Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Securite informatique

Hausse de la cybercriminalité, pourquoi protéger sa PME ?

Depuis quelques années maintenant, le constat est sans appel : la cybercriminalité est en constante hausse. Si l’on entend souvent parler des attaques à l’encontre de grands groupes internationaux, les PME sont également exposées. Ces dernières sont même aujourd’hui des cibles de choix pour les cybercriminels. Il est donc devenu une véritable nécessité pour les PME de se protéger contre ces criminels informatiques. Mais quels sont donc les risques qui menacent les PME et quels sont les moyens disponibles pour s’en prémunir efficacement ? Découvrez des éléments de réponse dans cet article.

Le phishing et le spear-phishing

Également connu sous le nom de « hameçonnage », le phishing est une méthode utilisée par les cybercriminels pour extorquer des données confidentielles et sensibles, souvent des coordonnées bancaires. Le but étant dans la plupart des cas de récupérer une grosse somme d’argent. Pour ce faire, les pirates informatiques envoient des mails d’apparence officielle et fiable. Cependant, il arrive qu’ils fassent également apparaître des fenêtres pop-up.

Quant au spear-phishing, il s’agit d’un hameçonnage très ciblé. Les cybercriminels prennent le temps de créer des messages personnels et pertinents. Pour duper leurs cibles, ils usurpent une adresse électronique et falsifient la section « de » de l’e-mail. Ils peuvent également cloner des sites web.

Pour lutter contre ce type d’attaques, la prudence reste la meilleure solution. Demandez à l’ensemble de votre personnel de bien analyser tous les mails qu’ils reçoivent avant de les ouvrir pour détecter tout mail frauduleux. Si les mails contiennent des liens, déplacez le curseur sur les liens avant de cliquer dessus. Vous pourrez ainsi voir vers quelles pages ils mènent. Toutefois, vous pouvez également recourir aux services d’Oppens, le coach cybersécurité des entreprises, pour sensibiliser et tester vos salariés.

Le pharming

Dans le cadre d’un phishing et d’un spear-phishing, les mails sont utilisés comme appât. Cependant, il arrive que les cybercriminels n’utilisent pas d’appât. On parle dans ce cas de pharming, autrement dit d’hameçonnage sans appât. Ce sont alors des malwares — programmes malveillants (virus, vers informatiques, chevaux de Troie) — qui sont utilisés à la place des mails. Lorsque ces malwares sont installés sur un ordinateur de votre PME, ils vous redirigent vers un site cloné où les cybercriminels vous extorqueront vos données personnelles.

Pour lutter contre le pharming, il est vivement recommandé d’installer un antivirus efficace et de vérifier régulièrement le certificat de sécurité des pages. Vérifiez également que le site sur lequel vous être redirigé est sécurisé et pour limiter les risques, choisissez toujours un fournisseur d’accès internet de confiance et reconnu. Si vous suspectez la présence d’un malware, détectez-le et détruisez-le avec votre antivirus. N’effectuez aucune transaction bancaire en ligne. Si vous avez des doutes, contactez par téléphone votre banque et demandez à votre conseiller de procéder à la modification de vos codes et autres mots de passe.

L’ingénierie sociale

Dans le cadre d’une telle attaque, le cybercriminel use de ruses pour gagner la confiance d’une personne de votre entreprise afin de lui soutirer par la suite des données et des informations sensibles telles qu’un mot de passe ou l’identité d’une personne clé au sein de l’entreprise. Cette manœuvre peut aussi avoir pour objectif d’inciter la personne dupée à télécharger inconsciemment un malware ou à cliquer sur des liens infectés.

Il existe plusieurs formes de techniques d’ingénierie sociale mais les plus courantes sont :

  • Le spoofing c’est-à-dire l’usurpation d’identité d’un collaborateur. Le cybercriminel peut usurper l’identité d’un collaborateur ou d’un administrateur système pour récupérer des mots de passe et des identifiants. Il peut également se faire passer pour un dirigeant ou un cadre afin d’ordonner un virement frauduleux. On parle alors de fraude au président.
  • Le phishing, le spear-phishing et le pharming.

Pour limiter les risques de se faire piéger, il est important de sensibiliser tous vos collaborateurs à ces manœuvres et à toutes les pratiques dangereuses sur internet. Il faut également penser à mettre en place une politique de sécurité efficace pour bien sécuriser tous vos terminaux informatiques, surtout ceux qui sont mobiles car ils sont les plus vulnérables.

Le ransomware

Le ransomware est connu sous de nombreux noms en français : le rançongiciel, le logiciel rançonneur, logiciel de rançon ou encore logiciel d’extorsion. Comme son nom l’indique, il s’agit d’un logiciel malveillant qui prend en otage des données d’un ordinateur ou encore d’un serveur. Pour ce faire, le cybercriminel chiffre et bloque vos données, notamment celles qui vous sont utiles pour bien fonctionner. Il demande ensuite une rançon souvent élevée en échange d’une clé qui donne droit au déchiffrage et au déblocage de vos ressources informatiques.

Le mode de paiement préféré des pirates informatiques dans le cadre d’une telle attaque est la cryptomonnaie (monnaie virtuelle) pour éviter tout risque d’être tracés. Si vous ne payez pas la rançon exigée, il peut exposer et rendre vos données publiques ou les livrer à vos concurrents. Il peut également tout simplement les supprimer. Dans tous les cas, vous serez dans une situation très embarrassante. Il est souvent recommandé de ne pas payer. Gérer la crise n’est pas simple alors faites vous aider.

Les écoutes illicites

Certains cybercriminels recourent aux écoutes clandestines pour obtenir les mots de passe, les coordonnées bancaires et autres coordonnées confidentielles de votre entreprise. Pour ce faire, ils interceptent le trafic réseau. Ces écoutes peuvent être :

  • Passives : le pirate informatique procède au vol de données et d’informations en écoutant les transmissions de messages sur le réseau.
  • Actives : le pirate informatique usurpe l’identité d’une personne liée à l’entreprise et envoie des requêtes pour s’emparer des données et des informations de l’entreprise. On parle dans ce cas de sondage, sabotage ou encore de scan.

Pour lutter contre ces écoutes illicites, la meilleure solution reste à ce jour le chiffrement des données. Il faut également sensibiliser votre personnel, surtout les employés en télétravail, à n’envoyer des données sur le réseau que lorsque c’est vraiment indispensable.

Bitcoin, cryptomonnaie

Cryptomonnaies : appât du gain, internautes et Youtube

Une chaîne de jeux diffusée sur Youtube, Neebs Gaming, piratée et exploitée durant quelques heures par des escrocs spécialistes des cryptomonnaies. Les pirates amassent plus de 24 000 dollars.

Cryptomonnaies – Voilà une nouvelle escroquerie Internet rondement menée. Des pirates ont réussi à dérober plus de 24 000 dollars à des internautes attirés par l’appât du gain. Les escrocs ont réussi à faire croire aux pigeons qu’ils toucheraient 10 fois la sommes qu’ils verseraient sur une adresse Bitcoin proposée par les voleurs.

Pourquoi rondement menée ? Les pirates ont d’abord ciblé un youtubeur à l’audience loin d’être négligeable : 1,8 million d’abonnés. Ensuite, créer une vidéo reprenant des contenus officiels. Le nom et la bannière de l’espace ont été changés. Les pirates ont ensuite diffusé le porte-feuille sur lequel les internautes ont été invités à verser leurs Bitcoins.

Les escrocs ont utilisé le nom du PDG de Coinbase Pro, Brian Armstrong, pour inciter les webspectateurs à cliquer sur un lien qui promettait des cadeaux sous forme de Bitcoin gratuits: « Le PDG de Coinbase a annoncé le plus grand crypto Air-Drop de 10 000 Bitcoins, en direct« .

95 000 internautes ont assisté à la diffusion en direct de l’arnaque. Plusieurs d’entre eux ont participé à hauteur de 2,465 BTC, soit plus de 24 000 $.

Cloud, Cybersécurité

L’évolution des menaces dans les Clouds

Un rapport met en lumière les vulnérabilités des clouds, les tactiques des cyber-attaquants, où et comment les menaces font surface dans le contexte actuel, celui du passage généralisé aux l’infrastructures clouds, sans négliger de plonger dans le DevSecOps.

Ces 18 derniers mois, L’U42 a constaté un changement radical dans la façon dont les équipes DevOps déploient leurs infrastructures cloud. Les entreprises adoptent en masse l’infrastructure as code (IAC) en essayant d’automatiser au maximum leurs processus dans le cloud. Quand les équipes passent à l’IaC, elles évitent la création et la configuration manuelle de leur infrastructure en passant par des lignes de codes à la place. Même si ce n’est pas une nouveauté, comme de nombreuses sociétés utilisent cette méthode pour la première fois, de nouveaux risques se présentent.

Les recherches montrent qu’alors que l’IaC propose aux équipes une façon programmable d’implanter les standards de sécurité informatique, cette fonctionnalité puissante reste largement sous-utilisée.

199 000 templates non sécurisés sont en usage. Pourquoi est-ce important ? Les chercheurs ont trouvé un nombre incroyable de templates présentant des failles de sécurité avec des menaces moyennes à hautes. Il suffit d’une de ces mauvaises configurations pour compromettre tout un environnement cloud.

Tout comme il suffit d’une fenêtre ouverte ou d’une porte non verrouillée pour laisser entrer un voleur

Ce taux élevé explique pourquoi dans un précédent rapport, L’Unit42 a montré que 65 % des incidents liés au cloud étaient dus à de mauvaises configurations utilisateurs. Sans utilisations de templates IAS sécurisées dès le départ, les environnements cloud sont mûrs pour des attaques.

43 % des bases de données dans le cloud ne sont pas chiffrées. Pourquoi est-ce important? Avoir des données en clair revient à avoir une maison avec des murs de verre.

Quelqu’un peut venir et voir exactement ce qu’il se passe à l’intérieur. Garder ses données chiffrées empêche les attaquants d’accéder à l’information stockée. Le chiffrement des données est également obligatoire dans certains standards comme PCI DSS ou HIPAA. Les récentes failles de Vistaprint et MoviePass en démontrent l’importance.

60 % des services de stockage dans le cloud ont leur procédure d’identification désactivée. Pourquoi est-ce important? Une société n’accepterait jamais d’avoir plus de la moitié de ses entrepôts sans surveillance ni contrôle d’accès, car cela rendrait impossible de savoir qui entre ou sort dans les lieux. En désactivant la procédure d’identification pour le stockage dans le cloud, des cybercriminels comme CloudHopper ou FancyBear pourraient entrer dans le réseau sans que personne ne le sache. Cette identification est cruciale pour déterminer l’étendue des dégats dans des incidents comme la fuite des listes électorales états-uniennes, ou la fuite de données de la National Credit Foundation.

Les templates IaC les plus couramment utilisés
37% Terraform
24 % des templates CloudFormation
39 % K8s YAML

Les templates IaC les plus vulnérables
22% Terraform
42 % des templates CloudFormation
9 % K8s YAML

Dans le rapport précédent, il était notifié que les sociétés devaient améliorer la supervision centralisée et la mise en place des configurations cloud sécurisées. En dehors des templates IaC, dans les mois qui ont suivi ce rapport, nous avons constaté que les entreprises ont mis du temps à apporter ces améliorations. Pire, il semblerait que certaines s’engagent dans la mauvaise vois.

Les principaux changements depuis le dernier rapport

76 % des charges dans le cloud ont une exposition SSH (port 22), en hausse de 20 % par rapport à l’édition précédente rapport.

Pourquoi est-ce important?

Exposer ses serveurs SSH à l’ensemble d’Internet est une pratique à risque. Les attaquants ciblent les services SSH, car ils fournissent des accès distants aux environnements clouds. Les équipes de sécurité devraient laisser tomber les modèles d’accès basés sur la confiance avec des comptes et des mots de passe. « Ne jamais se fier, toujours vérifier » comme le préconise l’approche Zero-trust. Il est inquiétant de voir que cette exposition des services est une tendance en hausse.

69 % des entreprises exposent leurs postes de travail distants (RDP) (Port 3389), en hausse de 30 % par rapport à la précédente édition rapport.

Pourquoi est-ce important?

Faites votre choix : le poste de travail distant ou SSH. Exposé publiquement, chacun de ces services permet aux attaquants de frapper à votre porte alors qu’ils ne devraient même pas connaître votre adresse. Les chercheurs déconseillent fortement d’exposer les postes de travail distants publiquement sur Internet. De nombreuses solutions existent comme Azure Bastion, un service PaaS proposé par Microsoft. Cette tendance dangereusement à la hausse est à surveiller attentivement d’ici le prochain rapport.

27 % des sociétés utilisent des versions dépassées de TLS (Transport Layer Security), en baisse de 34 % par rapport au précédent rapport.

Pourquoi est-ce important ?

TLS v1.1 a été abandonné en 2008 en raison de sa vulnérabilité croissante aux attaques. En plus de ne plus respecter les demandes de certains standards comme PCI DSS, les entreprises qui l’utilisent encore mettent en danger les données de leurs clients. Voir baisser cette tendance est une bonne chose pour la sécurité des clients et le respect de leur vie privée.

Les bonnes pratiques à avoir

Avoir et maintenir une visibilité pluri clouds

Il est très difficile de sécuriser ce qui n’est pas vu ou su. Les équipes de sécurité doivent être les premiers à réclamer des plateformes cloud sécurisées dès le départ (CNSPs). Une visibilité à travers les clouds publics, privés ou hybrides, mais également les conteneurs, les déploiements « serverless » et les pipelines CI/CD  indispensables.

Respecter les standards

La sécurité à l’échelle du cloud demande un respect strict des standards.  Et cela à travers les environnements cloud publics, privés ou hybrides.

Pas encore de norme de sécurité ? La société peut consulter les benchmarks créés par le Center for Internet Security (CIS).

Un standard sur le papier c’est bien… mais il faut s’assurer qu’il est régulièrement mis en applications.

Toujours plus tôt

La sécurité « shif-left » consiste à prendre en compte la sécurité le plus tôt possible dans le développement. Travaillez avec les équipes DevOps pour que ses standards de sécurité soient compris dans les templates IaC qu’elles utilisent. C’est une situation gagnante tant pour le DevOps que pour les responsables sécurité.

Banque, Cybersécurité

La sécurité des clients des banques améliorée avec la DSP2

La nouvelle directive des services de paiements (DSP2) est entrée en vigueur il y a maintenant deux ans, le 13 janvier 2018, dans le but notamment d’introduire de nouvelles exigences en matière de sécurité et de protéger les consommateurs. Dans cet objectif, elle impose une authentification forte lors des paiements en ligne afin de réduire l’ampleur de la fraude.

Andrew Shikiar, Executive Director de l’Alliance FIDO, explique comment la DSP2 améliore la sécurité des clients des banques au quotidien, et dans quelle mesure les acteurs traditionnels peuvent augmenter leur niveau de sécurité tout en adoptant davantage de services digitaux : « La nouvelle directive sur les services de paiements (DSP2) a été introduite pour améliorer la sécurité des transactions en ligne et réduire la fraude, en exigeant des institutions financières qu’elles déploient une authentification multifactorielle pour certains scénarios en fonction du montant de la transaction et du niveau de risque. Les consommateurs n’ont peut-être pas encore remarqué de grands changements dans leurs expériences de services bancaires en ligne ; L’Autorité Bancaire Européenne ayant en effet retardé la pleine mise en conformité des solutions d’authentification pour les paiements en ligne jusqu’en décembre 2020 pour donner au secteur plus de temps pour se préparer. Toutefois, la DSP2 signifiera en fin de compte que les consommateurs bénéficieront d’une expérience beaucoup plus sécuritaire lors de transactions bancaires en ligne. Par exemple, l’authentification forte du client (SCA), dans le cadre de la nouvelle directive, obligera les banques et les autres fournisseurs de services financiers à mettre en œuvre, à tester et à vérifier leurs mesures de sécurité, ce qui permettra d’améliorer les processus de gestion des fraudes.« 

Une révision des processus d’authentification traditionnels

Les banques traditionnelles sont pour leur part, à présent en concurrence avec de nombreux challengers qui opèrent exclusivement en ligne, tout en faisant face à des changements réglementaires tels que la DSP2, qui exige une révision des processus d’authentification traditionnels. Mais la bonne nouvelle est qu’il existe maintenant des normes qui offrent un moyen facile à déployer pour répondre aux exigences liées à l’authentification forte du client, tout en satisfaisant la demande des organisations et des utilisateurs en matière de simplicité dans le cadre des transactions.

Biométrie et DSP2

De plus, les banques ont la possibilité de tirer parti des appareils déjà entre les mains de la plupart des consommateurs, tels que les smartphones et les ordinateurs portables avec lecteur biométrique, pour répondre aux exigences de l’authentification forte requise par la DSP2. Cela peut aider les banques à offrir le niveau de commodité supérieur auquel s’attendent les utilisateurs des services bancaires en ligne d’aujourd’hui.

La sécurité, la confidentialité et la convivialité peuvent véritablement aller de pair, sans introduire une foule de complications supplémentaires pour les banques et les fournisseurs de services financiers. Les acteurs les plus performants du secteur seront ceux qui prendront des mesures pour saisir cette occasion sans tarder.

Cybersécurité, IOT

Sécuriser l’IoT comme on protège son domicile

Un pirate informatique a récemment publié la liste des identifiants de connexion de 500 000 routeurs et objets connectés. Un grand classique ! Cependant, cela montre une fois de plus la facilité de la prise de contrôle de ces appareils.

Il devient impératif de protéger les objets connectés (routeurs, Iot, …) dont plus de 26 milliards sont attendus en 2020 dans le monde. Conçus pour simplifier notre quotidien, la vigilance est pourtant de mise comme le démontrent chaque jour de nouvelles cyber-attaques, surtout lorsque l’on introduit ces appareils dans nos foyers.

Philippe Alcoy, spécialiste de la sécurité chez NETSCOUT, rappelle que de nombreux objets connectés possèdent des microphones, des caméras ou des mouchards de localisation intégrés, qui diffusent des informations à notre insu, c’est pourquoi les consommateurs ne doivent pas seulement se fier aux fabricants et prendre les devants pour protéger leurs appareils. « Il est important de lire les politiques de confidentialité de l’entreprise et de savoir ce que ces appareils apprennent sur vous et votre famille. Les fournisseurs de services deviennent plus transparents et permettent aux consommateurs de refuser le partage de données. Nous devons tous être conscients des protections qu’ils offrent à cet égard. En comprenant les solutions qu’ils proposent, nous saurons quel fournisseur répond le mieux à nos besoins. En outre, avant d’offrir ou d’acquérir un appareil IoT, il est également essentiel de sécuriser nos réseaux domestiques contre les pirates, afin de protéger ses données et de préserver sa confidentialité. Or, le problème le plus récurrent est que la plupart des utilisateurs ne savent pas nécessairement comment s’y prendre, ou ne prennent simplement pas le temps, confiants envers leur fabriquant ou dans le fait que cela ne leur arrivera pas. Pourtant quelques pratiques simples permettraient de pallier ce problème.« 

On ne peut pas protéger ce qu’on ne connaît pas

Tout d’abord, partant du postulat qu’on ne peut pas protéger ce qu’on ne connaît pas, il est important de savoir combien d’appareils se trouvent connectés au réseau domestique. Une maison possède en moyenne huit appareils en réseau par personne, et ce nombre va continuer d’augmenter. Par exemple, les parents doivent accorder une attention toute particulière aux jouets de leurs enfants également connectés au réseau et dont un grand nombre possède des micros ou des caméras. Ensuite, il ne faut jamais utiliser les mots de passe par défaut fournis avec l’appareil. Ces derniers sont très connus et la première chose que le cybercriminel tentera pour prendre le contrôle de l’objet visé.

Sécuriser une bonne fois pour toutes ?

Par ailleurs, on aurait tort de penser qu’il est possible de configurer les objets connectés en mode ʺune bonne fois pour toutesʺ ; le fait d’être connectés à internet fait qu’ils doivent en effet être mis à jour régulièrement, bénéficier d’un système de mise à jour automatique et d’une authentification multifactorielle.

D’ailleurs, si l’appareil possède un micro intégré, l’utilisateur doit absolument prendre le temps d’en connaître le fonctionnement afin de savoir comment il enregistre et sa capacité – quantité et durée – de sauvegarde des enregistrements. Il faut savoir que toute demande formulée à son enceinte connectée est sauvegardée sur internet par son constructeur. C’est pourquoi activer les paramètres de sécurité qui bloquent l’enregistrement de la voix ne doit pas être une option. Enfin, dans la mesure du possible, il conviendrait de créer deux réseaux wifi domestiques sécurisés par mots de passe. Le premier pour les ordinateurs, les tablettes et smartphones.

Partage de connexion ?

Le second, pour les appareils IoT, le partage de mots de passe avec les proches, si nécessaire – sans pour autant accorder l’accès aux appareils à ses contacts. Il en va de même pour toute connexion aux routeurs.

Les recommandations de sécurité semblent infinies, pourtant les règles de base permettent de réduire drastiquement les risques de vols d’informations. A l’heure du tout connecté, se contenter d’une sécurité par défaut (routeurs, caméra, …) n’est pas la marche à suivre pour protéger sa vie privée, et il n’est plus possible d’attendre seulement une action du fabricant ou des spécialistes de la cybersécurité. Comme on verrouille sa porte en sortant de chez soi, il est impératif de verrouiller l’accès à ses objets connectés pour éviter, justement, qu’on ne s’introduise dans sa maison.

backdoor, Chiffrement

Snake : un ransomware venu d’Iran ?

Le ransomware Snake capable de prendre en otage des systèmes de contrôle industriels. Le code malveillant viendrait d’Iran.

Le rançongiciel « Snake », comme d’autres du genre, chiffre les programmes et les documents sur les machines infectées. Étonnant, les auteurs présumés de ce code serait Iranien, mais surtout, le logiciel de rançonnage pourrait supprimer les copies de fichiers des stations infectées. Ecrit en langage Golang, il chiffre tous les fichiers qu’il rencontrera.

Snake s’attaque à tous les processus du système liés aux ICS et SCADA. En cas de non paiement, il efface l’ensemble des données. Des chercheurs de la société Israélienne Otorio indique que Snake s’attaque à la compagnie nationale de pétrole de Barheïn, BAPCO (Bahrain Petroleum Co.). La société est mentionnée dans la demande de rançon sauvegardé en fichier texte sur la machine prise en otage.

A noter que le code de Snake s’échange sur certains forums pirates comme a pu le constater la société Québécoise spécialiste en cybersécurité The 8Brains. Code simple, mais efficace face à des entreprises qui n’ont pas pris soin de se protéger… un minimum !

Cybersécurité, Securite informatique

Architectures Microservices: penser à la sécurité

Microservices, une technique de développement logiciel comme l’exprime Wikipedia. Sa mission, structurer une application comme un ensemble de services faiblement couplés. Les microservices indépendants communiquent les uns avec les autres en utilisant des API indépendantes du langage de programmation. Ce petit monde demande une véritable réflexion sécurité. Explication!

La société de cybersécurité Québécoise 8Brains vient de publier une réflexion sur la sécurité et les architectures microservices. L’avènement des Architectures Microservices requière une approche différente dans la mise en place des pratiques de sécurité.

Construire ce type d’Architecture ? Garder à l’esprit que la sécurité doit être adaptée à ces nouvelles règles.

Une Architecture Microservices n’a pas une équipe dédiée. Bilan, sa sécurité est multiple. Les équipes qui livrent le nouveau service se doit de se pencher sur la sécurité de son livrable.

Un aspect organisationnel souvent négligé « voir complètement oublié » indique Bruno Philippe, spécialiste des architectures de sécurité au sein de 8Brains.

D’abord, pour un Microservice donné, l’équipe en charge doit définir sa couche technique (Framework) : le(s) langage(s) utilisé(s), son dépôt de données, les mécanismes de déploiement, les mécanismes d’échanges avec les autres Microservices, etc.

Cette équipe doit donc se poser notamment les questions suivantes : Quelle taille doit faire notre Microservice ? Que doit contenir notre Microservice comme logiciels ? Pour un langage donné, quels sont les principes de développement sécurisés ? Pour un outil de déploiement donné, y-a-t-il des alertes de sécurité ? Si oui, sont-elles installées ? Quelles sont les autres Microservices qui échangent avec le nôtre ? Que devons-nous échanger ?

L’article complet, avec les réponses, à découvrir ici.

Cybersécurité, Securite informatique

Le rôle de la cybersécurité dans les environnements OT

Une étude commanditée auprès de Forrester Consulting révèle une exposition croissante des acteurs industriels aux cybermenaces, une des conséquences de leur transformation digitale. Le manque de collaboration entre les équipes IT (Information Technology) et celles en charge de l’informatique industrielle (OT – Operational Technology) constitue également un frein à la cybersécurité des entreprises qui souhaitent tirer pleinement parti de la convergence IT/OT pour augmenter leur compétitivité.

Les industriels se sont engagés dans la transformation digitale de leur outil de production, pour doper leur productivité et améliorer leur capacité à recueillir des données liées à leur processus de production. 66% des personnes interrogées indiquent que leurs usines disposent de réseaux IP et qu’elles utilisent des données en temps-réel dans le cadre de leur prise de décision. Cependant, ces réseaux IP génèrent de nouveaux risques de cybersécurité et une expansion de la surface d’attaque, comme le reconnaissent 73% des répondants. Dans le même temps, seule la moitié des répondants estime que leur outil de production est suffisamment préparé pour lutter efficacement contre les menaces de cybersécurité. Ceci laisse l’autre moitié plus vulnérable, d’autant que 55% des interrogés n’ont aucun projet de déployer des technologies de cybersécurité au cours des 12 prochains mois.

Autre constat important : les systèmes de contrôle industriel subissent un risque important, compte tenu du manque de collaboration entre l’IT et l’OT. 51% des personnes interrogées déclarent opérer de manière cloisonnée : les équipes OT gèrent ainsi les équipements industriels critiques et la cybersécurité OT, tandis que les équipes IT sont responsables de la cybersécurité IT. Entre un quart et un tiers des personnes sondées ignorent qui détient la principale responsabilité pour les solutions de cybersécurité associées aux processus, aux systèmes de contrôle et d’automatisation, à la planification métier et à la logistique. Cependant, 91% d’entre elles estiment que la sécurité des machines de production doit être une responsabilité partagée entre l’IT et l’OT, tandis que 58% pensent que des communications claires et régulières sont importantes pour échanger sur la vision de la convergence IT/OT, et ainsi la mener à bien.

Les entreprises ont tout à gagner d’une collaboration étroite entre les équipes IT et OT. Les principaux avantages sont un accès aux données en temps-réel issues des opérations de production (66%), ainsi que la création et la monétisation de nouvelles opportunités business grâce à une visibilité plus claire sur les données de production (59%). Ce sont également des gains de productivité qui sont au rendez-vous, avec 43% des personnes interrogées qui déclarent constater moins de doublons entre les processus et workflows d’un site de production à l’autre, ainsi qu’une visibilité plus fine qui permet de maîtriser les menaces de sécurité.

Joe Sarno, VP International Emerging & Operational Technology & Critical Infrastructure EMEA, Fortinet : « Les entreprises industrielles doivent rapprocher l’IT et l’OT dans le cadre de leurs opérations. Il s’agit de nouer un lien de confiance entre les équipes de ces deux disciplines, pour mener à bien cette convergence IT/OT. Au fur et à mesure que la surface d’attaque s’élargit, les équipes IT et OT doivent collaborer pour améliorer la visibilité sur les menaces et les neutraliser. C’est la raison pour laquelle Fortinet investit beaucoup de temps et de ressources dans la Recherche et le Développement pour ses solutions de cybersécurité industrielle. »

Forrester Consulting a mené une enquête en ligne sur plusieurs pays : Inde, Turquie, Royaume-Uni, Espagne, Pologne, Allemagne, Slovaquie, Italie, France, République tchèque et Pays-Bas. L’objectif était d’évaluer les techniques utilisées par les entreprises industrielles pour gérer leur sécurité, les rôles et responsabilités entre IT et l’OT, ainsi que les défis et les opportunités qu’offre la convergence IT/OT. L’enquête a porté sur 459 décideurs IT et OT en charge des systèmes de contrôle industriel au sein d’entreprises industrielles de 1 000 collaborateurs ou plus (automobile, transport, fabrication, génie maritime et aéronautique), sur l’Europe et en Inde.

Cybersécurité, Microsoft, Mise à jour

14 janvier : bye bye Windows 7 et de Windows Server 2008

Le 14 janvier, Microsoft tirera définitivement un trait sur Windows 7 et Windows Server 2008. Faut-il vraiment craindre pour la sécurité des ordinateurs exploitant encore ces deux OS ?

Depuis 5 ans, Microsoft alerte sur la fin de ses produits Windows 7 et de Windows Server 2008. La fin de la prise en charge de ces deux OS. Cela veut dire qu’il n’y aura plus de mises à jour et rustines de sécurité. En décembre 2019, le géant américain publiait ses derniers correctifs. L’un d’eux, le CVE-2019-1458, permet une élévation des privilèges sur une machine impactée. Bilan, un pirate peut prendre la main sur ce qui ne lui appartient pas. Comme par « magie », faille qui affecte à la fois Win7 et 2008. Les utilisateurs doivent-ils avoir peur pour l’après 2014 ?

Oui et Non !

Non, car si 0Day il y a, les pirates ne vont certainement pas attendre pour l’exploiter. D’autant plus que des dizaines de communiqué de presse incitent à migrer vers une version supérieure de Windows. Les pirates ne voudront certainement pas perdre l’occasion d’attaquer avant une potentielle migration.

Oui, car après le 14 janvier, les deux OS seront définitivement « mort ». Plus de mises à jour, d’évolutions, … Des pirates voudront peut-être se servir de ces « vieillards » pour lancer une attaque de type Wanacry.

Bref, vous êtes grands ! A vous de savoir si vous souhaitez jouer avec le feu ! Il y aurait encore 26% de PCs sous cet OS de part le monde. Pour rappel, Wanacry, en 2007, avait profité de 200 000 appareils obsolètes (dans 150 pays), selon Europol, pour se répandre. Microsoft avait annoncé la fin du support de ces deux OS, en 2015.ils, blogs …

Banque, Chiffrement, Communiqué de presse, Cybersécurité

Pourquoi le niveau de conformité de la sécurité des paiements diminue-t-il ?

Lorsque les entreprises subissent une attaque, celle-ci cible souvent les informations personnelles et financières des clients issues des données des cartes de paiement. La norme de sécurité de l’industrie des cartes de paiement (PCI DSS) a été conçue pour protéger les données de paiement à partir du point d’achat. De manière surprenante, Verizon a observé une chute de la conformité à cette norme au cours des dernières années.

Le rapport sur la sécurité des paiements 2019 de Verizon approfondit cette analyse afin de déterminer la cause de ce phénomène. À l’approche du lancement de la nouvelle version 4.0 de la norme PCI DSS, il explique surtout comment les entreprises peuvent inverser cette tendance en réévaluant leur manière de déployer et structurer leurs programmes de conformité.

Suite au lancement initial de la norme PCI DSS par Visa Inc. en 2004, beaucoup ont supposé que les entreprises parviendraient à atteindre une conformité efficace et durable dans les cinq ans. Aujourd’hui, 15 ans plus tard, le nombre de sociétés parvenant à une conformité durable a chuté de 52,5 % (PSR 2018) à son niveau le plus bas, à peine 36,7 % à l’échelle internationale. Sur le plan géographique, les entreprises de la région APAC (Asie-Pacifique) démontrent une capacité à maintenir leur statut de conformité complète (69,6 %), contre 48 % dans la région EMEA (Europe, Moyen-Orient et Afrique) et à peine 20,4 % (une sur cinq) en Amérique.

Les domaines d’activités à la loupe

L’examen des principaux secteurs d’activité nous permet d’observer la diversité de leur cote de conformité, mais également ce qui leur manque pour parvenir à une conformité complète ainsi que les mesures correctives à adopter par chaque secteur pour améliorer ses performances.

Commerce – Il y a quatre ans, les données des distributeurs étaient le plus souvent compromises au niveau du point de vente. Depuis lors, le lancement aux États-Unis de la technologie EMV (Europay, Mastercard et Visa) semble avoir réduit la proposition de valeur des fraudes aux cartes de paiement, et notre étude a établi que les piratages de données surviennent principalement via les applications Web. Les failles de sécurité n’ont cependant pas été entièrement éradiquées. Les commerçants doivent demeurer vigilants quant à la protection des données des cartes. Leur cote de conformité de 26,3 % est similaire à celle des services informatiques. Parmi leurs lacunes relatives aux exigences de la norme PCI DSS, on compte l’utilisation d’un trop grand nombre de paramètres par défaut des composants du périmètre (exigence 2) et surtout la non-conformité de leur gestion de la sécurité adéquate (exigence 12). Ce phénomène se traduit également par la note la plus faible des secteurs d’activité étudiés obtenue en matière de niveau de préparation aux incidents de piratage de données. En effet, le secteur du commerce peine à identifier les utilisateurs et garantir qu’ils disposent du niveau de privilèges adéquat, faire preuve d’une diligence raisonnable lors des relations avec les prestataires de services, détecter les points d’accès sans fil non autorisés, et gérer un plan de réponse aux incidents.

Secteur hôtelier – Le secteur hôtelier obtient à nouveau la note la plus faible quant au chiffrement des données en transit (exigence 4 de la norme PCI DSS), mais est le seul de l’étude à améliorer ses résultats dans cette catégorie par rapport à l’année précédente. Le secteur hôtelier est également parvenu à mieux se protéger contre les logiciels malveillants (exigence 5). Il présente les progrès les plus notables parmi tous les secteurs d’activité quant à cette exigence en obtenant une conformité de 84,2 %. Le secteur hôtelier est le seul secteur analysé par le PSR 2019 à avoir amélioré ses capacités de contrôle des accès physiques (exigence 9) par rapport à l’année précédente en parvenant à une cote de conformité de 63,2 %. Bien que ce secteur accuse un retard quant à la protection des données des titulaires de cartes stockées (exigence 3), il doit surmonter des difficultés uniques, notamment l’absence de solutions matures conçues pour ce type d’environnement. Les points faibles de l’hôtellerie sont l’identification et l’authentification des utilisateurs, la révision et le test du plan de réponse aux incidents, ainsi que la formation aux responsabilités en cas de piratage.

Finance – Le secteur des services financiers évolue dans un contexte de mutation rapide. Les clients exigent de nouvelles méthodes pour communiquer et effectuer des transactions personnalisées, en particulier via les périphériques mobiles. En parallèle, l’industrie continue d’observer des acteurs issus d’autres secteurs proposer des produits financiers. Au sein de cet environnement très compétitif et régulé, la capacité de protection des données des cartes de paiement fait toute la différence. Les clients s’attendent fortement à ce que les prestataires de services financiers comprennent mieux les besoins de sécurité des paiements que les autres catégories d’entreprises.Les données du PSR suggèrent que le secteur des services financiers se classe en tête quant à la conformité aux exigences de la norme PCI DSS, mais qu’il peut progresser dans le domaine du chiffrement des données en transit (exigence 4) et de la protection contre les logiciels malveillants (exigence 5).

Les conclusions du rapport de cette année font clairement ressortir le fait que de nombreuses entreprises ont encore du chemin à faire pour devenir entièrement conformes, mais qu’elles peuvent y parvenir à l’aide d’outils adéquats et en concentrant leurs efforts sur les points à améliorer. La conformité de la sécurité des paiements est cruciale. Les données du centre VTRAC (Verizon Threat Research Advisory Center) démontrent en outre qu’en l’absence de contrôles adéquats de protection des données, un programme de conformité a plus de 95 % de chances de se révéler transitoire et de devenir potentiellement la cible d’une cyberattaque.

L’étroite corrélation entre l’absence de conformité à la norme PCI DSS et les piratages informatiques fait l’objet de discussions depuis des années. Il n’existe aucun cas documenté publiquement d’une entreprise conforme à la norme PCI DSS ayant subi un piratage de données de cartes de paiement confirmé. La conformité fonctionne ! (Gabriel LEPERLIER – Senior Manager Security Consulting EMEA at Verizon Enterprise Solutions)

Cybersécurité, Securite informatique

Augmentation des attaques par force brute : une alerte sur la faiblesse des mots de passe

Entre août et octobre 2019, augmentation mensuelle du nombre d’attaques par force brute. Durant la même période, environ deux tiers des malwares détectés comportaient une fonction de collecte de mots de passe. Parmi ceux-ci, Emotet a été le plus répandu (56 % des détections), suivi d’Agent Tesla (25 %).

Selon l’étude 2019 Global Password Security Report de LastPass, un collaborateur d’une grande entreprise (comptant plus de 1000 salariés) doit en moyenne mémoriser jusqu’à 25 identifiants distincts. Dans les petites entreprises, cette moyenne atteint même 85. Cela amène inévitablement certains employés à réutiliser des mots de passe ou des variantes faciles à retenir – et donc à découvrir – ou encore à se servir de mots de passe aisément découverts par une attaque par dictionnaire.

Des cyberattaques dopées à l’IA

Le risque d’attaques par dictionnaire ou par force brute accentué si le cybercriminel peut recueillir des informations sur l’utilisateur via les réseaux sociaux, multipliant ainsi ses chances d’identifier des centres d’intérêt que l’utilisateur pourrait reprendre dans ses mots de passe habituels. Ils peuvent également exploiter des données ayant fuité précédemment au sujet de la cible afin de deviner plus efficacement sa façon de construire ses mots de passe.

Il est probable que les outils de force brute utilisant l’IA vont proliférer ou être utilisés en conjonction avec les techniques actuelles permettant de deviner les mots de passe. Des outils tels que Hashcat ou John the Ripper font déjà preuve d’une grande efficacité. Cependant, il existe un nombre maximal de mots de passe que ces programmes peuvent deviner et ceux-ci nécessitent des années de codage manuel et d’améliorations pour parvenir à ce niveau de précision.

Force brute

Heureusement, même si les outils d’attaques par force brute ne cessent de se perfectionner en termes d’efficacité, il existe toujours des moyens de s’en protéger. Les utilisateurs peuvent appliquer des mesures simples, à commencer par l’utilisation d’un mot de passe fort et distinct pour chaque identifiant. Ils peuvent également éviter l’usure des mots de passe au fil du temps en se servant d’un gestionnaire de mots de passe pour leur renouvellement.

Au-delà des règlements et des formations (destinées à sensibiliser les utilisateurs) ou encore des mesures techniques, les entreprises peuvent atténuer l’efficacité des attaques par force brute en appliquant l’authentification multifacteurs et en limitant le nombre de saisies d’un identifiant incorrect avant le blocage temporaire du compte correspondant.

Communiqué de presse, Cybersécurité

Fabrique Défense

Fabrique Défense: un rendez-vous parisien pour rendre la défense plus compréhensible et accessible via une exposition innovantes, immersives et participatives.

Des stands, des simulateurs, des intervenants étoilés ou qui parleront d’espace, des jeux vidéo, des BD, de la nourriture intellectuelle et en food-truck, de quoi briller en société ou de quoi trouver une vocation… Voilà l’idée du rendez-vous organisé à Paris par le Ministère de la Défense « La Fabrique Défense« .

L’idée est de faire découvrir l’univers militaire. Les amateurs de projets cyber y trouveront leur bonheur. A noter que le site du rendez-vous indique que pour se rendre au Paris Event Center, le RER E, le tramway 3B, la ligne 7 du métro et le bus n°150 sont disponibles « malgré le mouvement de grève touchant les réseaux de transport en commun« .

La Fabrique Défense se déroulera les 17 et 18 janvier 2019.

loi, Mise à jour

Droit au déréférencement

Le 6 décembre 2019, le Conseil d’État a rendu d’importantes décisions relatives à des demandes de déréférencement de résultats faisant apparaître des données sensibles.

Le droit au déréférencement permet à toute personne de demander à un moteur de recherche de supprimer certains résultats qui apparaissent à partir d’une requête faite sur ses nom et prénom. Cette suppression ne signifie pas l’effacement de l’information sur le site internet source.

Le 24 septembre 2019, la Cour de justice de l’Union européenne (CJUE) avait rendu un arrêt apportant des précisions sur les conditions dans lesquelles les personnes peuvent obtenir le déréférencement d’un lien apparaissant dans un résultat de recherche lorsque la page auquel le lien renvoie contient des informations relatives à des données sensibles (par exemple, leur religion, leur opinion politique) ou à une condamnation pénale.

Sur cette base, le Conseil d’État a, par 13 décisions rendues le 6 décembre 2019, apporté d’importantes précisions sur la mise en œuvre du droit au déréférencement. Le Conseil d’État indique que pour chaque demande de déréférencement, l’intérêt du public à avoir accès à cette information doit être mis en balance avec trois grandes catégories de critères :

les caractéristiques des données en cause : contenu des informations, leur date de mise en ligne, leur source, etc. ;
la notoriété et la fonction de la personne concernée ;

les conditions d’accès à l’information en cause : la possibilité pour le public d’y accéder par d’autres recherches, le fait que l’information ait été manifestement rendue publique par la personne concernée, etc.

Si les informations publiées sont des données dites « sensibles » (religion, orientation sexuelle, santé, etc.), elles doivent faire l’objet d’une protection particulière et donc, dans la mise en balance, d’une pondération plus importante. Le déréférencement ne pourra être refusé que si ces informations sont « strictement nécessaires » à l’information du public. En revanche, si ces données ont été manifestement rendues publiques par la personne concernée, leur protection particulière disparaît.

Par ailleurs, s’agissant des données relatives à une procédure pénale, comme la CJUE, le Conseil d’État indique que l’exploitant d’un moteur de recherche peut être tenu d’aménager la liste des résultats en vue d’assurer que le premier de ces résultats au moins mène à des informations à jour pour tenir compte de l’évolution de la procédure (par exemple, dans l’hypothèse où, après avoir été condamnée en première instance, une personne bénéficie d’une relaxe en appel).

La CNIL prend acte de ces précisions dans les informations publiées sur son site internet, notamment dans la FAQ décrivant les conséquences pratiques de ces décisions sur les personnes concernées, ainsi que dans l’instruction des centaines de demandes de déréférencement qu’elle reçoit tous les ans.

Les textes de référence
Arrêt de la Cour de justice de l’Union européenne du 24 septembre 2019 dans l’affaire C-136/17
13 décisions relatives au droit à l’oubli prises par le Conseil d’État le 6 décembre 2019

Cybersécurité, IOT

Plus de 200 000 certificats RSA actifs vulnérables

Des spécialistes auraient identifié une vulnérabilité dans près de 250 000 certificats RSA actifs vulnérables aux cyber-attaques.

La recherche révèle des taux importants d’objets connectés faillibles. De l’IoT qui pourrait inclure des voitures, des implants médicaux et d’autres appareils critiques, qui, s’ils étaient compromis, pourraient entraîner de graves dommages. La société parle même de cas pouvant devenir mortels.

JD Kilgallin, ingénieur principal en intégration, présentera les résultats à la Conférence internationale de l’IEEE sur la confiance, la confidentialité et la sécurité dans les systèmes intelligents et les applications (12-14 décembre à Los Angeles).

Une annonce de la société Keyfactora, avec les résultats, seront ensuite publiés sera mise en ligne le lundi 16 décembre.

backdoor, Bitcoin, Cybersécurité

Stantinko, un botnet déployant un module de cryptomining

Des chercheurs découvrent que des cybercriminels exploitent le botnet Stantinko, composé de près de 500 000 ordinateurs. Les pirates le déploie maintenant avec un module de minage Monero sur les appareils qu’ils contrôlent.

Actifs depuis 2012 au minimum, les responsables du botnet Stantinko contrôlent près d’un demi-million d’ordinateurs.

Ils ciblent principalement la Russie, l’Ukraine, la Biélorussie et le Kazakhstan.

Récemment, ils ont déployé un nouveau modèle économique. Aprés les NAS et autre caméra de surveillance. Voici le minage de cryptomonnaie.

« Après des années d’activités basées sur la fraude au clic, l’injection de publicités, la fraude sur les réseaux sociaux et le vol d’identifiants, Stantinko mine maintenant Monero. », explique Vladislav Hrčka, l’analyste malware responsable de cette enquête chez ESET.

Depuis août 2018 au moins, les cybercriminels déploient un module de cryptomining sur les ordinateurs qu’ils contrôlent.

Identifié par les produits de sécurité d’ESET sous la dénomination Win{32,64}/CoinMiner.Stantinko, ce module de cryptomining est une version considérablement modifiée du cryptominer open source xmr-stak. Il se démarque surtout par sa technique d’obscurcissement visant à résister aux analyses et à éviter la détection.

En plus de sa méthode d’obscurcissement à la source reposant partiellement sur le hasard, ce module est compilé individuellement. Chaque nouvelle victime, et chaque échantillon sont uniques.

Stantinko utilise plusieurs techniques intéressantes

Pour masquer ses communications, le module n’interagit pas directement avec son pool de minage. Il passe par des proxies dont les adresses IP figurent dans des descriptifs de vidéos YouTube.

Le malware bancaire Casbaneiro utilise une approche similaire pour dissimuler des données dans l’espace de description des vidéos YouTube.

« Nous avons informé YouTube de ces activités abusives et la plateforme a supprimé toutes les chaînes liées à ces vidéos », déclare M. Hrčka.

Stantinko peut également suspendre sa fonction de cryptomining lorsque l’ordinateur fonctionne sur batterie. Lorsqu’il détecte un gestionnaire de tâches. Il peut également détecter les éventuelles autres applications de cryptomining en cours d’exécution. Il est aussi capable d’analyser les processus en cours d’exécution pour identifier les logiciels de sécurité.

CoinMiner.Stantinko est loin d’être le plus dangereux des malwares, mais personne n’a envie que son ordinateur enrichisse les cybercriminels en arrière-plan. Et à tout moment, Stantinko pourrait déployer un nouveau malware potentiellement dangereux sur les postes infectés, ce qui est assez préoccupant.

pour conclure, il est conseillé aux utilisateurs de respecter les principes de sécurité de base et d’utiliser des logiciels fiables pour se protéger contre ce type de menace. Sa télésurveillance numérique !

Argent, backdoor

Découverte du cheval de Troie bancaire Android, Ginp.

Le cheval de Troie Ginp est apparu dans le paysage des menaces en juin 2019 en tant qu’outil d’espionnage. Il vise avant tout les données bancaires. Découverte de cette malveillance.

Le logiciel pirate Ginp, encore peu connu, vise banques et données bancaires transitant par votre smartphone et tablette. Un outil malveillant sous Android.

En tant que logiciel malveillant bancaire, Ginp incite ses victimes à fournir des informations personnelles et sensibles, telles que des informations d’identification de connexion en ligne, des codes de sécurité bancaires et même des détails de carte de crédit grâce à des attaques par superposition.

Ginp est un trojan construit à partir de rien et recevant de nouvelles fonctionnalités via un autre cheval de Troie, Anubis.

Une méthode qui a tendance à indiquer des acteurs sélectifs et ciblés.

La liste des cibles indique un intérêt évident pour les banques espagnoles. Du moins, pour le moment.

Un total de 24 cibles uniques pour 7 banques différentes. Bien que les objectifs se concentrent sur les institutions espagnoles, la structure utilisée par le ou les auteurs semble indiquer un élargissement possible des objectifs à d’autres pays. Il serait même étonnant que ces pirates n’agissent pas de la sorte.

Ginp est peut-être un test, voir un leurre.

C’est déjà le deuxième nouveau cheval de Troie bancaire découvert cette année. Des logiciels espion qui commencent par une focalisation claire sur des banques européennes.

Étonnante envie et intérêts à commettre une fraude en Europe.

L’attaque par superposition fonctionne toujours en deux étapes: voler les identifiants bancaires et les détails de carte de crédit, maximisant ainsi les chances de recueillir des informations personnelles précieuses auprès des victimes.

The Reat Fabric revient sur ce piège numérique dans une analyse complète qui sera diffusée ce 21 novembre.

Chiffrement, Communiqué de presse

FileAudit, un outil qui peut vous sauver des rançongiciels

Selon le Federal Bureau of Investigation, la police fédérale américaine, les  rançongiciels (ransomwares) sont de plus en plus présent. De plus en plus dangereux. Une préoccupation croissante. La société IS Decisions explique comment avec son outil FileAudit, il devient aisé de détecter et protéger un réseau contre cette d’attaque. 

Pour rappel, un ransomware est un outil qui va chiffrer les données d’un serveur, d’un ordinateur. Il apparaît, le plus généralement, via une pièce jointe proposé dans courriel. missive ouverte par un employé négligent. Par l’exploitation d’une faille de sécurité, un code malveillant est lancé, ce qui permet de télécharger et d’installer un programme sur la machine de la victime.

Le programme contactera ensuite un serveur distant appartenant aux attaquants où une paire de clés de chiffrement asymétrique est générée. La clé privée est conservée sur le serveur attaquant tandis que la clé publique est stockée sur l’ordinateur de la victime. Le programme peut alors commencer à chiffrer tous les documents auxquels l’utilisateur a accès en générant une clé de chiffrement symétrique aléatoire pour chaque fichier. Il va ensuite chiffrer le fichier avec cette clé et ajouter à la fin du fichier la clé de chiffrement chiffrée avec la clé asymétrique publique.

Cela se passe de cette façon, le chiffrement direct des données avec une clé asymétrique est 1 000 fois plus lent qu’avec une clé symétrique, mais dans les deux cas, le résultat est identique. Sans la clé privée, il n’est pas possible de déchiffrer les fichiers. Cela signifie que si la victime ne dispose pas d’une sauvegarde de tous les fichiers cryptés, l’attaquant pourra le forcer à payer une rançon pour obtenir la clé privée.

Se protéger, compliqué ?

Cela signifie que si la victime ne dispose pas d’une sauvegarde de tous les fichiers cryptés, l’attaquant pourra le forcer à payer une rançon pour obtenir la clé privée.

Défense en profondeur face aux rançongiciels

Il existe un certain nombre de mesures pratiques pour contrer et se protéger d’un rançongiciel. D’abord, éduquer vos utilisateurs afin qu’ils n’ouvrent pas les pièces jointes étranges des emails ; Interdire les fichiers portant certaines extensions dans les pièces jointes (Ex : fichiers exécutables, type de fichier non nécessaire dans votre entreprise). Assurer que les programmes autorisés à ouvrir des pièces jointes sont à jour, par exemple. si vous utilisez bien les dernières versions de Microsoft Word ou Acrobat Reader.

Les utilisateurs normaux ne doivent pas être en mesure d’exécuter des programmes à partir des emplacements où ils sont autorisés à écrire (par exemple, leurs dossiers de documents). Ils ne devraient pouvoir lancer que des programmes approuvés par l’administrateur. Sous Windows, cela peut être implémenté avec AppLocker.

Un compte administrateur ne doit jamais être utilisé pour effectuer des tâches utilisateur de base telles que lire des emails, surfer sur Internet ou effectuer des tâches bureautiques normales.

Les utilisateurs ne doivent pouvoir modifier que les fichiers nécessaires à leur travail. Les fichiers qu’ils n’ont aucune raison de modifier doivent être limités à un accès «lecture seule» pour eux.

Un logiciel anti-virus à jour doit être exécuté sur votre serveur de messagerie et sur les stations de travail pour détecter les infections et vous protéger contre celles-ci.

Vous devez avoir un moyen de détecter et d’arrêter le cryptage massif de fichiers sur vos serveurs de fichiers. Plus tôt vous détecterez une attaque, plus vite vous pourrez l’arrêter, ce qui signifie moins de pertes de données et moins de travail pour nettoyer le désordre! C’est ici que FileAudit peut vous aider.

Vous devez avoir une sauvegarde de tous vos fichiers dans un endroit sécurisé.

Découvrer la configuration d’un outil tel que FileAudit face à ce type d’attaque informatique.

Cybersécurité, Securite informatique

Votre système de sécurité est-il réellement fiable ?

De nos jours, la majorité des entreprises ont recours à un système de caméras de surveillance, que ce soit dans leurs bureaux ou leurs entrepôts. Supposées éloigner ou attraper des potentiels malfaiteurs, ces caméras sont aujourd’hui un nouveau danger car la technologie actuelle permet à certains pirates de contrôler les systèmes de surveillance à distance. Pour éviter cela, il faut comprendre le fonctionnement des caméras, connaître les meilleurs modèles et apprendre à protéger son système de surveillance efficacement.

Comment les pirates agissent-ils ?

À l’époque, les caméras de surveillance étaient reliées par des câbles permettant de filmer et de relayer l’information sur un écran. Actuellement, la plupart des systèmes utilisent une connexion Internet (Wi-Fi) afin de relier leurs caméras, et c’est de là que le danger peut survenir. En effet, les pirates prennent contrôle du système de surveillance en s’y infiltrant par le Wi-Fi. Nombreuses sont les personnes qui ne protègent pas leurs caméras avec un mot de passe réellement sécurisé, ce qui est une porte ouverte aux malfaiteurs. Ceci est aussi valable pour les caméras de particuliers qui ont un système de sécurité à leur domicile.

Quel modèle choisir ?

Les caméras de sécurité ont beaucoup évolué et sont maintenant facilement accessibles au grand public. Ceci n’est pas forcément avantageux pour les entreprises car certains fabricants, au prix de la compétitivité, mettent sur le marché des nouveautés qui ne sont pas d’une grande qualité au niveau sécuritaire. C’est pour cela qu’en tant qu’entreprise (ou même particulier), il vous faut faire appel à un fournisseur professionnel et sérieux, comme par exemple RS Components en ligne, qui garantira un meilleur niveau de sécurité. Ensuite, au niveau du type de caméra, cela dépendra de la zone que vous avez à filmer. Les caméras thermiques appréciées car excellentes pour les entrepôts plutôt grands et obscurs, vu que le manque de lumière ne les affecte pas. Pour des zones où vous souhaitez avoir une image standard, plusieurs options s’offrent à vous au niveau de la qualité de résolution, de la forme et de l’adaptation à la lumière, choix qui se feront en fonction de la zone à filmer.

Comment se protéger ?

La première chose à faire est de définir un mot de passe avec un niveau élevé de sécurité car cela peut être le premier obstacle pour un pirate. Ensuite, si vous êtes inquiet pour votre webcam d’ordinateur, installez un antivirus. En ce qui concerne les entreprises et les systèmes de surveillance plus gros, il est nécessaire de choisir un type de caméra sûr mais aussi de se renseigner sur les possibles failles du modèle en question car les pirates adapteront leur tactique en repérant celui auquel ils ont à faire. Finalement, si vous le souhaitez, il est aussi possible d’installer des caméras en circuits fermés. C’est-à-dire non connectées à un réseau, ce qui immunise efficacement contre les piratages en ligne.

La menace

La menace des piratages de caméras de surveillance est bien réelle. La première étape vers une meilleure sécurité est de se renseigner sur la manière dont les pirates agissent et sur les moyens disponibles pour se protéger, que vous soyez une entreprise ou un particulier. En bref, assurez-vous d’acheter votre système de surveillance chez un professionnel, renseignez-vous sur les failles et n’oubliez pas les réflexes de base comme l’installation d’un mot de passe à sécurité élevée.

Cybersécurité, Paiement en ligne

Pipka, le voleur de données bancaires sur site marchand

A la veille des fêtes de fin d’année, voici venir Pipka, un outil pirate voleur de données bancaires à partir des boutiques en ligne qu’il infiltre.

En septembre 2019, le programme Visa Payment Fraud Disruption (PFD) a identifié un nouvel outil pirate baptisé Pipka. Un skimmer JavaScript. Un voleur de données bancaires.

Pipka cible les données de paiement saisies dans les formulaires de paiement de commerce électronique des sites marchands. Le blog ZATAZ nous relatait ce type de malveillance électronique en 2018 et 2019.

Identification de Pipka sur seize sites marchands compromis. Contrairement aux précédents skimmers JavaScript, Pipka est capable de se retirer du code HTML du la site Web compromis après son exécution. Cela diminue ainsi la probabilité de détection.

Pipka, petit frère d’Inter

Semblable au skimmer JS Inter, le nouveau code pirate permet aux cybercriminels de configurer les champs de formulaire.

L’outil pirate analyse et extrait les données. Bilan, numéro de compte de paiement, date d’expiration, CVV, identités, adresse du titulaire de la carte sont copiés directement via la page légitime ! Le « pirate » vérifie les champs configurés avant l’exécution.

Le code malveillant s’injecte directement à divers endroits sur le site du commerçant. Les données chiffrées en ROT13.

L’aspect le plus intéressant et unique de Pipka est sa capacité à ne pas être présent dans le code HTML. Cela permet un mode fantôme efficace !

Que faire pour s’en protéger ? Compliqué tant la technique est efficace. Préférez des boutiques passant par des sites bancaires. Et espérer que votre commerçant soit au taquet du côté de sa cybersécurité, de son code et de sa veille ! (PFD)

Cybersécurité, Identité numérique

Geneva, le priseur de censure ?

La censure d’Internet par des gouvernements autoritaires interdit un accès libre à l’information. Des millions de personnes dans le monde bloquées. Des chercheurs viennent de présenter Geneva, un tueur de censure ?

Les tentatives pour échapper à une telle censure se sont transformées en une course sans cesse croissante pour suivre le rythme de la censure sur Internet, en constante évolution et de plus en plus sophistiquée. Les régimes de censure ont eu l’avantage dans cette course. Les chercheurs doivent chercher manuellement des moyens de contourner cette censure. Processus qui prend beaucoup de temps.

Des universitaires américains viennent de présenter à Londres Geneva. Un algorithme capable de contourner les outils mis en place pour bloquer la liberté d’expression sur la toile.

De nouveaux travaux dirigés par des informaticiens de l’Université du Maryland vont-ils modifier l’équilibre de la course à la censure ?

Les chercheurs ont développé un outil baptisé Genetic Evasion (Geneva).

Cette IA apprend automatiquement à contourner la censure.

Elle a été testée en Chine, en Inde et au Kazakhstan. Genèva a trouvé des dizaines de façons de contourner la censure en exploitant des bogues.

Des « accès » pratiquement impossibles à trouver manuellement.

Cette intelligence artificielle a été présentée lors de la 26e conférence sur la sécurité des ordinateurs et des communications (ACM – Londres). « Avec Genèva nous avons pour la première fois, un avantage majeur dans cette course, déclare Dave Levin, professeur assistant en informatique à l’UMD. Geneva représente le premier pas contre les censeurs. »

Et gagner cette course signifie permettre la liberté de parole à des millions d’utilisateurs à travers le monde.

Cybersécurité, Fuite de données

Fuite de données : attention à la mauvaise configuration de votre Google Formulaire

Confidentialité : Vous utilisez Google Formulaire pour vos sondages, questionnaires ? Si vous ne le configurez pas correctement, fuite de données assurée concernant vos participants.

Il y a 30 jours j’alertais la CNIL et l’ANSSI d’un problème rencontré via le service « Google Formulaire ».

L’outil du géant américain, en cas de mauvaise configuration, est capable de laisser fuiter les informations rentrées par les participants à des sondages, questionnaires, …

J’en ai profité pour poser quelques questions, par courriel, à un représentant de Google en Europe, mais sans aucune réponse de sa part.

Vous avez dit « Prefill »

Le problème est le suivant. Lors de la création d’un Google Formulaire, il est possible de mettre en mode invitation le document. Le lien de ce dernier apparaît alors sous cette forme https://docs.google.com/forms/d/*****/prefill. D’ailleurs, une requête dans le moteur de recherche, via le dork « inurl:docs.google.com/forms/d/ && prefill » permet de faire apparaître des centaines de créations de part le monde.

Demande d’autorisation. Sans l’accord de l’auteur, pas d’accès aux informations.

La plupart de ces formulaires apparaissent, quand on clique sur leur lien respectif, avec une demande d' »autorisation nécessaire« . Vous souhaitez accéder à ce contenu mais vous ne le pouvez pas. Il faut en faire une demande d’accès au créateur du formulaire.

Sauf que cette demande d’autorisation peut-être outrepassée.

Fuites de données assurées !

Il devient possible d’accéder aux données des participants !

Seulement, mal configuré, le « Google Form » va diffuser les informations des participants d’une manière dés plus triviale. Ozaik, un lecteur de Data Security Breach, m’a expliqué avoir retrouvé ses données par ce biais.

La méthode est simple. Il suffit de remplacer « prefill » par une autre commande. Nous ne la fournirons pas dans nos colonnes. Le problème venant des créateurs et de la mauvaise configuration de leur formulaire, il ne s’agit pas d’une faille Google. Cette commande fait sauter la « demande d’autorisation » et les autres restrictions de confidentialité. Le problème ne peut être corrigé que par les auteurs.

Plus dramatique, dans certains cas, les identités, les mails, les téléphones des participants apparaissent. Un malveillant n’a plus qu’à collecter. Les escroqueries et autres phishing « très » ciblés n’ont plus qu’à être lancés !

Les organisateurs ont été alertées afin d’effacer les informations !

Phase 03

Vous êtes Utilisateur des formulaires Google ? Sortez le mode d’emploi.
Vous souhaitez participer à un questionnaire via un formulaire Google ? Vous savez dorénavant les risques qui en découlent.

Côté RGPD, bon courage pour savoir qui a fuité, qui n’a pas fuité, qui va alerter et qui fera comme dans la majorité des cas : « Pas vu, pas pris » !

Cybersécurité, Entreprise, Social engineering

Le nombre de vos contacts augmente le piratage

Disposer d’un réseau de contacts professionnels est essentiel pour réussir dans le monde de l’entreprise, mais ces contacts peuvent être utilisés à mauvais escient par des attaquants

Les voies d’accès inattendues que des cybercriminels exploitent en s’attaquant au réseau de contacts d’une entreprise sont multiples. Voici la nature de ces risques et sur les mesures que les organisations peuvent prendre pour s’en prémunir.

Les criminels s’intéressent aux contacts de tous types : L’expansion d’un réseau de contacts accroît mécaniquement la surface d’attaque. Les contacts à tous les niveaux. Des partenaires commerciaux aux distributeurs. Des employés aux clients. Ils accroissent le risque potentiel d’une intrusion. En conséquence, des protections de cyber sécurité sont nécessaires pour gérer cette catégorie de risques.

Reconnaître les risques par association : Les relations d’affaires sont autant de potentielles voies d’accès pour des cybercriminels. Une entreprise peut être une cible intéressante. Elle offre une voie d’accès plus facile à certains de ses clients et partenaires.

Les plus grandes organisations doivent avoir mis en place des systèmes de sécurité plus sophistiqués. Donc, des malveillants infiltrent leurs partenaires pour y avoir accès par leur intermédiaire.

Le fournisseur, cet ennemi qui s’ignore

Les fournisseurs de services introduisent un nouvel ensemble de risques. Le modèle « as a service » accélère l’adoption de nouvelles technologies. Le processus de transformation digitale des entreprises, mais il introduit aussi de nouvelles vulnérabilités.

Toutes les entreprises s’exposent à des risques induits par leurs fournisseurs de services, fournisseurs de cloud ou autres. Pour protéger leurs opérations et leurs actifs, elles doivent donc contrôler leurs connexions avec chaque fournisseur de service, et leur infrastructure de sécurité comme leur gestion des risques à renforcer en conséquence.

Relationnel… pirate !

Les responsabilités des entreprises s’étendent à leurs relations avec leurs partenaires : Lorsqu’une intrusion se produit, les responsabilités ne sont pas limitées à une seule organisation. Ses dirigeants doivent faire tout leur possible pour protéger non seulement leur propre entreprise, mais aussi ses partenaires. En réponse à une cyber attaque, tous les efforts doivent être entrepris pour contenir, contrôler, rapporter et résoudre l’incident. Et il est important de réaliser qu’une entreprise peut être tenue pour financièrement responsable de pertes subies par d’autres qui ont été exposés à des risques en raison de leur connexion avec l’entreprise attaquée. Une partie des coûts induits par le cyber crime est liée aux obligations que les entreprises ont vis-à-vis de leurs connexions.

Employés, ohé! ohé !

Vos propres employés vous mettent en danger : Dans une organisation, ce sont les employés qui représentent le plus grand facteur de risque. Le rythme accéléré des affaires, nos méthodes de travail et la pléthore de distractions auxquelles nous sommes exposés dans notre vie de tous les jours conspirent tous à nous rendre vulnérables. Nous faisons des erreurs, nous sommes dans l’urgence, nous ouvrons des emails, cliquons sur des liens et téléchargeons des pièces jointes sans arrière-pensées. Et ce faisant, nous mettons nos entreprises en danger. Autant de raisons pour lesquelles les organisations ont besoin de nouvelles compétences en matière de sécurité pour les aider à sécuriser leurs activités.

Parlez-vous secret ?

Le blog ZATAZ.COM revient sur un test gratuit proposé par le SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE ET DE LA SÉCURITÉ NATIONALE (SGDSN). L’idée, comprendre le secret en entreprise, et s’auto-évaluer sur cette problématique. A tester sans modération.

Etude FireEye.

Communiqué de presse, VPN

Quels sont les risques d’un VPN gratuit ?

Les VPN gratuits sont souvent pointés du doigt pour leur manque de performance et leur choix de pays réduit à la portion congrue. Mais s’agit-il bien de leurs seuls défauts ? Installer un VPN gratuit est-il sans danger pour votre ordinateur ?

 

La confidentialité de vos données compromise

Le premier risque des VPN gratuits, c’est de voir la confidentialité de vos données personnelles compromises. Un comble quand on sait qu’un VPN sert justement à protéger votre vie privée ! Les VPN gratuits ne perçoivent pas de fonds de la part des utilisateurs, ils ont pourtant besoin de financements pour exister. Pour les obtenir, la revente de données est hélas monnaie courante chez les fournisseurs de VPN gratuit.

En les utilisant, vous prenez le risque de voir ces précieuses informations captées par ceux-là mêmes qui étaient censés les protéger. Autre point noir : les protocoles de sécurité utilisés sont, la plupart du temps, bien moins performants que ceux des services de VPN payants.

Virus et logiciels malveillants : les risques cachés des VPN gratuits

Si les failles dans la protection des données est déjà un problème en soi, il existe un autre risque à utiliser un VPN gratuit. Un risque caché auquel peu d’internautes pensent de prime abord : les virus et autres logiciels malveillants. En effet, de nombreuses offres de VPN gratuits ne sont que des façades qui ont pour but de vous faire télécharger un programme infecté, sans éveiller vos soupçons.

Une fois installés sur votre machine, ils peuvent vous nuire de bien des manières. En volant les données présentes dans votre disque dur, en enregistrant vos frappes au clavier pour voler mots de passe et autres données confidentielles ou encore en prenant le contrôle du système à votre insu. Vous vous exposez également à des tentatives de racket lors desquelles l’ensemble de vos données sont cryptées par un pirate qui vous demande de payer pour les récupérer.

Le piratage de votre connexion : un risque à ne pas négliger

Enfin, les VPN gratuits peuvent également servir à des pirates pour détourner votre navigateur ou votre connexion. Le but des pirates, dans ce cas précis, est de gagner de l’argent en détournant votre recherche pour vous rediriger sur un site partenaire sans que vous puissiez vous y opposer. Un petit tour de passe-passe qui pourrait bien vous coûter cher, au final.

Comment contourner les risques des VPN gratuits ?

Les risques des VPN gratuits sont inhérents à leur business model, car un service de VPN sérieux engendre des coûts de fonctionnement qui rendent sa gratuité impossible. Il n’y a donc aucun moyen de contourner les risques des VPN gratuit si vous souhaitez absolument en utiliser un.

La seule solution pour bénéficier d’un VPN sûr, sans débourser d’argent est de souscrire à l’offre d’essai d’un service payant. Ainsi, vous pourrez le tester durant une période donnée et voir s’il vous convient. En plus d’avoir des performances médiocres, les VPN gratuits font courir de nombreux risques à leurs utilisateurs. Politique de confidentialité douteuse, revente de données, virus ou encore détournement de navigateur, autant de dangers auxquels il vaut mieux ne pas vous exposer. Si vous souhaitez utiliser un VPN, optez pour la qualité et la sécurité d’une offre payante, comme par exemple ExpressVPN, que vous pouvez, la plupart du temps, tester gratuitement au préalable.

Confiance ?

Pendant ce temps, les pirates louchent sur les fournisseur de VPN. Dernièrement, NordVPN, fournisseur de réseau privé virtuel a confirmé avoir été piraté. Il s’est avéré que cette société avait laissé une clé privée interne expirée exposée, qui permettait à quiconque de faire tourner ses propres serveurs en imitant NordVPN.
Les fournisseurs ont connu une croissance rapide en raison du besoin croissant de protection de la vie privée. Les fournisseurs de cloud VPN ont besoin de certificats TLS qui agissent comme des identités de machine pour autoriser la connexion, le cryptage et établir la confiance entre les machines.
Les identités machine sont des cibles extrêmement précieuses pour les cybercriminels et les grandes entreprises ont souvent des dizaines de milliers d’identités machine qu’elles doivent protéger.
Ces violations deviendront plus fréquentes à l’avenir. Il est impératif que les organisations aient l’agilité nécessaire pour remplacer automatiquement toutes les clés et tous les certificats qui ont pu être exposés en cas de violation. Le remplacement rapide des identités machine est le moyen fiable d’assurer la confidentialité et la sécurité dans un monde où les entreprises fonctionnent et dépendent du cloud.
Communiqué de presse, Securite informatique

DFIR ORC : un outil de collecte libre pour l’analyse forensique

Conçu en 2011 pour répondre aux missions opérationnelles de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) en matière d’investigation et de réponse à incident, le logiciel DFIR ORC (pour Outil de recherche de compromission) n’a cessé d’évoluer pour regrouper un ensemble d’outils qui permettent la recherche, l’extraction et la mise à disposition de données forensiques dans un environnement Microsoft Windows… à l’échelle d’un parc entier ! L’outil, intégralement libre, est aujourd’hui publié par l’agence à l’usage des acteurs et des professionnels de la communauté.

Créé et utilisé de longue date par les équipes de l’ANSSI, le logiciel de collecte DFIR ORC regroupe un ensemble d’outils qui permettent la recherche, l’extraction et la mise à disposition des données forensiques. Il a été entièrement conçu afin de fonctionner dans l’écosystème Microsoft Windows de façon décentralisée et à grande échelle.

« Après 8 ans d’usage, DFIR ORC a été utilisé sur plus de 150 000 postes dans le cadre de nos activités opérationnelles en matière de réponse à incident. » indique François Deruty, sous-directeur Opérations de l’ANSSI.

En s’engageant dans une démarche d’ouverture avec la communauté de la sécurité numérique, l’ANSSI souhaite aujourd’hui partager cet outil mature qu’elle utilise au quotidien depuis plusieurs années*. [https://dfir-orc.github.io]

DFIR ORC – POUR QUI ? POUR QUOI ?

DFIR ORC s’adresse aux professionnels de la sécurité informatique soucieux d’acquérir les données nécessaires à la réponse aux incidents de sécurité de façon fiable, ainsi qu’à tous les développeurs qui souhaiteront s’en inspirer ou contribuer à son développement.

DFIR ORC peut être déployé sur l’intégralité d’un parc Microsoft Windows, tout en minimisant l’impact sur son fonctionnement normal. Il assure ainsi la collecte des informations souhaitées avec une exigence de fiabilité, de qualité et de traçabilité, sans modifier la configuration des machines analysées, tout en minimisant les risques d’altérations des données collectées.

Par son usage, DFIR ORC permet donc de disposer d’une vision de l’état du parc au moment de la collecte. Il ne vise cependant pas à pratiquer une analyse sur les données collectées : c’est le rôle de spécialistes disposant d’une méthodologie et d’outils adaptés.

CONTRIBUEZ AU DÉVELOPPEMENT DE DFIR ORC

DFIR ORC est un outil modulaire, configurable, qui peut embarquer d’autres outils, notamment ceux qui sont déjà proposés par l’agence. Avec la publication de DFIR ORC, l’ANSSI partage le code source, la procédure de compilation ainsi que des exemples de configuration de l’outil. Tous ces éléments permettent la génération d’un outil fonctionnel adapté à l’usage souhaité.

« À travers DFIR ORC, nous avons l’ambition de contribuer activement à la vie de la communauté de la réponse à incident, en lui permettant de s’approprier et de développer l’outil à sa manière », ajoute François Deruty. L’ANSSI souhaite encourager l’émergence d’une communauté publique de développeurs et d’utilisateurs de l’outil, pour favoriser sa montée en maturité et l’apparition de nouvelles fonctionnalités. L’agence continuera de même à développer DFIR ORC, et publiera régulièrement des mises à jour de l’outil. L’agence invite tous les acteurs de la communauté à enrichir dès à présent ce projet avec nos équipes.

Cybersécurité, double authentification

MFA : authentification multi-facteurs

Pour protéger l’accès réseau de vos utilisateurs, et si vous pensiez à l’authentification multi-facteurs (MFA). La MFA est l’une des meilleures mesures à mettre en place. Une sécurisation des connexions insuffisante et l’entreprise est exposée à des risques de violations et de non-conformité. Explication par IS Decisions.

L’authentification multi-facteurs (MFA), considérée comme coûteuse et complexe, ne semble pas encore adoptée comme il le faudrait.

Les petites et moyennes entreprises (PME/PMI) pensent à tort qu’une entreprise doit dépasser une certaine taille afin de pouvoir bénéficier de la MFA. C’est faux.

Adopter une solution MFA doit être vu comme une couche de sécurité essentielle pour toute entreprise, qu’importe sa taille, et doit représenter une façon simple de protéger les comptes utilisateur. Peu importe la taille de votre entreprise, voici six recommandations indispensables à considérer pendant la préparation afin d’assurer un déploiement MFA réussi. Par exemple : Sécuriser les connexions améliore de manière considérable votre position de sécurité ; Choisissez une solution MFA qui ne contrarie pas les équipes informatiques ; La MFA doit allier sécurité et productivité des utilisateurs ; Éduquez vos utilisateurs et donnez-leur les moyens de soutenir la MFA ; Utilisez la MFA pour tous les comptes. ; Obtenez l’adhésion et l’engagement de la direction. Explication par IS Decision.

Communiqué de presse, Cybersécurité

Les cybercriminels misent toujours davantage sur les techniques de contournement des antimalwares

De nombreux outils modernes de malware intègrent des fonctionnalités pour contourner les antivirus et autres mesures de détection : les cybercriminels ont affûté leurs armes pour gagner en furtivité, déjouer les analyses antimalware et éviter de se faire détecter.

À titre d’exemple, une campagne de spam illustre comment les assaillants utilisent et affinent ces techniques contre leurs cibles. Lors de cette attaque, un email de phishing est utilisé pour transmettre un fichier Excel avec une macro malveillante, dont l’objectif est de désactiver les outils de sécurité, d’exécuter des commandes de manière arbitraire, de causer des problèmes au niveau de la mémoire et de ne cibler que les systèmes japonais. Une de ses propriétés recherche plus particulièrement une variable xIDate, mais ce mode opératoire semble encore non documenté à ce jour.

Autre exemple, celui du cheval de troie bancaire Dridex qui modifie le nom et les hash des fichiers à chaque connexion de la victime, ce qui rend plus difficile l’identification du malware sur les systèmes hôtes infectés.

L’utilisation croissance de techniques d’évasion et de contournement des analyses antimalware incite à déployer différentes couches de sécurité et à s’orienter vers une détection comportementale des menaces.

Les attaques furtives visent le long terme

Le malware Zegost de détournement de données, au cœur d’une campagne de spear phishing, présente des techniques pour le moins intrigantes. À l’instar d’autres outils similaires, l’objectif principal de Zegost est de recueillir des informations sur le dispositif de la victime et de les exfiltrer. Cependant, Zegost se distingue par sa furtivité, grâce notamment à une fonction de « nettoyage » des logs applicatifs, qui permet de masquer sa présence. D’autre part, Zegost présente également une commande de mise en attente jusqu’au 14 février 2019, date à laquelle il a initié son processus d’infection.

Les auteurs de Zegost ont su utiliser tout un arsenal d’exploits pour établir et maintenir une connexion avec leurs victimes, ce qui en fait une menace sur le long terme par rapport aux autres malware similaires.

Le ransomware continue à se transmettre via des attaques toujours plus ciblées

Les attaques ciblant de multiples villes, collectivités locales et acteurs de l’enseignement rappellent que le ransomware reste d’actualité et qu’il continue à viser de nombreuses organisations. Les attaques par ransomware se font de moins en moins en masse et de manière opportuniste. Le ciblage est devenu une réalité et la priorité est donnée aux entreprises perçues comme susceptibles de régler une rançon. Dans certains cas, les cybercriminels procèdent à une phase amont approfondie de reconnaissance avant de déployer leur ransomware sur des systèmes identifiés avec précision, ce qui maximise les opportunités d’infection.

À titre d’exemple, le ransomware RobbinHood s’en prend à l’infrastructure réseau des entreprises. Il est capable de désactiver les services Windows qui préviennent le chiffrement des données, mais aussi de déconnecter les disques partagés.

Un autre nouveau ransomware appelé Sodinokibi pourrait bien devenir la prochaine menace majeure pour les entreprises. D’un point de vue fonctionnel, il n’est pas vraiment différent de la majorité des outils de ransomware. Il se distingue néanmoins par son vecteur d’attaque puisqu’il exploite une nouvelle vulnérabilité qui permet l’exécution de code arbitraire et n’a pas besoin d’interaction de la part de l’utilisateur, comme c’est le cas pour d’autres logiciels de ransomware livrés par email phishing.

Quel que soit le vecteur utilisé, le ransomware reste, et restera, une menace sérieuse pour les entreprises : plus que jamais, le patching doit être prioritaire, au même titre que la sensibilisation des collaborateurs aux risques de cybersécurité.

De plus, les vulnérabilités du protocole RDP (Remote Desktop Protocol), comme BlueKeep, sont un avertissement que les services d’accès à distance peuvent être des opportunités pour les cybercriminels et qu’ils peuvent également être utilisés comme vecteur d’attaque pour diffuser des logiciels de rançon.

De nouvelles opportunités sur la surface d’attaque

Entre l’imprimante personnelle et les infrastructures critiques, émergent désormais de nombreux systèmes de contrôle à usage résidentiel et pour les petites entreprises. Ces systèmes intelligents attirent moins l’attention des assaillants que leurs homologues industriels, mais les choses peuvent évoluer compte tenu de l’augmentation observée de l’activité ciblant ces dispositifs de contrôle tels que les capteurs environnementaux, les caméras de sécurité, ou encore les systèmes de sécurité. Une signature liée aux solutions de gestion techniques du bâtiment émise par 1% des entreprises. Ce chiffre peut paraître peu élevé, mais il reste néanmoins supérieur à ce qu’on observe parmi les systèmes de contrôle industriel (ICS) et SCADA.

Les cybercriminels sont à la recherche de nouvelles possibilités de détourner les dispositifs de contrôle, tant au sein des espaces résidentiels que des entreprises. Parfois, ces types d’appareils ne sont pas aussi prioritaires que d’autres ou ne sont pas intégrés dans les processus traditionnels de gestion IT. La sécurité des systèmes intelligents résidentiels et pour les petites entreprises mérite une attention particulière, d’autant que la possibilité d’y accéder pourrait lourdement peser sur la sécurité. Ceci est particulièrement vrai pour les environnements de travail distants où la sécurité des accès reste critique. (Fortinet)

Phishing, Social engineering

Selon le FBI, les attaques BEC auraient coûté 26 milliards de dollars aux entreprises

Les attaques BEC auraient coûté 26 milliards de dollars aux entreprises entre juin 2016 et juillet 2019.

Plus de 99% des cyberattaques requièrent une action humaine pour se propager. Les attaques BEC reposent sur l’engagement des individus et les cybercriminels s’appuient sur la psychologie humaine en demandant des réponses urgentes à des sollicitations pour des virements ou l’envoi de données confidentielles, simulant souvent un besoin commercial immédiat mais fictif. Pour réduire les chances de succès de telles attaques, les entreprises doivent prendre des mesures rapidement, en sensibilisant leurs employés et en déployant des solutions qui placent l’individu au cœur de leur stratégie de sécurité.

Les BEC et les EAC (des attaques BEC lancées à partir de comptes internes compromis appartenant à des cadres – et donc plus difficiles à détecter) représentent des armes de choix car elles sont peu coûteuses et nécessitent plus de recherche que les infrastructures d’envoi.

L’envoi d’emails frauduleux est peu coûteux. Les messages n’exigent pas de logiciels malveillants coûteux ; pourtant, les attaques elles-mêmes sont très efficaces, entraînant des milliards de dollars de pertes.

E-mails frauduleux

L’exploitation du canal email par le biais de messages hautement personnalisés et conçus par ingénierie sociale permet aux cybercriminels d’usurper facilement l’identité d’un employé ou d’un partenaire de confiance. La prévalence et l’efficacité des stratégies de phishing et de vols d’identifiants alimentent également les attaques EAC, ouvrant aux attaquants un canal interne pour mettre en œuvre leurs cyberattaques.

« Ces systèmes d’ingénierie sociale vont devenir de plus en plus répandus et difficiles à identifier, à détecter et à combattre. Il est essentiel que les entreprises privilégient une approche de cybersécurité centrée sur les personnes qui protège toutes les parties (employés, clients et partenaires commerciaux) contre le phishing, la fraude par email, le vol d’identifiants et les attaques par force brute. » indique  Loïc Guézo de Proofpoint.

Des défenses à plusieurs niveaux au niveau de la périphérie du réseau, de la passerelle de messagerie, du cloud et des points d’accès, ainsi qu’une solide formation des utilisateurs afin d’offrir la meilleure défense contre ces types d’attaques.

D’autant plus malicieuses : le phishing n’est pas un virus. Le type de logiciel malveillant que détectent les antivirus par exemple.

Direction Hong Kong… mais pas que !

Sur la base des données financières, les banques situées en Chine et à Hong Kong restent les principales destinations des fonds frauduleux. Toutefois, le Federal Bureau of Investigation constate une augmentation du nombre de transferts frauduleux vers le Royaume-Uni, le Mexique et la Turquie.

Les statistiques BEC / EAC suivantes ont été rapportées à l’IC3 et proviennent de sources multiples. Notamment des données d’IC3 et de plaintes internationales en application de la loi, ainsi que des informations transmises par des institutions financières entre octobre 2013 et juillet 2019:

Les statistiques suivantes ont été rapportées dans les plaintes déposées par les victimes auprès de la CI3 entre juin 2016 et juillet 2019:

Incidents nationaux et internationaux: 166,349
Perte de dollars exposée aux niveaux national et international: $26,201,775,589
Les statistiques BEC / EAC suivantes ont été rapportées dans les plaintes des victimes déposées auprès de l’IC3 entre octobre 2013 et juillet 2019:
Total des victimes américaines: 69,384
Perte totale en dollars exposés aux États-Unis: $10,135,319,091
Total non-U.S. victims: 3,624
Perte totale en dollars exposés en dollars américains: $1,053,331,166
Les statistiques suivantes ont été rapportées dans les plaintes déposées par les victimes auprès de la CI3 entre juin 2016 et juillet 2019:
Total des bénéficiaires financiers américains: 32,367
Destinataire financier américain total exposé perte en dollars: $3,543,308,220
Total des bénéficiaires financiers non américains: 14,719
Total des pertes financières en dollars des bénéficiaires financiers autres que les États-Unis: $4,843,767,489

(FBI)

Communiqué de presse, Cybersécurité

Stealth Falcon : Des attaques cibles des politiques au Moyen-Orient

Des chercheurs découvrent une backdoor dotée de fonctionnalités intéressantes et apparentée au logiciel malveillant utilisé par le tristement célèbre groupe Stealth Falcon

Stealth Falcon est un groupe de cybercriminalité actif depuis 2012 qui cible les journalistes et les activistes politiques au Moyen-Orient. Certains analystes l’associent au Project Raven, une initiative qui impliquerait d’anciens agents de la National Security Agency (NSA). Pour en savoir plus, cliquez ici.

Des informations techniques limitées sur Stealth Falcon ont déjà été rendues publiques, notamment une analyse du composant principal du malware – une backdoor en PowerShell qui se propage via un document infecté joint à un e-mail malveillant.

Les chercheurs d’ESET ont découvert une backdoor exécutable inédite qu’ils ont nommée Win32/StealthFalcon. Ils ont constaté un petit nombre d’attaques par ce malware aux Émirats arabes unis, en Arabie saoudite, en Thaïlande et aux Pays-Bas ; dans ce dernier cas, la cible était une mission diplomatique d’un pays du Moyen-Orient.

Win32/StealthFalcon

Les travaux d’ESET ont mis en évidence des similarités entre la backdoor exécutable récemment découverte et le script PowerShell doté de capacités de backdoor précédemment attribué au groupe Stealth Falcon. Les chercheurs d’ESET considèrent ces similarités comme une preuve solide que les deux backdoors sont l’œuvre du même groupe.

Win32/StealthFalcon utilise une technique relativement inhabituelle pour communiquer avec son serveur de commande et contrôle (C&C) : le service de transfert intelligent en arrière-plan (BITS), un composant standard de Windows.

Par rapport aux méthodes de communication traditionnelles via des fonctions d’API, le mécanisme BITS passe par une interface COM, ce qui le rend plus difficile à détecter. Fiable et furtive, cette approche a également davantage de chances d’être autorisée par le pare-feu de l’hôte.

Outre son mode de communication C&C inhabituel, Win32/StealthFalcon fait appel à des techniques avancées pour empêcher sa détection et son analyse, assurer sa persistance et compliquer l’analyse criminalistique.

Pour plus d’informations : « ESET discovered an undocumented backdoor used by the infamous Stealth Falcon group ».

Argent, Cybersécurité, Social engineering

Tentative de piratage CoinHouse

Des pirates informatiques ont tenté de piéger les clients du site spécialisé dans les cryptomonnaie CoinHouse. Mais comment les pirates ont-ils eu les mails utilisés dans leur tentative de fraude ?

Jeudi 12 septembre, 20 heures. La société CoinHouse alerte ses clients d’une tentative de fraude. Une cyber attaque aux couleurs de ce spécialise des cryptomonnaie prenant la forme d’un phishing. « Vous avez pu recevoir un mail ayant pour objet  »Action requise: vérifiez vos données », avec un message en anglais vous invitant à cliquer sur un bouton  »Verify ». » explique CoinHouse dans son courriel d’alerte. « Ce message a été envoyé par des pirates informatiques pour vous rediriger vers un faux site : app.colnhouse.com et ainsi récupérer vos identifiants. »

L’attaque a débuté quelques heures auparavant. Un courriel signe coinhouse.com comme le montre la capture écran de Data Security Breach. « In order to continue using our services, please verify our submitted data and documents. It will not take more than 3 mintues to complete the verifying steps, once you finish, please proceed by pressing save button. » annonçait l’arnaque.

La page pirate recupérait les identifiants de connexion.

Infiltration, exfiltration

Fait intéressant : si les hameçonnages sont très fréquents, l’histoire ne dit pas comment les pirates ont eu accès aux adresses électroniques. Plusieurs lecteurs de Data Security Breach, dont votre serviteur, exploitent une adresse dédiée à ce service ! A noter que ce courriel usurpateur a été envoyé via l’outil bmail exploité en interne par CoinHouse.

Les pirates avaient parfaitement organisés leur action. En plus du courriel et de sa méthode de diffusion, ils avaient enregistré le domaine https://app.colnhouse.com. Un typosquatting. Le i de CoinHouse remplacé par un L minuscule : app.colnhouse.com

Securite informatique, Social engineering

Fraude aux adresses IPv4

À mesure que les adresses IPv4 deviennent des produits de valeur, des systèmes de fraude élaborés apparaissent. Les propriétaires d’entreprise ont besoin de partenaires industriels experts pour optimiser et protéger leurs actifs d’adresses IP

 

Début du mois de septembre, les médias sud-africains ont révélé un système de fraude complexe dans lequel les adresses IPv4 d’une valeur d’au moins 30 millions de dollars sur le marché de l’occasion avaient été volées ou détournées par de grandes sociétés multinationales basées en Afrique du Sud.

La plupart des propriétaires enregistrés n’étaient pas au courant de cette violation de leurs propriétés.  Les « pirates » exploitant des structures de propriété complexes. De plus, les propriétaires légitimes peu familiarisés avec la valeur des actifs considérables de leurs stocks d’adresses IPv4.

Parmi les ensembles d’adresses, il y avait un certain nombre de «blocs hérités» particulièrement précieux. Des ensembles d’adresses IP mises en place avant la création de registres Internet régionaux (RIR). Donc totalement libres d’utilisation.

« Nous remarquons souvent que les entreprises qui ont obtenu d’importants groupes d’IPv4 alors qu’ils étaient encore disponibles n’ont pas conscience de leur valeur. Auparavant, des milliers d’adresses étaient gratuites. Aujourd’hui, une adresse unique peut valoir jusqu’à 30 dollars », commente Vincentas Grinius, PDG de Heficed, une société proposant des solutions d’infrastructure réseau centrées sur la fourniture et la gestion des adresses IP.

Fraude IPv4

Comme pour les VPN, les adresses numériques sont devenues des contenus très courus.

La fraude IPv4 est devenue un problème de plus en plus urgent au cours de la dernière décennie. En effet, les adresses IP omniprésentes sont en réalité une ressource limitée. Leurs sources initiales, les RIR desservant chacune une région continentale, sont presque épuisées, et AFRINIC est la seule à les attribuer avec une relative facilité.

Les adresses IP étant toutefois localisées, les adresses africaines ne servent qu’à un usage limité – pour exploiter un serveur en Europe ou en Amérique, un utilisateur a besoin d’une adresse IP européenne ou américaine. Ceci est particulièrement pertinent pour les clients dépendant de la latence, comme ceux qui opèrent dans des domaines où la concurrence est rude.

Business de l’IPv4

Quiconque a besoin d’adresses IPv4 doit donc les obtenir sur le marché de l’occasion. Comme dans tout marché de produits de base, la fraude constitue également un problème.

Même dans les pays hautement réglementés comme les États-Unis, les fraudeurs s’attaquent toujours aux ressources de grande valeur.

Les adresses se récupérent. Mais cela prend souvent un temps considérable et beaucoup d’investissements.

Il est souvent impossible pour les grandes entreprises de suivre correctement les droits de propriété sur IPv4.

« Comme pour tous les biens immatériels complexes, tels que les stocks ou les actifs virtuels, les fournisseurs d’infrastructure de réseau intermédiaire remplissent plus que la fonction de commerçant. Ils commercialisent, gèrent et gèrent les ressources de leurs clients », explique Grinius.

Traiter des détails techniques tels que les adresses IP est souvent laissé de côté par les entreprises. Encore faut-il qu’elles sont au courant du problème.

Pour le moment, le seul moyen d’éviter des violations de la sécurité potentiellement dommageables est de travailler avec des partenaires de confiance dans la recherche et la gestion d’adresses IPv4. Avec une forte demande encourageant la fraude, les autorités existantes sont tout simplement surmenées.