.

SpoofedScholars

Les attaques de TA453 sont toujours plus innovantes et complexes. La finalité de l’opération « SpoofedScholars » ? Dérober des informations qui seront ensuite détenues par l’IRGC (Corps des gardiens de la révolution iranienne). Pour le moment, rien ne prouve la réelle appartenance de ces pirates avec l’IRGC.

C’est après avoir établi une pseudo relation de confiance par le biais de nombreuses conversations, que TA453 a pu infiltrer les systèmes d’information de ses infrastructures cibles comme l’Université de Londres. En effet, TA453 fournissait dans ses échanges par emails, un « lien d’enregistrement » vers un site Web compromis hébergeant une page de collecte d’informations d’identification de la radio SOAS de l’Université de Londres.

Ce site de phishing, aux apparences trompeuses était en réalité configuré pour dérober une variété de données d’identification.

Sur la durée, TA453 a changé de tactique et a décidé de fournir le lien d’enregistrement phishing plus tôt et plus furtivement dans ses interactions avec ses cibles, rendant ainsi la phase de conversation non-nécessaire.

Bien qu’à l’heure actuelle cette campagne ait été démasquée et qu’une partie du groupe de TA453 ne semblent plus être actifs, la société estime avec une grande confiance que TA453 continuera d’usurper les universitaires du monde entier pour soutenir les opérations de collecte de renseignements de TA453 en faveur des intérêts du gouvernement iranien. Les universitaires, les journalistes et le personnel des groupes de réflexion devront redoubler de vigilance et vérifier l’identité des personnes qui souhaiteront échanger avec eux par mail pour des opportunités professionnelles.

Plainte de France Digitale contre Apple auprès de la CNIL

La CNIL s’est reconnue compétente pour instruire la plainte de France Digitale s’agissant d’une possible violation par Apple du droit d’opposition de l’utilisateur.

Sans surprise pour l’association, s’agissant des éventuelles infractions au RGPD, en application du guichet unique, la CNIL a transmis pour instruction la plainte à son homologue irlandaise déjà saisie d’une plainte similaire. Cette transmission ne préjuge en rien du bien ou mal fondé de la plainte de France Digitale mais privilégie la compétence de l’autorité du lieu du principal établissement européen d’Apple. La CNIL retient néanmoins définitivement sa compétence pour instruire la plainte de France Digitale s’agissant d’une possible violation par Apple du droit d’opposition prévu à l’article 82 de la loi Informatique et Libertés, relatif notamment au droit
d’opposition de l’utilisateur d’un service de communication électronique.

Rappel du contexte

France Digitale représente près de 1800 start-ups et investisseurs du numérique français. En mars 2021, l’association a saisi la CNIL pour leur faire part d’un constat simple: les publicités personnalisées au bénéfice de la plateforme Apple sont aujourd’hui activées par défaut (voir sur le terminal en allant dans Confidentialité->Publicité). Il pourrait s’agir d’une atteinte manifeste, grave et répétée au RGPD et à la directive “e Privacy”.

C’était une première mondiale : jamais une association de startups n’avait ouvert de contentieux contre le géant de Cupertino.

Pour l’association, cette plainte vise à mettre en évidence l’inégalité de traitement que produit l’App Tracking Transparency (ATT). En effet, Apple a instauré une distinction entre les applications exploitées par des entreprises affiliées à Apple et les applications dites tierces. Ces dernières relèvent de l’ATT qui exige que leur utilisateur consente à la collecte et au traitement de leurs données. Les applications exploitées par des entreprises affiliées relèvent, elles, d’un ciblage publicitaire activé d’office sur le terminal, sans action de l’utilisateur.

Non contente d’instaurer une distorsion entre ces deux catégories d’applications, Apple semble heurter frontalement les règles du RGPD qui exigent, notamment, que la collecte et le traitement des données personnelles fassent l’objet d’un consentement exprès et spécifique. La présomption de consentement de l’utilisateur, caractérisée par l’activation d’office du suivi publicitaire, est susceptible de heurter le droit des données personnelles.

Instruction de la plainte par la CNIL

Par un courrier datant de fin mai adressé à l’association, la CNIL s’est reconnue compétente pour instruire la plainte de France Digitale.

Sans surprise pour l’association, s’agissant des éventuelles infractions au RGPD, en application du guichet unique, la CNIL a transmis pour instruction la plainte à son homologue irlandaise déjà saisie d’une plainte similaire.

A ce sujet, Benoist Grossmann, Co-Président de France Digitale et CEO Eurazeo Investment Manager, indique que “France Digitale va se rapprocher de l’autorité irlandaise pour suivre étroitement l’instruction. Celle-ci visera le non-respect par Apple des règles relatives au consentement en matière de données personnelles.”

Cette transmission ne préjuge en rien du bien ou mal fondé de la plainte de France Digitale mais privilégie la compétence de l’autorité du lieu du principal établissement européen d’Apple.

La CNIL retient néanmoins définitivement sa compétence pour instruire la plainte de France Digitale s’agissant d’une possible violation par Apple du droit d’opposition prévu à l’article 82 de la loi Informatique et Libertés, relatif notamment au droit d’opposition de l’utilisateur d’un service de communication électronique.

Perspectives contentieuses

Pour Benoist Grossmann, Co-Président de France Digitale : “Qu’une décision de sanction intervienne en Irlande et/ ou en France, un contentieux judiciaire pourra se déployer contre Apple devant les juridictions françaises. En effet, s’il apparaît que la violation du droit des données personnelles a causé un préjudice aux entreprises du numérique françaises, comme nos startups, ces dernières pourront en agir en responsabilité à l’encontre d’Apple.

Le ransomware Ryuk cible désormais les serveurs Web

Nouvelles conclusions sur les opérations stratégiques du groupe Ransomware-as-a-Service – Ryuk. Ryuk est un ransomware exclusivement utilisé dans des attaques ciblées – détecté comme Ransom-Ryuk –  il chiffre les fichiers d’une machine et demande un paiement en crypto-monnaie Bitcoin pour divulguer les clés utilisées lors du chiffrement. Les résultats dévoilent que ce nouvel échantillon Ryuk cible également les serveurs Web.

Le ransomware a pour la première fois été observé en août 2018 lors d’une campagne qui a ciblé plusieurs entreprises. L’analyse des premières versions du ransomware a révélé des similitudes et un code source partagé avec le ransomware Hermes – un malware vendu sur des forums clandestins, qui a été utilisé par de multiples acteurs malveillants.

Pour chiffrer les fichiers, Ryuk utilise une combinaison de chiffrement symétrique AES (256 bits) et asymétrique RSA (2048 bits ou 4096 bits). La clé symétrique est utilisée pour chiffrer le contenu du fichier, tandis que la clé publique asymétrique est utilisée pour chiffrer la clé symétrique. Lors du paiement de la rançon, la clé privée asymétrique correspondante est révélée, ce qui permet de déchiffrer les fichiers cryptés.

En raison de la nature ciblée du ransomware Ryuk, les premiers vecteurs d’attaque sont adaptés à la victime. Parmi eux, les plus courants sont : les emails d’harcèlement, l’exploitation d’identifiants compromis pour accéder à des systèmes à distance. À titre d’exemple, la combinaison d’Emotet et de TrickBot a souvent été observée dans les attaques de Ryuk.

Se protéger des ransomwares

Les équipes IT doivent être à l’affût de toutes traces et comportements en corrélation avec des outils de pentest open source tels que winPEAS, Lazagne, Bloodhound et Sharp Hound, ou des cadres de piratage tels que Cobalt Strike, Metasploit, Empire ou Covenant, ainsi que du comportement anormal d’outils non malveillants avec un double usage. Ces outils considérés légitimes (comme ADfind, PSExec, PowerShell, etc.) peuvent être utilisés pour l’énumération et l’exécution. Il faut également être attentif à l’utilisation anormale de Windows Management Instrumentation WMIC (T1047).

En examinant d’autres familles similaires de Ransomware-as-a-Service, l’équipe de recherche McAfee Entreprise a réalisé que certains vecteurs d’entrée sont assez courants chez les criminels du ransomware :

  • Le Spear Phishing (T1566.001) est souvent utilisé pour  s’insérer directement au sein d’un réseau. L’e-mail de phishing peut également être lié à une souche de malware différente, qui sert de chargeur et de point d’entrée aux attaquants pour continuer à compromettre le réseau de la victime. Ce phénomène a été observé dans le passé avec des programmes comme Trickbot et Ryuk ou Qakbot et Prolock, etc.
  • L’exploitation d’applicationgrand public (T1190) est un autre vecteur d’entrée courant, car les cybercriminels s’informent sur les dernières annonces (cyber)sécurité et sont toujours à l’affût d’une nouvelle tentative. Les entreprises doivent être rapides et diligentes lorsqu’il s’agit d’appliquer les mises à jour de solutions de sécurité. Il existe de nombreux exemples dans le passé où des vulnérabilités concernant des logiciels d’accès à distance, des serveurs web, des équipements de périphérie de réseau et des pare-feu ont été utilisées comme point d’entrée.
  • L’utilisation de comptes valides (T1078) a toujours été une méthode éprouvée par les cybercriminels pour s’immiscer au sein de différents réseaux. L’accès RDP faiblement protégé est un excellent exemple de cette méthode d’entrée.
  • Les Infostealers (logiciel malveillant) peuvent également obtenir des comptes valides en volant les identifiants sur l’ordinateur d’une victime. Les journaux d’Infostealer contenant des milliers d’identifiants peuvent être achetés par les criminels du ransomware pour rechercher des identifiants VPN et d’entreprise. C’est pourquoi, les organisations doivent absolument disposer d’un système robuste de gestion d’identifiants et d’authentification automatique des comptes utilisateurs.

Principales conclusions :

  • Le ransomware Ryuk est exclusivement utilisé dans des attaques ciblées
  • Le dernier échantillon cible désormais les serveurs web
  • La nouvelle note de rançon invite les victimes à installer le navigateur Tor pour faciliter le contact avec les acteurs malveillants
  • Après le chiffrement du fichier, le ransomware imprime 50 copies de la note de rançon sur l’imprimante par défaut.

Le stalking, la malveillance amoureuse du 21e siècle ?

Une étude révèle que 61 % des adultes Français, âgés de 18 à 39 qui ont déjà été en couple, ont déjà stalké en ligne leur partenaire actuel ou leur ex.

Les résultats d’étude relative aux comportements d’harcèlement en ligne des consommateurs affiche des chiffres étonnant et inquiétant. Cette nouvelle étude met en lumière des différences générationnelles frappantes dans les tendances de cyberharcèlement des Français dans les relations amoureuses modernes. Plus de la moitié des Français de la génération Z et millienials (61 % des 18-39 ans) admettent avoir « stalké » en ligne leur ancien ou leur partenaire actuel, à leur insu, soit trois fois plus que les personnes de 40 ans et plus (18 %).

Traqueur né !

Près d’un tiers des Français (33 %) ayant déjà été en couple admet avoir « traquer » un ex ou un partenaire actuel en ligne en prenant de ses nouvelles à son insu et sans son consentement. Le plus alarmant ? 31 % des jeunes Français (18-39 ans) actuellement en couple estiment que leur partenaire est susceptible d’installer une application de stalking – autrement appelée « creepware » ou « stalkerware » – sur leur(s) appareil(s) pour surveiller ses activités numériques et passer en revue les textos, l’historique des appels téléphoniques, les messages directs, les e-mails et les photos. Ce chiffre est largement supérieur au pourcentage de Français âgés de 40 ans ou plus qui pensent la même chose (8 %). Parmi ceux qui ont admis avoir harcelé en ligne un partenaire actuel ou un ex , les principaux facteurs qui les auraient poussés à le faire, la curiosité (43 %) et le manque de confiance (30 %) se hissent en tête. 24% d’entre eux voulaient savoir avec qui ils étaient et 23% savoir ce qu’ils faisaient.

Les moins de 40, adepte du stalking ?

D’après Catherine Lejalle, chercheuse et sociologue sur les comportements des consommateurs en ligne « L’étude pointe des différences selon les âges et les genres. La pratique du stalking est plus forte chez les moins de quarante ans et chez les hommes. Or, elle s’inscrit dans un contexte sociétal où les valeurs phares sont la transparence et l’absence d’engagement. L’étude montre que les pratiques sont en dissonance avec les discours. Prôner la transparence et mettre en scène sa vie sur les réseaux sociaux permettent-ils de garder une part cachée en coulisses qui donne à l’autre le sentiment qu’on lui échappe ? Chanter la liberté et l’ouverture dans le couple est-il compatible avec le besoin ontologique de réassurance qui sommeille en chacun de nous ? L’étude suggère des réponses tranchées à ces deux interrogations. »

Ces nouvelles conclusions sont publiées dans le 2021 Norton Cyber Safety Insights Report (NCSIR). Réalisé en partenariat avec The Harris Poll, ce rapport a interrogé plus de 10 000 personnes dans 10 pays , dont 1 000 adultes Français, afin d’évaluer les habitudes en ligne des consommateurs et les domaines dans lesquels elles peuvent dévier vers le cyberharcèlement.

« Nous émettons des avertissements à l’intention de nos clients pour les prévenir de la présence d’applications de stalkerware potentielles sur leurs appareils. Notre dernière étude des menaces montre que l’utilisation de cette technologie invasive ne cesse de croître. Entre septembre 2020 et mai 2021, notre équipe de recherche a constaté́ une hausse de 63 % du nombre d’appareils infectés par des stalkerwares, soit l’équivalent de plus de 250 000 appareils compromis« , explique Kevin Roundy, directeur technique et spécialiste des stalkerwares au sein de la division de recherche de NortonLifeLock, Norton Labs.

Le stalkerware est une technologie disponible dans le commerce, qui peut être installée sur un appareil afin de surveiller l’activité à l’insu de l’utilisateur. Il faut généralement qu’une personne ait un accès physique à un appareil pour l’installer. Le stalkerware consomme la plupart du temps beaucoup d’énergie et de données et peut donc se faire remarquer en ralentissant les performances de l’appareil, en épuisant la batterie ou en augmentant la consommation de données. Si vous suspectez un stalkerware, il est indispensable de vérifier les paramètres et les autorisations de l’appareil pour vérifier si des applications inconnues ont accès à des éléments personnels tels que la localisation et le microphone, ou si des applications inconnues sont présentes sur l’appareil.

Inoffensif de stalker son partenaire ?

Les résultats du rapport démontrent qu’environ un tiers des Français âgés de 18 à 39 ans (31 %) estiment qu’il est inoffensif de stalker son partenaire actuel ou un ancien partenaire, soit deux fois plus que les Français de plus de 40 ans et plus qui sont de cet avis (15 %). Plus de la moitié des jeunes Français (52 %) cautionnent le stalking en ligne si l’un des partenaires ou les deux ont été infidèles ou sont soupçonnés de l’être et admettent qu’ils seraient plus susceptibles de stalker à leur tour un amant ou un ex s’ils savaient qu’ils ne se feraient pas prendre.(36 %). Il convient de noter que près de deux Français sur dix âgés de 18 à 39 ans et ayant déjà eu une relation amoureuse (17 %) admettent avoir utilisé les appareils ou les applications de santé de leur partenaire pour surveiller secrètement leur activité physique. On estime que 2,6 millions de personnes en France (5 % des adultes) ont utilisé un logiciel de harcèlement ou un logiciel de repérage, ce qui illustre l’ampleur du problème.

La familiarité avec le « stalkerware » ou « creepware » est faible. En France, 8 % en sont familiers, 23% en ont seulement entendu le nom et 68 % n’en ont jamais entendu parler, mais les jeunes adultes sont beaucoup plus susceptibles que leurs homologues plus âgés d’en être familiers (19 % chez les moins de 40 ans contre 3 % chez les 40 ans et plus). Consulter le téléphone de son partenaire (17%) et leur navigateur de recherche (15%) sont les formes les plus courantes de stalking en ligne chez les Français qui ont été en couple.

En France, les hommes sont presque deux fois plus susceptibles que les femmes d’utiliser des applications invasives pour espionner leur partenaire. 8 % des hommes qui ont été en couple ont utilisé un creepware ou un stalkerware pour surveiller le téléphone de leur ex ou de leur partenaire actuel, contre seulement 4 % des femmes. • À travers le monde2, le stalking en ligne est une pratique courante. 34 % des consommateurs ayant déjà vécus une relation amoureuse admettent avoir stalké leur ex ou leur partenaire actuel, et plus d’un tiers des Français (33 %) ont admis avoir adopté ce comportement.

Mise en garde contre les ransomwares ciblant les systèmes de contrôle industriels

La France fait partie du Top 10 des pays comptabilisant le plus grand nombre de réseaux IT/OT.

Une entreprise japonaise de cybersécurité vient publier les résultats d’une nouvelle étude portant sur les attaques de ransomwares ciblant les installations industrielles. Intitulée « 2020 Report on Threats Affecting ICS Endpoints« , l’étude met en évidence le risque croissant de temps d’arrêt et de vol de données sensibles résultant de ces attaques.

« Les systèmes de contrôle industriels sont particulièrement complexes à sécuriser, exposant de nombreuses brèches que les attaquants exploitent avec une détermination croissante », explique Nurfedin Zejnulahi, Directeur Technique France chez Trend Micro. « Les attaques par ransomwares constituent un véritable fléau, au point que le gouvernement américain les place sur le même plan que le terrorisme. Dans ce contexte, nous espérons que nos récentes recherches aideront les fabricants industriels à prioriser et accentuer leurs efforts de sécurité pour faire face à ces menaces. »

Les systèmes de contrôle industriels (ICS) sont au centre des installations des services publics, des sites de production et autres activités sensibles, où ils sont utilisés pour surveiller et contrôler les processus industriels sur les réseaux IT/OT. Susceptible d’interrompre l’activité pendant plusieurs jours, la présence d’un ransomware sur ces derniers peut entraîner un risque majeur, à savoir la mise à disposition de projets de conception, de programmes et autres documents sensibles sur le dark web.

La France fait partie des 10 pays comptant le plus grand nombre de réseaux IT/OT

On y découvre que les variants des ransomwares Ryuk (20%), Nefilim (14,6%), Sodinokibi (13,5%) et LockBit (10,4%) ont représenté plus de la moitié des infections sur les systèmes ICS en 2020. Les attaquants ciblent les endpoints ICS pour miner des cryptomonnaies en exploitant des systèmes d’exploitation non patchés et encore vulnérables à EternalBlue. Des variantes du virus Conficker se répandent sur les endpoints ICS exécutant des systèmes d’exploitation plus récents et en forçant les partages d’administration. Les anciens malwares tels qu’Autorun, Gamarue et Palevo sont encore répandus sur les réseaux IT/OT et se propageant via des supports de stockage amovibles.

La France fait partie des 10 pays comptant le plus grand nombre de réseaux IT/OT intégrant des endpoints ICS. L’étude de Trend Micro révèle que les environnements ICS sont à la fois affectés par les nouveaux malwares (ransomwares et coinminers) et par les malwares traditionnels (virus infectant les fichiers). Toutefois, les graywares -applications ou fichiers non classés parmi les virus ou les chevaux de Troie, mais capables de nuire à la performance des appareils et d’entraîner des risques de sécurité majeurs- constituent également une menace non négligeable.

« Il est indispensable que les équipes sécurité et celles en charge de l’OT coopèrent de façon plus étroite. En travaillant conjointement, ces dernières seront en mesure d’identifier les systèmes clés et les dépendances, telles que la compatibilité du système d’exploitation et les exigences de disponibilité, pour développer in fine des stratégies de sécurité plus efficaces », commente Nurfedin Zejnulahi.

Parmi les recommandations aux industriels

Appliquez rapidement les correctifs. Si cela n’est pas possible, segmentez le réseau ou utilisez des solutions de « patching » virtuel disponibles sur le marché ;
Luttez contre les ransomwares en atténuant les causes de l’infection via des outils de monitoring des applications et de détection et de réponse aux menaces pour analyser les systèmes à la recherche d’IoC (indicateur de compromission) ;
Limitez les partages de réseau et appliquez des combinaisons nom d’utilisateur/mot de passe robustespour empêcher tout accès non autorisé par le biais d’attaques par force brute visant à déchiffrer des identifiants ;
Utilisez des services IDS (détection d’intrusion) ou IPS (prévention d’intrusion) pour définir le comportement normal du réseau et mieux identifier les activités suspectes ;
Analysez les endpoints ICS dans des environnements isolés à l’aide d’outils autonomes ;
Mettez en place des kiosques d’analyse antimalware pour permettre l’examen des lecteurs amovibles utilisés pour transférer des données entre endpoints isolés ;
Appliquez le principe du moindre privilège aux administrateurs et opérateurs du réseau OT.

Des Trojans Android volent des logins et mots de passe d’utilisateurs Facebook

Détection de plusieurs applications malveillantes sur Google Play. De fausses applications qui volent des logins et des mots de passe d’utilisateurs de Facebook. Plus de 5,8 millions d’installations.

Un éditeur photo nommé Processing Photo. Il a été propagé par son développeur chikumburahamilton, ce malware a été installé plus de 500 000 fois.

Des applications App Lock Keep du développeur Sheralaw Rence, App Lock Manager éditée par Implummet col et Lockit Master du développeur Enali mchicolo, ces programmes malveillants permettent de configurer une limitation d’accès aux appareils Android et aux logiciels installés sur les appareils. Ces malwares ont été téléchargés au moins 50 000, 10 et 5 000 fois respectivement.

Un utilitaire destiné à optimiser le fonctionnement d’appareils Android – Rubbish Cleaner du développeur SNT.rbcl qui a été téléchargé plus de 100 000 fois.

Des programmes d’astrologie Horoscope Daily du développeur HscopeDaily momo et Horoscope Pi du développeur Talleyr Shauna. La première application a été installée plus de 100 000 fois et la deuxième plus de 1000 fois. Un programme de fitness Inwell Fitness du développeur Reuben Germaine, qui a connu plus de 100 000 installations.

Stealers

Un éditeur d’image PIP photo diffusé par le développeur Lillians. Les différentes versions de ce programme sont détectées comme Android.PWS.Facebook.17 et Android.PWS.Facebook.18. Cette application a été téléchargée plus de 5 millions de fois.
Dès que les experts de Doctor Web ont rapporté le problème à Google Inc., une partie des applications malveillantes ont été retirées mais au moment de la sortie de cette publication, certaines d’entre elles restent encore disponibles en téléchargement.

De plus, l’étude de ces stealers a montré l’existence d’une version antérieure d’un de ces malwares, propagée via Google Play sous couvert de l’éditeur photo EditorPhotoPip. Bien qu’il ait été retiré du catalogue, il restait disponible en téléchargement sur les sites d’agrégateurs d’applications.

Les applications étaient pleinement opérationnelles, ce qui devrait affaiblir la vigilance de leurs victimes potentielles. Pour accéder à toutes leurs fonctions, ainsi que pour prétendument désactiver la publicité, les utilisateurs étaient invités à se connecter à leurs comptes Facebook. Certaines applications contenaient des publicités, ce qui pouvait également affaiblir l’attention des utilisateurs et les pousser à exécuter une action proposée par les pirates. Si l’utilisateur acceptait la proposition et qu’il cliquait sur le bouton, il voyait un formulaire standard de saisie de login et de mot de passe.

Paramètres nécessaires pour voler des noms d’utilisateur et mots de passe

Il faut noter que les champs de saisie sont authentiques. Les Trojans utilisent un mécanisme spécialisé pour tromper leurs victimes. Après avoir reçu les paramètres d’un des serveurs de contrôle, les pirates téléchargent la page légitime de Facebook https://www.facebook.com/login.php dans WebView. Dans cette même WebView, ils téléchargent JavaScript depuis leur serveur qui intercepte les données d’authentification saisies. Ensuite, le JavaScript, en utilisant les méthodes fournies via JavascriptInterface, transmet les logins et les mots de passe volés aux applications, qui à leur tour les envoient au serveur des pirates. Une fois qu’une victime était connectée à son compte, les Trojans volaient également les fichiers cookies de la session d’authentification pour les envoyer aux pirates.

L’analyse de ces programmes malveillants a montré qu’ils ont tous reçu les paramètres nécessaires pour voler des noms d’utilisateur et mots de passe des comptes Facebook. Cependant, les attaquants sont en mesure de changer facilement les paramètres et de donner la commande de télécharger la page d’un service légitime ou d’utiliser un formulaire de saisie contrefait publié sur un site de phishing. Ainsi, les chevaux de Troie peuvent être utilisés pour voler des noms d’utilisateur et mots de passe de n’importe quel service. Le programme malveillant Android.PWS.Facebook.15 qui est une modification antérieure, est identique aux autres, mais il comprend également la sortie des données vers un fichier log dans la langue chinoise, ce qui peut indiquer son origine.

Neuf internautes sur dix prêts à partager leurs données persos pour accéder à du gratuit

D’après une nouvelle enquête, près de neuf internautes français sur dix (87 %) sont prêts à partager leurs données personnelles pour accéder gratuitement à des services en ligne. 35 % seulement des internautes français ont le sentiment d’avoir le contrôle sur leurs données contre 52 % à l’échelle européenne. 36 % des Français font confiance à leur gouvernement pour le traitement des données confidentielles. Plus de 8 Français sur 10 (85 %) craignent que leurs données ne tombent entre de mauvaises mains lors des deux prochaines années (84 % à l’échelle de l’Europe)

D’après une nouvelle étude commanditée par Kaspersky, près de neuf internautes français sur dix (87 %) sont disposés à partager leurs données personnelles avec des sites et des applications pour accéder gratuitement à des services numériques. La carte interactive de sensibilité à la confidentialité des données, élaborée par Kaspersky, met en exergue la façon dont les consommateurs de neuf pays d’Europe abordent la question de la confidentialité. Malgré quelques réserves, cette carte indique que les Français sont globalement disposés à permettre que leur comportement en ligne soit suivi s’ils peuvent bénéficier en échange de promotions (39 %), d’une meilleure fluidité de l’expérience (43 %) et de cadeaux (36 %). Un comportement relativement en ligne avec les attitudes européennes, bien qu’un peu plus méfiant.

 93 % des Français indiquent que la confidentialité des données est importante pour eux, mais seulement un peu plus d’un tiers (35 %) ont le sentiment de contrôler le nombre d’entités ayant accès à leurs données personnelles.

Peu de confiance envers les entreprises & gouvernements…

C’est une source de préoccupation puisque plus de huit répondants français sur dix (85 %) craignent que leurs données ne tombent entre de mauvaises mains lors des deux prochaines années, tandis que 71 % d’entre eux ont peur que leurs données ne soient dérobées et utilisées à des fins malveillantes (66 % en Europe). Des inquiétudes qui ne se traduisent pas nécessairement dans leurs comportements.

Les internautes témoignent également d’une confiance mitigée envers les entités avec lesquelles ils partagent leurs données. Globalement, Amazon et Google jouissent d’une plutôt bonne réputation en Europe avec 47 % des internautes qui leur font confiance pour traiter les données de manière sure. Les Français sont un peu plus sceptiques, seuls 40 % étant de cet avis. Cela positionne ces entreprises devant les gouvernements respectifs des Européens avec un indice de confiance à 47 % et qui tombe à seulement 36 % en France. Parmi les grandes entreprises de la tech, Facebook est l’organisation qui suscite le plus de méfiance pour ce qui est du respect de la confidentialité : 29 % des Européens et 24 % des Français font confiance à l’entreprise pour le respect de la confidentialité des données.

Mais une tendance à partager ses données quand même, quitte à en perdre le contrôle !

Malgré cela, la perspective de bénéficier de services en ligne utiles fait que de nombreux internautes sont moins disposés à prendre des précautions pour protéger leurs données ou contrôler la manière dont leurs informations personnelles sont utilisées. De fait, six Français sur dix (60 %) acceptent tous les cookies lorsqu’ils naviguent rapidement sur un site. Plus inquiétant, trois internautes Français sur dix (30 %) utilisent le même mot de passe sur de nombreux sites ou applications. Ce chiffre monte même à 35 % au Danemark.

Des disparités de comportement à travers l’Europe

Le Danemark est également le pays où les internautes craignent le moins que leur données ne finissent entre de mauvaises mains (seulement 77 %, contre 94 % au Portugal). À l’inverse, la France est le pays où les internautes ont le moins le sentiment de contrôler leurs données personnelles (35 %). C’est aussi en France que les internautes ont le moins confiance dans le traitement de leurs données personnelles – seulement 36 % des Français font confiance à leur gouvernement pour traiter leurs données de manière sécurisée.

« Jamais nous n’avons eu autant de données personnelles hébergées en ligne. Parallèlement à cette plus grande présence en ligne des données, il y a un risque accru qu’elles ne tombent entre de mauvaises mains », commente David Emm, Principal Security Researcher, Kaspersky.

« La carte interactive de sensibilité à la confidentialité des données démontre que les internautes européens n’ont pas le sentiment d’avoir la main sur les entités ayant accès à leurs données. Malgré ces inquiétudes, beaucoup acceptent cet aspect « intrusif » pour accéder à des services numériques pratiques. Il n’est jamais trop tard pour tenter de reprendre le contrôle de notre identité numérique et protéger nos données en ligne. Pour ce faire, les internautes doivent surveiller les informations qu’ils partagent, bien examiner les politiques en matière de cookies ainsi que les autres paramètres de confidentialité, et veiller à utiliser des mots de passe robustes et uniques pour chaque site ou application. »

Les arnaques aux cryptomonnaies s’appuient sur la popularité d’Elon Musk et de YouTube

Selon une nouvelle étude publiée, les escrocs exploitent de plus en plus YouTube pour cibler les utilisateurs peu méfiants qui consultent les vidéos consacrées aux cryptomonnaies diffusées sur la plateforme. 

D’après cette étude, les escrocs sont en passe de dépouiller les utilisateurs de YouTube de près d’un million de dollars en achetant des espaces publicitaires sur les vidéos de cryptomonnaies diffusées sur YouTube, afin de promouvoir une fausse monnaie SpaceX dont ils prétendent, à tort, qu’elle a été créée par Elon Musk.

Cette campagne fait suite à une arnaque antérieure dans laquelle des cybercriminels avaient compromis des comptes Twitter et YouTube pour promouvoir une série de fraudes aux cryptomonnaies en prévision du passage d’Elon Musk, fondateur de Tesla et de SpaceX, à l’émission « Saturday Night Live ». Les escrocs ont ainsi dérobé plus de 10 millions de dollars en Bitcoins, en Ethereums et en Dogecoins. 

Satnam Narang, Principal Research Engineer, pour la société Tenable, estime que ces arnaques témoignent de la manière dont les media sociaux, et YouTube en particulier, sont de plus en plus utilisés par les escrocs pour perpétuer la fraude liée aux cryptomonnaies.

 «  Ces stratagèmes d’enrichissement rapide dans le monde des cryptomonnaies existent depuis 2017 et ne sont pas près de disparaître. La seule chose qui a changé, ce sont les tactiques employées par les escrocs pour amasser rapidement de l’argent. Les utilisateurs devraient donc se méfier des campagnes qui promettent des gains démesurés. Si c’est trop beau pour être vrai, il y a forcément anguille sous roche. « 

Les escrocs ne reculent devant aucune occasion pour créer de nouvelles monnaies et en faire la promotion sur les media sociaux ou, dans le cas présent, au travers de publicités sur YouTube. L’essor des protocoles de finance décentralisée (DeFi) et des échanges comme Uniswap a offert aux escrocs un nouveau moyen de dérober de l’argent à des utilisateurs peu méfiants, sans possibilité de le récupérer. La plupart des fraudes que j’ai pu observer ont tendance à se produire sur la blockchain d’Ethereum et sur la Smart Chain de Binance, qui est basée sur la blockchain d’Ethereum.

 Si les utilisateurs tombent dans le piège d’une arnaque aux cryptomonnaies, les chances qu’ils puissent récupérer leurs fonds sont très faibles, car il n’existe aucune autorité centralisée, telle qu’une banque, en mesure d’annuler les transactions. En raison du caractère décentralisé des cryptomonnaies, qui les distingue de la finance traditionnelle, il est d’autant plus important que les utilisateurs prennent les précautions nécessaires pour éviter d’être victimes d’arnaques aux cryptomonnaies.

Guerre numérique entre les USA et l’Iran

Le gouvernement des États-Unis a saisi des dizaines de domaines de sites Web américains liés à l’Iran. Des sites accusés de participer à une campagne de désinformation.

Conformément à des décisions de justice, les États-Unis ont saisi 33 sites Web utilisés par l’IRAN et l’Union de la radio et de la télévision islamiques iraniennes (IRTVU), dont Presstv.com. Trois autres sites Web exploités par Kata’ib Hezballah (KH), en violation des sanctions américaines, ont eu aussi été saisis. « Des éléments du gouvernement iranien, déguisés en agences de presse ou en médias, ont ciblé les États-Unis pour renverser les processus démocratiques américains » affirme le Département de la Justice US.

Comme l’affiche le domaine presstv, l’url a été saisi par le gouvernement des États-Unis conformément à un mandat de saisie en vertu de 18 USC et dans le cadre d’une action d’application de la loi par le Bureau of Industrie et sécurité, Office of Export Enforcement et Federal Bureau of Investigation. Une action menée au moment au l’IRAN « choisi » son nouveau président. Un président qui reste sous la coupe du chef suprême de l’Iran. C’est ce dernier qui détermine la politique de l’Iran.

Le parc informatique de l’Iran est l’une des cibles de l’administration de la Maison Blanche sous fond de conflit lié à la fabrication d’arme nucléaire. Après des « piratages » informatiques et des techniques de dissuasions numériques, comme cette saisie de noms de domaines, l’Oncle Sam tente de faire plier les dirigeants de ce pays.

L’Iran cache de nombreux pirates informatiques présents dans des espaces numériques malveillants. Il n’est pas rare de les voir proposer des contenus volées à des entreprises américaines, quand ce n’est pas tout simplement proposer des attaques de type DDoS, des Dénis Distribués de Service ayant pour mission de « cyber manifester » en bloquant certains secteurs, pas obligatoirement sensible (boutique, journaux, …) sur le territoire Nord Américain.

« En ce qui concerne notre diplomatie, nous avons toujours dit qu’il est absolument dans notre intérêt d’arriver à un retour mutuel au respect du JCPOA précisément parce qu’il nous permettrait d’empêcher à nouveau de façon permanente et vérifiable l’Iran de se doter de l’arme nucléaire. » souligne la Maison Blanche dans les colonnes de CNN.

Cyberdéfense : l’Europe se met (enfin) en ordre de marche

Pour lutter contre l’explosion des cyberattaques, la Commission européenne lance un plan cybersécurité couvrant la période 2020-2025. Objectifs : mettre en commun des informations entre les pays, développer des formations et des certifications, élaborer des réglementations … Une stratégie européenne préservant les souverainetés nationales.

Premier axe : la réglementation. En adoptant le règlement européen Cybersecurity Act, la CE marque une véritable avancée pour l’autonomie stratégique européenne et tente de promouvoir un schéma de certification à l’échelle européenne afin d’harmoniser les méthodes d’évaluation et les différents niveaux d’assurance de la certification de la cybersécurité. L’ENISA, Agence européenne pour la cybersécurité, devient un pilier de la coordination et une structure d’autorité européenne. Tout ceci tend à montrer que nous sommes sur la bonne voie, encore faut-il que l’Europe conditionne son marché à utiliser ce règlement !

Dans le cadre de cette stratégie, la CE marque aussi une volonté d’aider les entreprises, quelle que soit leur taille et leur secteur d’activité, à s’organiser pour lutter contre les cyberattaques. Mais si cette initiative est louable, sa concrétisation reste en revanche complexe car le marché souffre d’une forte pénurie de profils spécialisés. Dans le deuxième axe marqué par l’investissement humain, la CE propose plusieurs actions: développer des cursus préparatoires dédiés à la cybersécurité et généraliser des plateformes d’entraînement. Un souhait, qui espérons-le, ne se résumera pas à une simple lettre d’intention, mais sera soutenue par une véritable politique de formation afin de donner à l’Europe les moyens de gagner son autonomie en cybersécurité. Peut-être aurait-il fallu orienter davantage l’investissement vers la technologie, intrinsèquement plus capable de passer à l’échelle ?

Troisième axe : la coopération inter-pays. La France est l’un des pays européens les plus structurés en matière de cybersécurité, grâce notamment à l’ANSSI et d’autres structures qui insufflent depuis plus de 10 ans une dynamique rigoureuse et initient de nombreux chantiers. La stratégie nationale proposée par Emmanuel Macron avec un plan de relance d’1 milliard d’euros sur la table semble pertinente, tant sur l’articulation avec l’ambition européenne que sur le contenu !

Mais les 27 pays d’Europe ont des degrés de maturité et des capacités d’actions très différents. L’Europe va donc inciter les pays à mettre en place une meilleure circulation des informations afin de se coordonner pour traiter les attaques majeures et développer une cyberdéfense efficiente. Le terme de communauté apparaît comme un pilier fort de la stratégie européenne. C’est une bonne chose car la cybersécurité ne fonctionne que si elle est appliquée en réseau, avec des informations qui circulent et son partagées entre les parties prenantes.

Dans cette volonté du concret, le sujet du partage d’informations communautaire doit être creusé en profondeur et rapidement mis en place. Les États-Unis utilisent ceci depuis longtemps à travers des centres de partage sectoriels comme les ISACs. Nos secteurs industriels doivent apprendre à mieux partager de l’information cyber car dans ces domaines, le renseignement diffusé par l’un fait la protection de tous les autres.

La stratégie ne fonctionnera que si tous les pays européens jouent le jeu   
La stratégie européenne telle que détaillée plus haut semble omettre la composante marché – ou du moins laisser le sujet pour plus tard. S’il est vrai que cette stratégie est bâtie sur de bonnes idées et une orientation bien délivrée, c’est la suite qui risque de bloquer entre des approches trop nationales, trop restrictives et des règles d’allocations budgétaires incohérentes entre les pays.

La cybersécurité existe depuis plus de 20 ans et sur ce terrain l’Europe n’a pas particulièrement brillé en comparaison d’autres blocs. Pour autant tout n’est pas encore perdu mais il faut regarder les choses en face et tirer les constats.
A l‘heure actuelle, il faut arrêter les investissements scientifico-scientifiques non appliqués à un besoin marché. Il est important de développer les partenariats publics-privés à l’échelle européenne pour avoir une vraie stratégie d’action dans les domaines qui seront nécessaires demain et dans 10 ans. (l’automatisation orchestrée de la cybersécurité, la modélisation des techniques d’attaques, la détection prédictive des attaques et des anomalies…)

Comme évoqué, le Cybersecurity Act est un bon point de départ mais il nous faut accepter d’aller plus loin dans les programmes de certifications pour les rendre obligatoires pour le marché européen. Cela se traduira notamment pour les entreprises par des obligations à créer des liens avec les industriels cyber autour d’eux et d’offrir une chance aux startups européennes du secteur en leur allouant une partie des budgets cyber…

Enfin, il est nécessaire d’expérimenter des modèles vertueux et pragmatiques dans lesquelles les entreprises expriment des besoins, les fournisseurs candidats calibrent des roadmaps pour y répondre et les organismes publics accompagnent et soutiennent financièrement certains investissements. Les structures académiques ayant elles aussi un rôle majeur à jouer pour les sujets faisant appel à la recherche. (Par David Bizeul, CTO de Sekoia)

CyberGendMar – Nouveau partenariat entre la Gendarmerie maritime (GMar) et l’association « France Cyber Maritime » au profit de la cyber sécurité

CyberGendMar – Le 8 juin 2021, le général Guillaume Grimaux, commandant la gendarmerie maritime et Frédéric Moncany de St-Aignan, président de l’association « France Cyber Maritime », ont signé une convention de coopération sur la prévention et la lutte contre les actes de cyber délinquance dans les domaines maritime et portuaire.

Cette nouvelle coopération mobilisera la Cellule nationale cyber maritime de la gendarmerie maritime (CyberGendMar) et le service Maritime computer emergency response team (CERT-M) de l’association « France Cyber Maritime ».

La CyberGendMar réalise des enquêtes judiciaires à caractère cyber auprès de tout acteur maritime, à terre comme en mer. Répartis au sein des unités, 43 correspondants experts en nouvelles technologies (N’Tech), travaillent avec différents acteurs des domaines maritime et portuaire (Maritime Information Cooperation and Awareness Center – MICA Center, le centre d’expertise français dédié à la sûreté maritime, à compétence mondiale – et le Centre de lutte contre les criminalités numériques).

Le CERT-M est un centre de surveillance des incidents ou attaques cyber rattaché à l’association « France Cyber Maritime ». C’est une émanation du Centre de conseil de cyber sécurité du monde maritime (C2M2) qui dépend du Secrétariat général de la Mer (SGMer) avec l’appui de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Ce nouveau partenariat porte sur l’échange d’informations entre la CyberGendMar et le CERT-M pour lutter contre les attaques cyber des entreprises affiliées à leur réseau. Cette coopération s’appuie sur l’identification de l’attaque cyber par le CERT-M, l’investigation et la prise en charge de l’incident par les enquêteurs de la CyberGendMar.

Face à la montée des actes de cyber délinquance dans le monde maritime, la GMar, une des cinq composantes opérationnelles de la Marine nationale, renforce son dispositif de lutte contre la cybercriminalité.

Multiplier les solutions de sécurité, attention, danger !

Cyber protection : multiplier les solutions de sécurité informatiques ne garantit pas une meilleure protection d’après les résultats d’une nouvelle étude Acronis

Alors que 80 % des entreprises disent faire coexister jusqu’à 10 solutions IT différentes de protection des données et de cybersécurité, plus de la moitié d’entre elles ont subi des pertes de données et des temps d’arrêt l’an dernier

Acronis, spécialiste de la cyber protection, présente les conclusions de son étude Cyber Protection Week. Menée auprès de 4 400 professionnels IT et utilisateurs dans 22 pays des six continents (Europe, Afrique, Asie, Afrique, Amérique du Nord et du Sud) cette étude internationale révèle des divergences critiques entre la nécessité de protection des données des entreprises et l’inefficacité des investissements consentis jusqu’ici en ce sens.

En effet, alors que la pandémie de COVID-19 a incité les entreprises à s’équiper de nouveaux systèmes en 2020 en faveur de la sécurité du télétravail, ces investissements ne donnent pas satisfaction. L’étude révèle que 80 % des entreprises dans le monde utilisent simultanément jusqu’à 10 solutions pour la protection de leurs données et leur cybersécurité. Or, plus de la moitié de ces entreprises ont subi des temps d’arrêt inattendus l’an dernier suite à une perte de données.

Un manque de connaissances nuit à l’efficacité IT

A ce constat s’ajoute le fait que les professionnels IT et les utilisateurs ne sont pas nécessairement au fait des fonctionnalités IT et de cybersécurité effectivement disponibles, ce qui conduit à des pertes de temps et d’argent avec une dégradation de la sécurité à la clé.

68 % des utilisateurs IT et 20 % des professionnels IT ignorent si leurs données ont été modifiées car leur solution ne permet pas de le savoir.
43 % des utilisateurs IT ne savent pas si leur solution anti-malware bloque les attaques zéro-day car l’information n’est pas immédiatement disponible. Or la protection des données suppose d’avoir accès à ces informations cruciales de cybersécurité.
Et 10 % des professionnels IT ignorent si leur entreprise doit se conformer aux réglementations en matière de confidentialité des données, ce qui est surprenant. S’ils ne prennent même pas la mesure de leur responsabilité de préservation de la confidentialité des données, comment pourraient-ils appliquer des stratégies efficaces ou évaluer correctement les solutions dont ils ont besoin. Les entreprises concernées se retrouvent donc confrontées au risque de fortes pénalités pour non-conformité en 2021.
Ce manque de transparence et de visibilité est encore plus marqué dans les entreprises qui utilisent plusieurs solutions pour répondre à leurs besoins IT et de cybersécurité. Les équipes doivent se rappeler quelle solution s’applique à tel point de données et jonglent entre plusieurs consoles pour trouver la bonne information, ce qui nuit à leur efficacité.

Les utilisateurs ont une approche trop laxiste de la protection

L’étude souligne également un laxisme important dans l’approche de protection des données des utilisateurs IT.

83 % des utilisateurs IT reconnaissent avoir passé plus de temps sur leurs postes l’an dernier, pourtant seule la moitié d’entre eux a pris des mesures supplémentaires de protection
33 % admettent ne déployer les correctifs disponibles qu’au moins une semaine après en avoir eu connaissance
90 % des utilisateurs IT déclarent effectuer des sauvegardes, pourtant ils sont 73 % à déplorer au moins une perte irrémédiable de données, ce qui laisse penser qu’ils ne savent pas sauvegarder ou restaurer correctement
Top 5 des conclusions de l’étude Cyber Protection Week d’Acronis

Les problématiques de protection et de sécurité des données, des applications et des systèmes vont perdurer et s’aggraver même après la pandémie.

Toujours créer des sauvegardes des données importantes. Conserver plusieurs copies des sauvegardes, une copie locale pour les restaurations urgentes et une copie dans le cloud en secours.
Mettre à jour les systèmes d’exploitation et les applications. Les systèmes et applis anciens ne sont pas suffisamment sécurisés pour bloquer l’intrusion des cybercriminels. Il convient de déployer régulièrement les correctifs disponibles pour protéger les systèmes.
Se méfier des e-mails, des liens et des pièces jointes. La plupart des infections par des ransomwares sont le résultat de techniques d’ingénierie sociale qui trompent des individus peu vigilants et les amènent à ouvrir des pièces jointes ou à cliquer sur des liens vers des sites web infectés par des malwares.
Installer des antivirus, anti-malware et anti-ransomware et autoriser les mises à jour automatiques pour que les systèmes soient systématiquement protégés au mieux.
Envisager de tout réduire à une seule solution de cyberprotection pour centraliser l’administration et bénéficier d’une protection intégrée adaptée aux actuels besoins IT.
« Cette édition de l’étude Cyber Protection Week illustre clairement que ce n’est pas en multipliant les solutions que l’on renforce la protection, au contraire la coexistence d’outils séparés, chacun dédié à un type d’exposition, complique les choses, les rend inefficaces et coûte cher », déclare Serguei « SB » Beloussov, fondateur et CEO d’Acronis. « Ces conclusions confirment notre conviction que l’approche la plus judicieuse est celle de la cyberprotection, qui unifie protection des données, cybersécurité et gestion des terminaux. »

Plus d’informations sur la Cyber Protection Week par Acronis : https://www.acronis.com/fr-fr/promo/world-backup-day/

50 vulnérabilités Microsoft dont 5 critiques et 21 vulnérabilités critiques chez Adobe

Microsoft a corrigé 50 vulnérabilités CVE à l’occasion de la publication du Patch Tuesday de juin 2021. 5 d’entre elles sont classées comme critiques tandis que 6 sont la cible d’exploits.
Vulnérabilités critiques Microsoft corrigées

CVE-2021-31985 – Vulnérabilité d’exécution de code à distance (RCE) dans Microsoft Defender

Microsoft a publié des correctifs pour résoudre une vulnérabilité RCE critique dans son produit Defender (CVE-2021-31985). Cette vulnérabilité CVE a un fort potentiel d’exploitabilité et le score de vérité CVSSv3 attribué par l’éditeur est de 7,8.

CVE-2021-31959 – Vulnérabilité de corruption de mémoire dans le moteur de script

Microsoft a publié des correctifs pour résoudre une vulnérabilité critique de corruption de mémoire dans le moteur de script Chakra JScript. Cette vulnérabilité impacte les systèmes d’exploitation Windows RT, Windows 7, Windows 8, Windows 10, Windows Server 2008 R2, Windows Server 2012 (R2) et Windows Server 2016. Un attaquant peut exploiter cette vulnérabilité lorsque l’utilisateur ciblé ouvre un fichier malveillant.

CVE-2021-31963 – Vulnérabilité d’exécution de code à distance dans Microsoft SharePoint Server

Microsoft a publié des patches pour résoudre une vulnérabilité critique RCE dans SharePoint Server. Cette CVE s’est vue attribuer un score de vérité CVSSv3 de 7,1 par l’éditeur.

Résolution de 6 vulnérabilités Zéro-Day avec des exploits en aveugle

Les vulnérabilités suivantes doivent être corrigées immédiatement dans la mesure où elles font l’objet d’exploits lancés en aveugle :

CVE-2021-33742 – Vulnérabilité d’exécution de code à distance sur la plateforme Windows MSHTML

CVE-2021-33739 – Vulnérabilité d’élévation de privilèges dans la bibliothèque centrale DWM de Microsoft

CVE-2021-31956 – Vulnérabilité d’élévation de privilèges dans le système de fichiers NTFS de Windows

CVE-2021-31955 – Vulnérabilité de divulgation d’informations dans le noyau Windows

CVE-2021-31201 – Vulnérabilité d’élévation de privilèges au sein du fournisseur de services cryptographiques (CSP) amélioré par Microsoft

CVE-2021-31199 – Vulnérabilité d’élévation de privilèges au sein du fournisseur de services cryptographiques (CSP) amélioré par Microsoft

Adobe Patch Tuesday – Juin 2021

Adobe a corrigé 41 vulnérabilités CVE à l’occasion de ce Patch Tuesday dont 21 étaient classées comme critiques et impactaient les produits Acrobat et Reader, Adobe Photoshop, Creative Cloud Desktop Application, RoboHelp Server, Adobe After Effects et Adobe Animate.

Les e-mails contrefaits mis en péril : DMARC

Pour lutter contre les fraudes par les e-mails, des technologies d’authentification ont été mises en place. Dans cet article, nous parlerons de l’une des technologies d’authentification les plus utilisées : le DMARC.

Le DMARC : qu’est-ce que c’est ?

DMARC est l’acronyme anglais pour Domain Based Authentication, Reporting, and Conformance. C’est une technologie mise en place afin de lutter contre les fraudes par e-mail. Il s’agit entre autres des e-mails contrefaits, des spams, du phishing, etc.

Petit historique de DMARC : des débuts à nos jours

Sous l’égide de dmarc.org et dmarc.fr, plusieurs organisations se sont mises ensemble pour élaborer le DMARC. On les catégorise en deux groupes : les émetteurs et les destinataires.

Au niveau des émetteurs, nous avons : Facebook, PayPal, Twitter, LinkedIn, Fidelity Investments, American Greetings, Bank of America, JPMorganChase, etc. Quant aux destinataires, il s’agit de Google, Yahoo, Microsoft, Yandex, AOL, Mail.Ru, Netease, Comcast.

Dès son élaboration, le DMARC a mis du temps à décoller. Les grandes entreprises sont longtemps restées réticentes quant à son adoption. Il s’agit notamment de certaines entreprises du Fortune 500, de Chine et bien d’autres à travers le monde.

Cependant, force est de constater qu’on assiste depuis quelques temps à une certaine prise de conscience, certes lente, des entreprises. En effet, le taux d’adoption de DMARC au niveau des entreprises a connu un regain ces deux dernières années.

Le taux d’adoption, aujourd’hui, est nettement supérieur à celui des années antérieures.

DMARC : comment marche ce processus d’authentification ?

DMARC est une spécification qui complète SPF et DKIM. Ainsi, elle entre en œuvre en cas d’échec de ces deux protocoles et permet de déterminer la meilleure politique à appliquer. Il existe 3 politiques parmi lesquelles DMARC identifie les cas de non-correspondance des e-mails :

None/aucun : dans ce cas, aucune action spécifique n’est recommandée. La politique locale est donc appliquée. L’e-mail est reçu et traité comme il le serait s’il n’y avait pas DMARC ;

Quarantine/quarantaine : L’e-mail est reçu par le destinataire, mais n’est pas directement placé dans la boite de réception. Il est plutôt placé dans les spams ou courriers indésirables ;

Reject/rejet : l’e-mail est tout simplement rejeté ou détruit par le serveur destinataire.

Comment configurer DMARC ?

Pour pouvoir configurer les paramètres d’authentification DMARC de votre domaine, il vous faut vous assurer que SPF et DKIM sont bien implémentés. Après cela, vous devez accéder aux enregistrements DNS de votre compte d’hébergement.

À ce niveau, il vous faut ajouter ou modifier l’enregistrement DNS auprès de votre fournisseur. Cela se présente sous la forme d’une ligne de texte de format .TXT dans laquelle vous définissez laquelle des 3 politiques doit être appliquée.

DMARC : importance et avantages

Le DMARC est une spécification technique qui fait suite à DKIM et à SPF. En effet, mettre en place le DMARC offre de multiples avantages aussi bien pour les expéditeurs que les destinataires. Il existe plusieurs niveaux de configuration du DMARC, et chaque niveau a ses avantages.

Lorsque DMARC n’est pas configuré sur votre domaine, ce dernier est vulnérable aux attaques des pirates et autres individus malintentionnés. Ils pourront alors facilement s’introduire dans votre réseau pour effectuer leurs méfaits.

Ils pourront, par exemple, se faire passer pour vous ou l’un des membres de votre organisation auprès de vos employés, de vos clients, de vos fournisseurs, etc.

DMARC vous permet de limiter les risques d’hameçonnage, de spams et de faux positifs pour le destinataire. Pour cela, il indique au destinataire la bonne conduite de sécurité à tenir en cas de doute sur la fiabilité du message. De plus, DMARC est gratuit et facile à configurer.

En quoi DMARC permet-il de lutter contre les e-mails contrefaits et les fraudes ?

Contrairement à ses prédécesseurs (SPF et DKIM), DMARC prend en compte dans son processus des informations sur les domaines des destinataires. Cela lui permet d’être plus efficace et de renforcer la sécurité lors des échanges d’e-mails.

L’expéditeur met en place le DMARC tout en précisant au destinataire la réaction à avoir vis-à-vis de tout e-mail qui ne respecterait pas ses normes (l’expéditeur). Il peut s’agir de la destruction ou de la mise en quarantaine de l’e-mail en question.

Cette politique permet également aux destinataires d’envoyer un rapport au domaine de l’expéditeur pour spécifier que les e-mails passent ou non.

Les pirates ont eu accès à un code source de Rapid7 à la suite du piratage de Codecov

Comme a pu l’indiquer le spécialiste de la cybersécurité Rapid7, des pirates informatiques ont eu accès à une petite partie de ses référentiels de code source à la suite du piratage d’un outil de développement logiciel, Codecov.

« Des personnes non autorisées, en dehors de Rapid7, ont obtenu un accès à un petit sous-ensemble de nos référentiels de code source pour les outils internes de notre service Managed Detection and Response. Ces référentiels contenaient des informations d’identification internes. Des informations remplacées et des données liées aux alertes pour un sous-ensemble de nos clients » indique l’entreprise dans un communiqué de presse.

Le 15 avril 2021, le développeur d’outils d’audit logiciel, la startup Codecov, a averti les utilisateurs que son outil Bash Uploader avait été malmené. Une cyberattaque datant du 31 janvier 2021. Des inconnus avaient modifié l’outil de Rapid7 en y plaçant une porte cachée. Par cette méthode, les attaquants ont pu accéder aux réseaux de centaines de clients Codecov.

Les pirates ont réussi à accéder aux réseaux Codecov en raison d’une erreur de démarrage lors du processus de création d’image Docker, ce qui leur a permis d’extraire les informations d’identification nécessaires pour modifier le script Bash Uploader.

Les pirates ont apporté des « modifications périodiques non autorisées » au code, ce qui leur a permis d’envoyer des informations stockées dans les environnements d’intégration continue (CI) des utilisateurs du script à un serveur tiers.

Selon l’avis de Rapid7, il n’y avait aucune preuve que les malveillants aient pu accéder à d’autres systèmes ou environnements de production, ou que des modifications malveillantes avaient été apportées à ces référentiels.

Cybersécurité : les 7 tendances 2021 pour aider les entreprises à relever leurs défis business

Dans toutes les organisations, chaque expérience, qu’elle soit client, collaborateur ou utilisateur, a désormais une composante digitale. Ces différentes expériences ont un impact sur la perception client.

Avec la crise Covid-19 et l’obligation de distanciation physique, il a fallu déployer le télétravail pour garantir la continuité d’activité. Un très grand nombre d’interactions sont devenues virtuelles et 2020 a été l’année de l’accélération de la transformation digitale. Ces transformations vont perdurer et les organisations vont maintenant devoir structurer ce qu’elles ont pu entreprendre dans l’urgence. L’enjeu est alors de pouvoir garantir aux collaborateurs des accès performants et sécurisés à leur environnement de travail quel que soit le contexte d’usage.

1 – Le zero trust, modèle de référence pour la sécurité des systèmes d’information

Nous assistons à un changement radical dans le monde des réseaux et de la sécurité des accès. Les organisations passent d’une architecture centrée-réseau (« network-centric ») à une architecture centrée-utilisateur (« user-centric ») et centrée-application (« application-centric »). Auparavant, on pensait : « à l’intérieur, sécurisé ; à l’extérieur, dangereux ».

Désormais, on ne peut plus distinguer l’intérieur et l’extérieur, et l’organisation n’a plus de périmètre de sécurité. Elle ne peut plus donner sa confiance par défaut. D’où l’émergence de l’approche « zero trust » qui consiste à tester le niveau de confiance à chaque interaction.

2 – L’identité est le nouveau périmètre de sécurité des organisations.

C’est l’identité de la personne et les applications qu’elle utilise qui doivent déterminer la portée de ce qu’elle peut faire car la sécurité du réseau peut être compromise si les terminaux qui s’y connectent ne sont pas maintenus par l’organisation et dits “de confiance”. Il faut donc considérer les habilitations qui permettent d’accéder aux « applications », de manière la plus précise possible, selon des critères fonctionnels, temporels et liés au contexte d’utilisation. On pourra par exemple limiter l’accès à certaines fonctions si l’on considère que l’utilisateur accède à l’application depuis un « contexte plus risqué ».

3 – L’utilisateur, « le premier rempart »

Avec la digitalisation croissante des interactions, l’enjeu pour les organisations est l’amélioration de l’expérience de l’environnement de travail. Il s’agit de permettre aux collaborateurs, qu’ils soient en mobilité, en télétravail, en astreinte, de réaliser l’ensemble de leurs tâches comme s’ils étaient au bureau, avec les mêmes niveaux de performance, d’ergonomie et de sécurité – qui doit être la plus transparente et la moins contraignante possible.

Lorsqu’on parle d’authentification, le tandem login/mot de passe est un cauchemar pour les utilisateurs et les RSSI. Une authentification transparente, naturelle et continue doit faciliter la vie et l’expérience des utilisateurs pour en faire les premiers acteurs de sa cybersécurité.

4 – Le cloud va protéger le cloud

Le système d’information des organisations est désormais éclaté en divers services et ressources, certains exploités par l’organisation elle-même et d’autres exploités par des tiers. Il est devenu habituel de passer par des services cloud pour sécuriser l’accès à ces systèmes d’information. Comme ces derniers sont devenus « hybrides », avec des composants déployés dans les datacenters de l’organisation et des services cloud de tiers , il est aussi naturel que les services cloud de sécurisation des accès soient également « hybrides ». Dans un monde où tout devient cloud, il est normal que le cloud sécurise le cloud.

5 – SASE : un changement de paradigme

L’éclatement du réseau en services logiciels amène son nouveau lot de technologies et de services d’accès sécurisé hybrides (en partie dans les datacenters exploités par l’entreprise, en partie dans les datacenters exploités par des fournisseurs de services cloud) avec, notamment, le « Secure Access Service Edge » ou « SASE ». Il s’agit de la convergence entre les technologies de gestion des réseaux et les technologies de sécurité des réseaux et des accès. D’un côté les utilisateurs (« workforces ») sont « n’importe où » et doivent trouver le point d’accès le plus proche de là où ils se trouvent ; de l’autre côté les applications (« workloads ») sont « n’importe où » et leurs services ne doivent être accessibles que par les personnes habilitées. Il faut une maîtrise centrale et locale des politiques de sécurité, que ce soit du côté des utilisateurs ou en matière d’applications.

6 – Intelligence Artificielle et Machine Learning pour lutter contre les fraudes

Des applications très concrètes de l’Intelligence Artificielle permettent aujourd’hui de détecter, parmi un volume toujours croissant de données, les signaux faibles d’une situation anormale. L’apprentissage machine des comportements des utilisateurs permet de détecter très rapidement malveillances ou négligences : un gaucher qui utilise la souris et le clavier comme un droitier, un administrateur réseau qui se met à administrer des bases de données, etc. En mettant en œuvre ces technologies, les organisations vont donc être en mesure de prévoir et annihiler toute fraude avant même qu’elle ne soit effective.

7 – L’hyper-automatisation au service de la cybersécurité

Le recours croissant à l’Intelligence Artificielle et l’apprentissage machine augmente le besoin d’hyper-automatisation : le volume croissant de données et le volume croissant des traitements de ces données génère un besoin croissant d’automatisation de la chaîne d’ingénierie IA/ML. L’expérience de self-service des services cloud, l’élasticité du cloud, le besoin de rapidité (voire d’immédiateté) des utilisateurs : tout ceci concourt à l’automatisation de toutes les tâches de déploiements et de mises à jour, et aux approches dites de « software defined … » ou de « … as code ». (Par Bernard Debauche, Chief Product & Marketing chez Systancia)

Un centre hospitalier Belge malmené par une cyberattaque

Le Centre hospitalier Belge de la ville de Tournai impactée par une cyberattaque.

Le centre hospitalier Belge de Tournai, commune Belge à la frontière Franco-Belge, victime d’une attaque informatique qui a imposé à l’administration de l’entreprise de santé de stopper toutes ses opérations de soin non urgentes. Une cyberattaque qui ressemble à un ransomware, mais selon la communication interne, aucune demande de rançon n’aurait été réclamée.

80 des 300 serveurs informatiques du CH ont été impactés. Plus aucun accès aux données informatiques, imposant aux personnels de consulter les dossiers papiers. La communication indique aussi qu’aucun vol informatique n’a été constaté. Une centaine d’opérations a été annulée lundi. Etonnante cyberattaque ! L’intérêt des pirates ? Ne rien voler ? Ne pas demander d’argent ?

Voilà une action, mais ce n’est que mon expérience qui parle, que ce poker menteur risque de voir un perdant, les patients.

83 vulnérabilités dont 10 critiques, une vulnérabilité Zero Day et correctifs Adobe

Le premier Patch Tuesday de l’année permet de résoudre 50 vulnérabilités. Les 10 vulnérabilités critiques concernent les codecs Windows, Office, des extensions vidéo HEVC, le runtime RPC ainsi que les postes de travail. Pour sa part, Adobe a publié des correctifs pour Photoshop, Campaign Classic, InCopy, Illustrator, Captivate, Bridge et Animate.

Correctifs pour les postes de travail

Le déploiement de patches pour Office et Edge est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Les serveurs multi-utilisateurs faisant office de postes de travail distants sont également concernés.

Zero Day par exécution de code à distance dans Microsoft Defender

Microsoft corrige la vulnérabilité par exécution de code à distance (CVE-2021-1647) dans Defender en publiant un correctif pour Microsoft Malware Protection Engine. Microsoft a déclaré que cette vulnérabilité était exploitée avant que des correctifs ne soient disponibles. Ce correctif doit être déployé en priorité.

Élévation de privilèges avec le processus splwow64

Même si Microsoft précise que ce problème (CVE-2021-1648) concerne une vulnérabilité par élévation de privilèges, cette faille peut être exploitée pour divulguer des informations et plus particulièrement de la mémoire non initialisée. Microsoft a déclaré que cette vulnérabilité n’a pas été exploitée en mode aveugle, même si les détails la concernant sont disponibles publiquement.

Adobe

Adobe publie des correctifs pour de nombreuses vulnérabilités dans Adobe PhotoshopIllustratorAnimate, Campaign, InCopy, Captivate et Bridge. Les correctifs pour Adobe Campaign sont de Priorité 2 tandis que les autres patches sont de Priorité 3Même si aucune des vulnérabilités rapportées par Adobe n’est a priori activement attaquée pour l’instant, tous les correctifs doivent être déployés en priorité sur les systèmes où ces produits sont installés. (Par Animesh Jain, Directrice des produits Signatures des vulnérabilités chez Qualys)

Faux site Cdiscount, vrai piége pirate

Depuis quelques jours, le site cdiscount.com.recapitulatif-cds.com vous propose d’annuler une commande que vous auriez pu effectuer. Attention piège à pirate !

Plusieurs lecteurs de ZATAZ m’ont indiqué avoir été la cible d’une tentative de phishing rondement menée. Un courriel annonce qu’une commande effectuée chez CDiscount, une boutique en ligne française, est confirmée. Seulement, les lecteurs n’ont rien commandé.

La missive propose d’annuler cette commande. Bien évidemment, comme il n’y a pas eu d’achat, l’incitation au clic « annuler commande » est efficace.

Derrière, un hameçonnage pas comme les autres.

Le faux site CDiscount est installé en Malaisie. Chaque courriel envoyé contient de vraies informations concernant les internautes récepteurs de la lettre usurpatrice (identité, adresse postale, numéro de téléphone).

J’ai d’ailleurs découvert qu’en modifiant l’url pirate, d’autres coordonnées apparaissaient.

Les malveillants ont collecté des informations sur leurs potentielles victimes. L’ingénierie sociale peut alors commencer !

Prudence, l’adresse cdiscount.com.recapitulatif-cds.com n’est pas un site de l’enseigne. Créée le 4 janvier 2021, elle dirige vers Google si l’url est incomplet, sans le pseudo numéro de client.

Comment naviguer sur internet en toute sécurité ?

La cybersécurité reste l’un des plus grands enjeux de notre époque. En 2019, des millions de personnes, ainsi que de grandes entreprises ont subi des vols de données personnelles. Ce fut le cas d’Eurofins en Juin 2019. La protection de vos données n’a jamais eu autant d’importance. C’est pourquoi se connecter à internet ne doit plus être perçu comme un simple geste anodin. La sécurité doit être placée au cœur de toutes les préoccupations. Comment naviguer aujourd’hui sur internet en toute sécurité ? Voici quelques astuces pour vous aider à naviguer en toute sécurité sur internet.

Choisissez votre box internet et réglez vos paramètres de sécurité

Pour naviguer sur internet, vous devez avoir une connexion internet de bonne qualité, donc disposer d’une box internet. Il existe plusieurs critères pour choisir une box adaptée à vos besoins. Recherchez celle pouvant fournir du haut débit, voire même du très haut débit internet avec un excellent rapport qualité-prix. Choisissez sur ce site de promo box internet une offre adaptée à vos besoins.

Ensuite, assurez-vous de sécuriser votre connexion internet. Cela passe par le changement du mot de passe par défaut de votre box. Vous pouvez aussi désactiver la gestion à distance parce qu’elle rend votre appareil vulnérable aux virus et aux cyberattaques. Si la gestion à distance est activée, les hackers pourront accéder à votre connexion, ainsi qu’à vos données. Enfin, prenez le soin de vérifier que votre réseau Wifi est pourvu d’une connexion WPA ou WPA2 ; c’est l’un des meilleurs moyens de vous assurer que votre connexion Wifi est sûre.

Utilisez des sites sécurisés : un double avantage

Il existe plusieurs types de sites, dont les sites https. Ils sont sécurisés et utilisent la technologie TLS : Transport Layer Security. Cela permet de crypter les données entre le serveur et l’utilisateur.

Naviguer sur un site https n’est pas seulement bénéfique pour l’internaute. Il est aussi avantageux pour améliorer votre référencement. Si Google doit classer deux sites identiques ayant la même qualité de contenu, le protocole https constitue un élément de poids pour faire la différence. Pour l’Agence Maliboo, les sites https rendent meilleure l’expérience utilisateur et permettent des paiements en ligne sécurisés.

Utilisez les VPN pour une navigation sécurisée sur internet

Pour avoir une connexion sécurisée, vous pouvez utiliser un VPN. Le VPN est un tunnel chiffré par lequel vous passez pour accéder à internet. Il permet de chiffrer votre communication entre votre ordinateur et le serveur VPN. Ceci a pour conséquence de changer votre adresse IP et de protéger votre adresse IP public, vu que vous passerez par ce serveur pour accéder à internet. La plupart des gens ont tendance à dire qu’un VPN est d’usage identique qu’un proxy. Ce qui est totalement faux.

L’une des choses les plus importantes à savoir sur les VPN est qu’ils permettent de capturer la totalité du trafic du réseau, contrairement aux proxys qui sont limités aux protocoles http et https. Si vous utilisez donc une application qui n’est pas une application web, le proxy ne pourra vous protéger. De plus, les données ne sont pas chiffrées entre l’ordinateur client et le proxy. Alors que du coté du VPN, vous utilisez une communication chiffrée qui vous protège.

64% des entreprises ont plus de 1 000 dossiers sensibles auxquels l’ensemble de leurs employés ont un accès libre

Voici un nouveau rapport qui permet de comprendre l’un des gros malaises au sein de nos entreprises. Six entreprises sur 10 laisseraient accés à l’ensemble de leurs employés à plus de 1 000 dossiers sensibles.

Ce rapport vise les risques liés aux systèmes de fichiers. Un volume énorme, on parle ici de de quatre milliards de fichiers dans 56 grandes organisations en France, USA, Angleterre ou encore Allemagne. Le secteur financier compte parmi les plus matures en matière de cybersécurité, mais il n’en demeure pas moins que les entreprises de services financiers sont parmi les plus visées par des cyberattaques, indique le rapport de Varonis, du fait des données sensibles qu’elles collectent auprès de leurs clients.

Cette étude met en lumière que les données des sociétés questionnées sont encore très largement exposées à des failles, menaces internes ou encore des attaques par ransomware. Des données qui mettent également sous la pression d’une non-conformité aux réglementations, telles que le RGPD, ou encore la norme PCI-DSS spécifique au monde bancaire.

Des données, comme les courriels, qui peuvent trés rapidement, dans les mains de pirates, finir en pourriel/spam (définition du spam) ou encore en spear phishing, un hameçonnage de données ciblées.

Dans les organisations analysées, en moyenne 10,8 millions de dossiers sont accessibles à tous les employés. Cela atteint jusqu’à 20 millions dans les plus grands groupes (plus de 1500 employés). En moyenne, un(e) employé(e) d’une société de services financiers a accès à 13% du total des dossiers de l’entreprise. Dans les petites entreprises (entre 1 et 500 employés pour ce rapport), un employé a en moyenne accès à plus d’un demi-million de fichiers, et ainsi une liberté illimitée de consulter, copier, déplacer et modifier les données qu’ils contiennent. Le problème est d’autant plus grave que plus de 20% de ces fichiers comportent des données sensibles sur des employés ou clients.

Au sein de ces dossiers, se trouvent de nombreuses données sensibles : 64% des entreprises analysées ont plus de 1000 dossiers sensibles auxquels l’ensemble de leurs employés ont un accès libre. En moyenne, 69 % des données au sein de sociétés du secteur financiers sont « obsolètes », c’est-à-dire non consultées depuis plus de 90 jours. Ces données incluent souvent des données critiques, et elles sont ainsi tout autant exposées à des failles, et devraient faire l’objet d’une gestion appropriée (archivage sécurisé, suppression). Autre chiffre important : dans 59% des entreprises analysées, Varonis a identifié plus de 500 mots de passe qui n’expirent jamais. (le rapport)

112 vulnérabilités dont 17 critiques affectant notamment les codecs Windows, le système NFS de fichiers en réseau et les postes de travail, ainsi que des correctifs Adobe

Le Patch Tuesday de ce mois de novembre 2020 traite 112 vulnérabilités dont 17 classées comme critiques. Ces 17 vulnérabilités critiques concernent les codecs Windows, le système NFS de fichiers en réseau, Sharepoint, le spouler d’impression Windows ainsi que les postes de travail. De son côté, Adobe a publié des correctifs pour Acrobat Connect et Adobe Reader pour Android.

Corriger les vulnérabilités affectant les codecs Windows, GDI+, les navigateurs, Office et Exchange Server sont une priorité pour les équipements de type poste de travail, c’est-à-dire tout système utilisé pour accéder à la messagerie ou à Internet depuis un navigateur. Les serveurs multi-utilisateurs faisant office de postes de travail distants sont également concernés.

RCE dans SharePoint

Microsoft a corrigé six vulnérabilités dans SharePoint dont l’une est susceptible de déclencher une exécution de code à distance.(CVE-2020-17061). Trois de ces vulnérabilités ((CVE-2020-17016, CVE-2020-17015 et CVE-2020-17060) provoquent des problèmes d’émulation tandis que deux autres (CVE-2020-16979, CVE-2020-17017) entraînent des divulgations d’informations. La dernière (CVE-2020-17061) est une vulnérabilité par exécution de code à distance. Pour cette raison, il est hautement recommandé de privilégier l’application de ces correctifs sur tous les déploiements SharePoint.
Élévation de privilèges au sein du noyau Windows

Même si elle n’est indiquée que comme importante, une vulnérabilité est exploitée de manière active (CVE-2020-17087) dans Microsoft Windows. Cette vulnérabilité facilitant l’élévation de privilèges a été divulguée publiquement par Google fin octobre. Selon Mateusz Jurczyk et Sergei Glazunov, chercheurs en sécurité de l’équipe Project Zero de Google, ce bug permet à un attaquant de remonter des privilèges dans Windows. Ce correctif doit être déployé en priorité sur tous les équipements Windows.

RCE dans le système de fichiers en réseau (NFS) de Windows

Microsoft a corrigé une vulnérabilité (CVE-2020-17051) dans le système NFS (Network File System) de Windows. Cette CVE, qui a obtenu une score CVSS de 9,8, se caractérise par une attaque peu complexe à lancer et ne nécessitant pas l’interaction de l’utilisateur. Cette vulnérabilité peut éventuellement se propager sous la forme de ver et doit donc être résolue en priorité.
RCE dans le service de spouleur d’impression

Microsoft a également corrigé une vulnérabilité par exécution de code à distance (CVE-2020-17042) dans le spouleur d’impression qui est susceptible d’entraîner une élévation de privilèges. L’exploitation de cette vulnérabilité exige l’interaction de l’utilisateur, mais elle se caractérise par une attaque de faible complexité, ce qui augmente le risque de compromission. Ce correctif doit être déployé en priorité.

Adobe

Adobe a publié des correctifs pour résoudre de nombreuses vulnérabilités au sein du Reader pour Android et d’ Adobe Connect. Les patches pour Reader et Connect sont de Priorité 3.

Même si aucune des vulnérabilités rapportées par Adobe n’est a priori activement attaquée pour l’instant, tous les correctifs doivent être déployés en priorité sur les systèmes où ces produits sont installés.

Télétravail & confinement : la sauvegarde et la protection des données doivent aller de pair

Nous devons faire à nouveau face à une période difficile de confinement. Malgré une généralisation du télétravail sur l’ensemble du territoire, beaucoup d’entreprises se déchargent encore de la responsabilité du respect de la protection des données des télétravailleurs. Grâce à des formations, à des règles claires et à certaines mesures IT, les risques liés au télétravail peuvent être considérablement réduits.

En France, les départements IT de nombreuses entreprises ont fait passer les collaborateurs en télétravail dans un délai particulièrement court. Cependant, la hâte avec laquelle ces équipes ont dû développer de nouvelles méthodes de travail à partir de rien a généré de nouveaux risques numériques pour les employés et leurs données. Par conséquent, deux tendances ont émergé suite à la mise en place du télétravail. Premièrement, le nombre d’attaques visant les nouveaux modèles de travail sont de plus en plus nombreuses[1]. Ensuite, les responsables chargés de la protection des données indiquent que les télétravailleurs respectent rarement les règles dédiées à la protection de données que ce soit par volonté ou encore par manque de moyens techniques.

En effet, leur domicile devenant leur nouveau lieu de travail, certains collaborateurs n’ont pas les ressources nécessaires pour stocker, sécuriser, ou encore transférer les données. De plus, il leur est parfois difficile de respecter les réglementations mises en place par les entreprises en matière d’emplacement de sauvegarde des données ou de gestion de données confidentielles dans un contexte familial, par exemple. Le manque de connaissance des risques et des règles montre que les employés ne sont ni suffisamment informés de la marche à suivre, ni formés aux bonnes pratiques.

Comme il est impossible pour les entreprises de contrôler le comportement de leurs collaborateurs en télétravail, des formations, un rappel des règles clair et la mise en place de solutions techniques simples semblent être les outils les plus appropriés pour assurer une bonne gestion de données. Car en effet, rappelons que l‘entreprise reste responsable du respect de la protection des données et des exigences légales (RGPD) et peut être condamnée à une amende en cas de violation.

Des improvisations qui ouvrent la voie aux attaques

Le manque de temps et d’équipements (en ordinateurs portables notamment) ont obligé les entreprises à tolérer la connexion d’appareils privés au réseau de l’entreprise. Mais cela n’est malheureusement pas sans conséquences. En effet, le niveau de sécurité des appareils privés est généralement inférieur à celui du réseau d’entreprise, notamment parce que les logiciels et le matériel n’y sont pas normalisés et que les programmes ne font pas l’objet de correctifs ou de mises à jour uniformes. De plus, milieu professionnel et privé ont désormais des frontières bien plus floues : les employés utilisent des données et des services privés en parallèle de ceux mis à disposition par l’entreprise sur les dispositifs professionnels, qui plus est sur des dispositifs généralement situés en dehors de l’environnement sécurisé. Dans ces conditions, le risque d’infection et de perte de données est plus important.

Une récente mise en garde communiquée par Interpol souligne l’intérêt des hackers à utiliser le contexte du coronavirus et du télétravail pour arriver à leurs fins. Ils utilisent par exemple des noms trompeurs et en lien avec l’épidémie dans le titre des pièces jointes pour inciter les collaborateurs à cliquer et à ouvrir la porte à un logiciel malveillant comme un ransomware. Les acteurs malveillants recherchent spécifiquement les points faibles des nouveaux outils de communication afin d’attaquer les systèmes des entreprises, des autorités et des universités. Avec un nombre de télétravailleurs plus important que jamais, les services informatiques sont à nouveau fortement sollicités et réagiront certainement plus lentement en cas d’urgence, malgré les apprentissages tirés de la première vague de l’épidémie – et du premier confinement.

Chaque nouvelle application numérique génère un nombre important de nouvelles données et duplique par conséquent la quantité de lieux de stockage. Cet aspect, loin d’être anodin, a d’importantes conséquences sur l’IT : l’absence de règles claires concernant l’endroit et la manière de stocker les données combinés à un concept de gestion et à une sécurité des données non adaptés – induisant une grande disparité des lieux de stockage de données, favorisent l’apparition d’angles mort au sein du paysage informatique.

À l’heure actuelle, une entreprise ne connaît le contenu que d’environ la moitié de ses données. Alors, il y a de fortes chances que cette même entreprise ne soit pas en mesure d’identifier celles ayant pu lui être volées en cas d’attaque. Pour éviter une telle situation, quelques de règles de bases sont à mettre en place :

  • Les collaborateurs ont besoin de règles claires quant au lieu et à la manière dont ils doivent stocker les données importantes. Ils comprendront, notamment au cours de formations dédiées, qu’il est indispensable de stocker les données de valeur sur des systèmes de stockage mis en place par l’entreprise dans le cloud et que celles-ci ne doivent être conservées que dans des endroits sécurisés.
  • Il n’existe pas d’alternative à la connaissance des employés sur les risques d’attaque par ransomware et à celle de la conduite à tenir dans ce type de situationLes attaques évoluant de façon perpétuelle, ces connaissances doivent être actualisées à intervalles réguliers.
  • Les hackers arrivent parfois à leurs fins, malgré un système de défense rodé et perfectionné. En connaissance du risque, les équipes IT doivent avoir une réelle visibilité et connaissance des données, leur lieu de stockage et selon quelles exigences réglementaires elles doivent être conservées. Ces aspects sont d’autant plus importants que l’environnement est de plus en plus numérique et que le télétravail favorise les échanges de données en dehors du réseau de l’entreprise.
  • Un système de restauration est indispensable, que ce soit pour palier une attaque ou encore une mauvaise manipulation des employés (suppression, falsification, etc.). Une sauvegarde des données menée par une plateforme unique permettra la prise en compte de l’ensemble des dispositifs de stockage et par conséquent une récupération des données plus efficace. (par Jean-Pierre Boushira, Vice President South Region chez Veritas Technologies)

+ 605 % de cyberattaques liées au Covid-19 au 2e trimestre 2020

Un nouveau rapport sur les activités cybercriminelles liées aux logiciels malveillants et l’évolution des cybermenaces au cours du 2e trimestre 2020 affiche des chiffres qui ont de quoi inquiéter sur l’appétit grandissant des pirates informatiques.

Pendant cette période, une moyenne de 419 nouvelles menaces par minute et une augmentation de 11,5 % de nouveaux logiciels malveillants. Une importante prolifération d’attaques malveillantes utilisant des fichiers offices malveillant Donoff ont été observé, augmentant de ce fait le nombre d’attaques utilisant PowerShell de 117%. L’influence mondial du Covid-19 a incité les cybercriminels à adapter leurs campagnes pour attirer les victimes avec des thèmes liés à la pandémie et exploiter le contexte d’une main-d’œuvre travaillant à domicile.
 
« Le deuxième trimestre de 2020 a vu l’évolution continue de menaces innovantes utilisant PowerShell. Par ailleurs l’adaptation rapide des cybercriminels au contexte actuel a permis un ciblage des organisations par le biais des employés travaillant à distance, déclare Raj Samani, fellow et chief scientist chez McAfee. Ce qui ne représentait au début qu’une poignée de campagnes de phishing et d’applications malveillantes s’est rapidement transformé en un déluge d’URL piratés, d’attaques sur les utilisateurs de services cloud et d’acteurs malveillants capables de tirer parti de la soif mondiale d’informations sur le Covid-19 comme porte d’entrée dans les systèmes informatiques du monde entier ».
Chaque trimestre, la société de cybersécurité évalue l’état du paysage de la cybermenace sur la base de recherches approfondies, d’analyses d’enquêtes et de données sur les menaces. Ces renseignements sont recueillis par la plateforme cloud Global Threat Intelligence, à partir de plus d’un milliard de capteurs répartis sur plusieurs vecteurs de menace dans le monde.
Les campagnes cybercriminelles sur le thème du Covid-19
Après un 1er trimestre qui a vu le monde plonger dans la pandémie, le 2e trimestre a vu les entreprises continuer à s’adapter à un nombre sans précédent d’employés travaillant à domicile, avec les challenges de cybersécurité qui accompagnent cette nouvelle norme.
En réponse à cela, un Tableau de Bord des Menaces Covid-19 McAfee pour aider les RSSI et les équipes de sécurité à comprendre comment les acteurs malveillants utilisent des techniques de plus en plus sophistiquées pour cibler les entreprises, les gouvernements, les écoles et une main-d’œuvre qui doit faire face aux restrictions liées au Covid-19 et aux vulnérabilités potentielles de la sécurité des dispositifs à distance et de bande passante. Au cours du T2, une augmentation de 605 % des détections d’attaques liées au Covid-19 par rapport au T1.
Le malware Donoff
Les fichiers Donoff Microsoft Office agissent comme des « TrojanDownloaders » en utilisant le système de commande Windows pour lancer PowerShell et procéder au téléchargement et à l’exécution de fichiers malveillants. Donoff a joué un rôle essentiel dans l’augmentation de 689 % de codes PowerShell malveillant au premier trimestre 2020.
Au second trimestre, la croissance des logiciels malveillants liée à Donoff a ralenti mais demeure constante, entraînant une hausse de 117 % de code malveillants PowerShell et contribuant à une augmentation de 103 % de l’ensemble des nouveaux logiciels malveillants utilisant Microsoft Office. En 2019, le nombre total d’échantillons de malwares PowerShell a augmenté de 1 902 %.
Attaques sur les utilisateurs de services cloud
7,5 millions d’attaques externes sur les comptes d’utilisateurs cloud. Ce chiffre est basé sur l’agrégation et l’anonymisation des données d’utilisation du cloud de plus de 30 millions d’utilisateurs mondiaux au cours du T2 2020. Cet ensemble de données représente des entreprises de tous les grands secteurs d’activité mondiaux, notamment les services financiers, la santé, le secteur public, l’éducation, le commerce, la technologie, l’industrie, l’énergie, les services publics, le secteur juridique, l’immobilier, les transports et les services aux entreprises.
Paysage des menaces au 2e trimestre 2020
  • Les logiciels malveillants. 419 nouvelles menaces par minute au cours du T2 2020, soit une augmentation de près de 12 % par rapport au trimestre précédent. La croissance des rançongiciels est restée constante par rapport au T1 2020.
  • Les Coinminer malwares. Après avoir augmenté de 26 % au T1, les nouveaux logiciels malveillants faisaint du mining de cryptomonnaies ont augmenté de 25 % par rapport au trimestre précédent.
  • Les malwares mobiles. Après une augmentation de 71 % des nouveaux échantillons de malwares mobiles au T1, la tendance s’est ralentie de 15 % au T2, malgré une forte augmentation des logiciels publicitaires Android Mobby.
  • IoT. Les nouveaux logiciels malveillants IoT n’ont augmenté que de 7 % au cours du T2, mais le domaine a enregistré une activité importante des menaces Gafgyt et Mirai, qui ont toutes deux entraîné une croissance de 22 % des nouveaux logiciels malveillants Linux au cours de la période.
  • Vecteurs d’attaque. Dans l’ensemble, les logiciels malveillants sont en tête des vecteurs d’attaque signalés, représentant 35 % des incidents dévoilés publiquement au T2. Les détournements de comptes et les attaques ciblées ont représenté respectivement 17 % et 9 %.
  • Activité sectorielle. Les incidents divulgués détectés au cours du T2 2020 et visant le secteur scientifique et technologique ont augmenté de 91 % par rapport au trimestre précédent. Les incidents dans le secteur industriel ont augmenté de 10 %, mais les événements dans le secteur public ont diminué de 14 %.

Faire face à l’augmentation des attaques par ingénierie sociale visant les télétravailleurs

Avec le reconfinement et le télétravail à nouveau imposé aux entreprises par le gouvernement au minimum jusqu’au 1er décembre prochain, la deuxième vague de la pandémie réunit une nouvelle fois les conditions propices à différents types d’attaques d’ingénierie sociale. En France et au niveau international, de nombreux rapports et avertissements d’organismes publics et d’entreprises privées réputées font état de l’augmentation des attaques liées au coronavirus, allant du phishing au vishing (hameçonnage par téléphone), en passant par le ransomware, alors que le monde entier évolue vers le télétravail et s’adapte aux risques qui y sont associés.

Les attaques deviennent de plus en plus sophistiquées, cependant les cybercriminels capitaliseront toujours sur le facteur humain. L’incertitude, la peur, la distraction, l’isolement et la confusion sont autant de facteurs qui contribuent à accroître la vulnérabilité des utilisateurs. Et tandis que l’actualité évolue rapidement, il est difficile, voire impossible, d’anticiper le prochain rebondissement de la pandémie ou événement majeur que des pirates informatiques opportunistes exploiteront.

Les experts s’attendent à ce que la distanciation sociale se poursuive et que les interactions virtuelles se multiplient bien après la fin de la crise sanitaire. Cela signifie que les entreprises doivent s’appuyer sur une authentification forte pour se prémunir contre l’augmentation des attaques par ingénierie sociale. Par ailleurs, avec un environnement de travail de plus en plus décentralisé et la baisse de confiance dans les systèmes de sécurité, il est essentiel de regagner la confiance des utilisateurs.

Dans ce contexte, bien qu’elle soit essentielle, la sensibilisation des employés à la détection des escroqueries liées au Covid-19 ne constitue pas une réponse pleinement satisfaisante. Quel que soit le degré de sensibilisation des utilisateurs au phishing ou à l’ingénierie sociale, certains cybercriminels parviendront tout de même à leurs fins. Tant que la participation des utilisateurs sera nécessaire et que l’on comptera sur eux pour identifier le phishing et les attaques de type « man-in-the-middle » (qui a pour objectif d’intercepter les communications entre deux parties, sans que ni l’une ni l’autre ne puisse se douter de la compromission du canal de communication), les vulnérabilités continueront à poser problème.

Des solutions modernes d’authentification forte capables de réduire à zéro l’impact d’attaques de type phishing existent, telles les clés de sécurité basées notamment sur l’usage de clés asymétriques, sujettes ni à la fatigue de l’utilisateur ni à son niveau de sensibilisation à la cybersécurité. C’est la raison pour laquelle les organisations ont tout intérêt à revoir leur stratégie d’authentification. Elles ne peuvent en effet plus se permettre de reposer éternellement la sécurité des réseaux via de simples mots de passe, des questions de récupération ou une authentification de base à deux facteurs pour se protéger contre de futures attaques d’ingénierie sociale. Ces méthodes ont prouvé à maintes reprises qu’elles n’étaient pas à la hauteur face aux logiciels malveillants mobiles, au SIM Swapping ou encore aux attaques de phishing. Les cybercriminels sont aujourd’hui de mieux en mieux préparés, et les entreprises doivent suivre la même voie.

De plus, l’expérience de l’utilisateur est essentielle pour garantir la sécurité d’une organisation. Dans un monde où les télétravailleurs se trouvent physiquement éloignés de leurs collègues et de l’équipe IT, et où ils essayent de concilier vie professionnelle et vie privée, l’authentification forte doit fonctionner sur une multitude d’appareils, d’applications métiers critiques et dans différents environnements. En effet, plus l’expérience de l’utilisateur est optimale, plus il est facile de déployer et de sécuriser l’entreprise — contrairement aux solutions ponctuelles complexes qui ne protègent qu’un ensemble d’utilisateurs.

Ainsi, la recrudescence des attaques liées au Covid-19 représente un danger réel et bien présent. Toutefois, il ne s’agit pas seulement de menaces temporaires ou propre à la pandémie. Il est aujourd’hui davantage question de prendre des mesures opérationnelles et matérielles afin de limiter au maximum les vulnérabilités malgré l’intensification des attaques d’ingénierie sociale. (Par Laurent Nezot, Sales Director France chez Yubico)

 

Protéger les informations confidentielles du secteur industriel

L’importance d’une cybersécurité efficace dans le secteur industriel et propose une série de conseils pour aider chaque entreprise à la concrétiser.

La cybersécurité est importante dans tous les secteurs, mais nulle part plus que dans le secteur industriel, où la quantité considérable d’informations confidentielles détenues par les entreprises en fait des cibles extrêmement attrayantes pour les criminels.

Les cybermenaces modernes peuvent prendre de nombreuses formes, allant de l’espionnage commandité par des États aux gangs criminels organisés, en passant par des tiers mécontents et même des initiés imprudents dans l’entreprise, commettant des erreurs en toute honnêteté. Mais en fin de compte, tous ces acteurs représentent un grave danger pour la sécurité des données, qui peut entraîner de graves conséquences sur le plan de la réputation, de la concurrence et des finances en cas de violation.

Pour les industriels aux chaînes d’approvisionnement complexes, les données les plus importantes relèvent de leur propriété intellectuelle (PI), notamment les formules, les conceptions et les brevets exclusifs, pour n’en nommer que quelques-uns. Garder cette PI hautement sensible à l’abri des regards indiscrets peut être la clé du succès à long terme d’une entreprise. C’est pourquoi il est essentiel de mettre en place une cybersécurité efficace pour la protéger. Cet article abordera une série de conseils en matière de cybersécurité. Beaucoup sont très faciles à mettre en œuvre. Ils peuvent améliorer considérablement la posture de sécurité de toute entreprise et contribuer à protéger les données sensibles.

1. L’importance d’agir pour la protection des données

En matière de protection des données, il est étonnant de voir le nombre d’entreprises qui en parlent beaucoup sans pour autant agir sur cette question. Les dirigeants aiment à citer la productivité des travailleurs et la fluidité du flux d’informations pour justifier l’absence de programmes de sécurité significatifs, qui, selon eux, nuirait à ces aspects. Mais ces idées sont dépassées. Il existe aujourd’hui une pléthore d’excellentes solutions de sécurité qui offrent un excellent équilibre entre la protection nécessaire et des niveaux optimaux en matière de productivité et d’innovation. En fin de compte, aucun programme de protection des données ne décollera sans un soutien de la direction, c’est pourquoi c’est un premier pas si fondamental vers la réussite.

2. Identifier et localiser les informations précieuses

Une fois que l’engagement en matière de protection des données a été pris, l’étape suivante consiste à identifier exactement les actifs à protéger et, surtout, à les localiser. Trop souvent, les organisations n’ont aucune idée de l’endroit où toutes leurs précieuses données sont réellement stockées, ni de qui y a accès, ce qui les rend vulnérables au vol. Bien que la tâche puisse paraître complexe, ce n’est pas nécessairement le cas. Commencez par la propriété intellectuelle la plus précieuse de l’entreprise. Par exemple, les industriels pourraient commencer par leurs designs et formules propriétaires. Une fois qu’ils ont tous été identifiés et localisés sur le réseau, passez à la fonction organisationnelle suivante et recommencez.

3. Étiqueter les actifs sensibles puis y ajouter des couches de sécurité si nécessaire

Dès que des données sensibles ont été identifiées, elles doivent avant toute chose être étiquetées comme telles. Étiqueter les actifs comme « confidentiels » semble basique, mais c’est le moyen le plus rapide et le plus simple de s’assurer que quiconque y accède en est immédiatement informé. Une fois cela effectué, vous pouvez ajouter des couches de sécurité supplémentaires si nécessaire. Du chiffrement à la gestion des droits numériques, en passant par l’étiquetage persistant des documents et la protection des données pilotée par des politiques, de nombreuses approches peuvent garantir que les données circulent librement, mais sur la base du besoin d’information uniquement, ce qui réduit considérablement les risques de vol.

4. Veillez à ce que les employés soient formés à la sécurité

Quelle que soit l’efficacité du programme de sécurité d’une entreprise sur le plan technologique, le maillon le plus faible sera invariablement l’élément humain : ses employés. Des cadres aux réceptionnistes, il suffit que quelqu’un clique sans se méfier sur un lien ou une pièce jointe compromis et les vannes peuvent s’ouvrir. Heureusement, la solution est à la fois simple et efficace. Une formation régulière permet non seulement de garder la sécurité à l’esprit des employés, mais aussi de les garder informés de toutes les dernières méthodes et tactiques d’ingénierie sociale utilisées par les criminels. Dans la mesure du possible, les sous-traitants, les fournisseurs et les partenaires doivent également être invités à participer, pour contribuer à réduire le risque de brèche ailleurs dans la chaîne d’approvisionnement.

6. Etre préparé à un éventuel incident

Même avec la meilleure volonté du monde, aucune entreprise ne peut éliminer complètement le risque de violation, c’est pourquoi il est important de toujours disposer d’un plan détaillé de réponse aux incidents. Avec un peu de chance, il ne sera jamais utilisé, mais il est beaucoup plus prudent d’en avoir un et de ne pas en avoir besoin que l’inverse. Si le pire doit arriver, un plan clair garantira que chacun connaît ses rôles et responsabilités, pour atténuer la violation le plus rapidement possible, en évitant, espérons-le, la perte de données critiques.

Les cybercriminels d’aujourd’hui sont plus créatifs, plus agiles et plus motivés que jamais, il est donc avantageux d’être préparé. C’est particulièrement vrai dans le secteur industriel, où la propriété intellectuelle sensible joue un rôle prédominant dans la réussite ou l’échec de nombreuses entreprises. Une stratégie de cybersécurité n’a pas besoin d’être coûteuse, mais elle nécessite l’adhésion des plus hauts cadres de l’entreprise, une attention aux détails et la juste combinaison d’outils et de formations pour être performante. (Tim Bandos, vice-président de la cybersécurité chez Digital Guardian)

Bitcoin : le réseau prendra prochainement en compte les adresses Tor

Le réseau de cryptomonnaie Bitcoin va connaître une mise à jour de sécurité majeure. Elle permettra de sécuriser davantage la blockchain, grâce à des adresses Tor.

Tout le monde connaît maintenant Tor, ce réseau de paiement décentralisé mondial, qui s’est fait connaître grâce à son navigateur anonyme. Le réseau Bitcoin est également décentralisé, et il est développé par une implémentation majeure : Bitcoin Core.

C’est cette version qui sera bientôt compatible avec les nouvelles adresses Tor. La manœuvre a été rendue possible par le « Bitcoin Improvement Proposal (BIP) 155 ». Les BIP sont des propositions qui permettent aux développeurs de mettre à jour le réseau de paiement, afin qu’il continue à être sécurisé.

En juillet dernier, les développeurs du réseau Tor avaient annoncé que la deuxième version de leurs adresses (V2) était maintenant obsolète. Elles seront mises au placard définitivement en octobre 2021. Ce sont les nouvelles adresses V3 qui les remplaceront. Développées depuis 2015, elles ont permis d’intégrer les dernières découvertes de la science en matière de chiffrement et de mathématiques.

Intégration de la fonctionnalité « gossiping »

La mise à jour permettra également d’intégrer la fonctionnalité « gossiping » de Tor. Elle permet aux nœuds cachés du réseau de chercher et trouver d’autres nœuds, afin de s’y connecter. Concernant le Bitcoin en particulier, cela permet à un nœud de trouver un service caché qui fait tourner un nœud de la cryptomonnaie, sans que cela soit visible pour les observateurs.

Bitcoin : la plus sécurisée des cryptomonnaies ?

Le réseau Bitcoin fait figure d’ancêtre en ce qui concerne les cryptomonnaies, car il date maintenant de plus d’une décennie. Pour autant, sa technologie continue d’être considérée comme la plus sécurisée, face à d’autres réseaux de paiement alternatifs.

Bitcoin fait en effet usage de la « Preuve de Travail », un protocole de vérification des transactions particulièrement gourmand en énergie, mais aussi particulièrement sécurisé. D’autres protocoles, comme la « Preuve d’Enjeu » sont également efficaces… Mais au prix d’une plus grande centralisation du réseau de paiement.

Il faut cependant noter que l’intégration des adresses V3 de Tor à Bitcoin ne rend pas le réseau plus anonyme. Comme l’explique Cryptonaute, pour acheter du Bitcoin (BTC) il faut d’abord s’inscrire sur un broker comme Capital.com ou eToro. Puis il faut dépenser de l’argent par virement ou carte bancaire, avant d’obtenir des BTC. La manœuvre est donc traçable.

Des moyens de se procurer des Bitcoins de manière plus anonyme existent, mais il faut noter que toute transaction est enregistrée dans les registres distribués de Bitcoin, qui eux sont consultables par n’importe qui. Les utilisateurs qui souhaitent effectuer des transactions entièrement anonymes doivent donc faire usage d’outils annexes, comme le portefeuille Wasabi par exemple.

Les blockchains sont par nature très sécurisées, c’est pourquoi elles prennent de plus en plus d’ampleur dans le secteur de la cybersécurité. Il faut également noter que Bitcoin est un des rares réseaux de paiements cryptographiques à ne pas avoir connu de faille de sécurité au cours de son existence. Il devrait donc continuer à dominer en matière de fiabilité.

Mise en place de la 2FA à la suite d’un ransomware

La commune américaine de Keizer, située dans le comté de Marion dans l’Oregon, a été victime d’une attaque de ransomware. Son administration, composée de plusieurs divisions telles que les patrouilles de police, les travaux publics, le développement communautaire, etc s’est retrouvée coincée par la cyber attaque. La ville traite des données extrêmement sensibles et doit donc en assurer la protection et l’accès sécurisé.

Pour aider la ville à se protéger contre de nouvelles attaques, une stratégie de sécurité renforcée a été mise en place. En haut de la liste des priorités figurait l’implémentation de l’authentification à deux facteurs (A2F).

Pour les patrouilles de police, les réglementations exigeaient déjà l’utilisation de deux facteurs pour s’identifier. Pour être conforme, le département avait installé Duo A2F, mais la solution n’avait pas été considérée comme simple à mettre en place ou intuitive. Pour cette raison, Bill Hopkins, administrateur réseau, recherchait une nouvelle solution qui pourrait être facilement déployée sur tous les comptes utilisateurs et administratifs, de tous les départements. Une étude de cas proposée par la société IS Decisions.

Les hébergeurs web sont-ils sécurisés ?

Des centaines d’entreprises par le monde proposent d’héberger sites et applications web. Les États-Unis accaparent la moitié du business. Mais qu’en est-il de la sécurité de celui qui va vous héberger ? Voici les points primordiaux à contrôler avant de se lancer dans l’aventure.

Les propriétaires de site web vivent une vie secrète. Un webmaster marié vit avec une maîtresse qu’il ne peut ignorer, oublier, … Son hébergeur. Un hébergeur permet d’installer son site web, ses applications, … Un gros hangar qui, sur le papier, se charge uniquement de vous proposer de quoi installer vos informations. Mais comment choisir cet hébergeur ? Quelles sont les règles à mettre en place pour sécuriser son bien.

Avec un business pris en main par les Etats-Unis, 50,8% de part de marché liés à l’hébergement dans le monde (11,5 pour l’Allemagne ; 3,30% pour la France ; 2,5% pour le Canada), choisir son hébergeur doit d’abord prendre en compte plusieurs points, dont les diverses réglementations (États-Unis, France, Europe, …) : RGPD, California Consumer Privacy Act, … Prendre en compte cet élément n’est pas négligeable. Vous ne pourrez pas stocker, utiliser, les données fournies par vos visiteurs comme bon vous semble.

Vient ensuite les sécurités à vérifier avant même de parler hébergement. Quels sont les outils mis en place par l’hébergeur ? A-t-il un espace d’administration ? A-t-il une gestion de la double authentification pour vous y connecter ? Pouvez-vous recevoir une alerte (courriel, SMS, …) lors de la connexion à votre administration ? Pouvez-vous créer des sous-comptes sécurisés, avec la gestion des droits pour chaque utilisateur de votre administration ? Voilà quelques questions à se poser. Perdre l’accès à son administration d’hébergement à la suite d’un piratage, par exemple, c’est perdre votre espace numérique et son contenu. Les attaques sont multiples, allant de la recherche d’un mot de passe un peu trop faible ou facilement récupérable (OSINT, SE, …), hameçonnage, mots de passe retrouvés dans d’autres bases de données de sites piratés.

A noter que le phishing est un élément qui fait grand mal. Une méthode qui a permis de piéger des milliers d’entreprises (via des employés mal ou pas formés). La propagation mondiale de la COVID-19 a changé le paysage des menaces.

Votre hébergeur est-il « humain »

Aussi idiot que cela puisse paraître, votre hébergeur est-il « humain ». Par cela, comprenez : « êtes-vous capable de joindre un employé, le SAV, le Service Technique, … par téléphone, par mail, rapidement ?« . Bref, avoir un support 24/7 est obligatoire. « Indispensable confirme PlanetHoster. En cas de problème, vous êtes assuré d’avoir une assistance personnalisée selon vos besoins.« 

Vient ensuite les règles internes à l’entreprise. A-t-elle une politique cyber sécurité ? Une assurance. Pour l’hébergeur cité plus haut, une « assurance erreur et omission » vous protège jusqu’à 2 000 000 $ par incident. Panne, piratage, … Ont-ils des partenariats sécurité, par exemple, avec des entreprises liées au chiffrement (LetsEnrypt, …), aux certificats SSL, … Point important, n’hésitez jamais à poser des questions : les équipes sont-elles formées aux nouvelles attaques ? Aucun doute que oui, mais montrer que vous avez une réflexion sur le cyber sécurité permet de ne pas être le cocu d’un mariage qui pourrait mal tourner.

Les pirates se sont attaqués ces dernières semaines à de nombreux hébergeurs, mettant à mal les clients et les données de ces derniers.

RGPD, California Consumer Privacy Act, Convention 108

Si le RGPD, le Règlement Général de la Protection des Données Personnelles, est entré dans toutes les têtes (ou presque), c’est oublier l’ensemble des autres règles dédiés à la sécurité des données personnelles. Nous vous parlions plus haut de l’importance de choisir son hébergeur en prenant compte sa localisation géographique.

Pour rappel, la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, connue également sous le nom de « Convention 108 », est le seul instrument international juridiquement contraignant dédié à la protection des données et de la vie privée qui soit ouvert à la signature de tous les pays du monde.

Adopté en 1981, ce traité a été mis à jour en 2018 par un protocole, pas encore entré en vigueur, qui garantit que ses principes de protection des données sont toujours adaptés aux outils et pratiques actuels et renforce son mécanisme de suivi.

À ce jour, 55 pays (Belgique, France, Irlande, Luxembourg, Ukraine, …) ont ratifié la « Convention 108 » et de nombreux autres pays du monde s’en sont inspirés comme modèle de leur nouvelle législation relative à la protection des données.