Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Anubis : cheval de Troie bancaire décortiqué

Anubis 2 est apparu dans le « paysage des menaces » en 2017 en tant que cheval de Troie bancaire en location (disponible pour les fraudeurs dans des forums undergrounds), l’auteur et créateur du malware se surnomme « maza-in ». Si ce dernier a disparu des radars, son outil malveillant est toujours en action.

En tant que malware bancaire, Anubis incite ses victimes à fournir des informations personnelles et sensibles, telles que les logins bancaires, des codes de sécurité bancaire et même des informations de carte de crédit. Mais ce logiciel malveillant va au-delà des attaques « overlay » bien connues, utilisées par les chevaux de Troie bancaires, car il combine des fonctionnalités avancées telles que le streaming d’écran du téléphoné infecté, l’accès à tous les fichiers à distance, l’enregistrement sonore, le key-logging et même un proxy réseau, ce qui en fait un malware bancaire efficace, mais également un potentiel outil pour espionnage.

D’un point de vue opérationnel, Anubis peut être considéré comme l’un des chevaux de Troie bancaires Android les plus utilisés depuis fin 2017. En ce qui concerne les banques Françaises, les suivantes sont ciblées : Axa, Banque Populaire, BNP Paribas, Boursorama, Caisse d’Épargne, Crédit Agricole, Crédit Mutuel, LCL, Palatine ou encore la Société Générale.

L’auteur a disparu, par son code malveillant

Au cours du premier trimestre 2019, l’auteur et créateur du cheval de Troie a disparu, laissant les clients existants sans assistance ni mises à jour; mais le risque demeure et pourrait même augmenter. Les campagnes d’infection d’Anubis comptent parmi les plus importantes jamais enregistrées pour les malwares bancaires : De nombreuses victimes ne sont pas conscientes du fait que le malware ne se déguise pas comme l’app de la banque, il se déguise principalement en tant qu’application tierce et reste inaperçu par les usagers. Anubis se fait par exemple passer pour : de faux jeux mobiles, de fausses mises à jour de logiciels, de fausses applications postales, de fausses applications Flash Player, de fausses applications utilitaires, de faux navigateurs et même de fausses applications de réseau social et de communication.

Les caractéristiques du cheval de Troie en font une menace importante : Habituellement, les chevaux de Troie bancaires effectuent principalement des attaques de type « overlay » afin de collecter les informations personnelles puis volent les SMS pour acquérir les codes bancaires, mais Anubis va plus loin que ça avec la streaming de l’écran du téléphone infecté, l’accès de fichiers à distance (accès au stockage du téléphone), l’enregistrement sonore, le key-loggign et même un proxy réseau (permettant au criminel de se connecter à la banque via le téléphone infecté).

300 banques dans le monde ciblées

Les campagnes d’infection d’Anubis ciblent en moyenne, plus de 300 banques dans le monde: La liste observée dans les campagnes Anubis contient environ 360 cibles, contenant la plupart des banques les plus grandes et les plus connues dans le monde, mais également des applications de communication et de réseautage social largement utilisées, ce qui signifie que personne n’est vraiment protégée, car même si une victime ne fait pas de banque en ligne le malware abusera d’autres applications (Liste complète de cibles en Annexe du blog).

Les malware qui deviennent orphelins ne sont pas toujours un bon signe : Beaucoup de gens pourraient penser que lorsque le propriétaire / auteur du malware disparaît, les opérations s’arrêtent… Malheureusement, ce n’est pas toujours le cas, surtout pas avec Anubis. Bien que l’acteur ait disparu, le cheval de Troie est toujours actif et le pire est que son code a été divulgué/fuit, ce qui pourrait amener de nombreux autres criminels à utiliser le programme malveillant. Toute l’analyse complète à découvrir sur Threat fabric.

La confiance : plus qu’un simple mot dans le monde de la cybersécurité

La notion de confiance est aujourd’hui au centre de nombreux débats dans le secteur de la cybersécurité. Elle revêt une dimension stratégique qui amène sans cesse de nouvelles questions et les tensions géopolitiques, fortement perceptibles en 2018, ont eu de nouvelles répercussions dans le cyberespace. Les exemples ne manquent pas à ce sujet.

Outre les soupçons sur l’origine étatique de cyberattaques majeures ou l’ouverture d’écoles de cyber-espionnage dans certains pays, l’année 2018 a été marquée par l’annonce d’embargo contre certains fournisseurs pour risque d’espionnage, ou encore de nouvelles suspicions sur la présence de portes dérobées dans des technologies étrangères. Huawei, notamment, en a fait les frais. Ce contexte crée le doute en termes de fiabilité et d’intégrité des produits logiciels, notamment en ce qui concerne les solutions de cybersécurité. En effet, ces dernières sont particulièrement sensibles de par leur fonction de « gardien du temple ». Avoir le contrôle sur les systèmes de protection, c’est obtenir un accès direct aux ressources protégées. C’est pourquoi, le choix des partenaires cybersécurité n’a jamais été aussi crucial pour les entreprises et les institutions.

Sur l’épineuse question des portes dérobées ou de l’affaiblissement des mécanismes de chiffrement, les positions prises par les États diffèrent. La Russie a déjà légiféré pour obliger les éditeurs à fournir aux autorités un moyen d’accéder à des communications chiffrées. Les Etats membres de l’Alliance des Five Eyes* souhaitent également imposer l’introduction de faiblesses dans les logiciels. L’objectif principal et officiel est de pouvoir déchiffrer certains échanges qui pourraient être liés à des activités terroristes et de partager l’information entre les services de renseignement.

Bien entendu, lutter contre le terrorisme est une cause prioritaire. On peut cependant s’interroger sur le bien-fondé de cette volonté de créer des backdoors qui pourraient être un moyen détourné d’accéder aux informations sensibles des entreprises ou des particuliers. Tous les scénarii sont alors envisageables : espionnage étatique, accès à des secrets industriels, atteinte aux libertés individuelles, etc. Autant d’éléments qui ne sont en aucun cas liés à la guerre contre le terroriste et qui pourraient nuire gravement à la protection du patrimoine informationnel des entreprises et des institutions.

Comme évoqué précédemment, ces backdoors ne font pas l’unanimité. L’Europe notamment se positionne très clairement contre leur mise en place et préconise un chiffrement de bout en bout dans les communications afin d’en garantir une totale sécurité. Déjà en 2017, le Vice-Président de la Commission Européenne martelait cette position en mettant en avant la menace induite par l’utilisation de portes dérobées qui peuvent être exploitées par la cybercriminalité. En effet, l’affaiblissement d’un système de protection ou de chiffrement pourrait tout à fait être découvert puis utilisé par des personnes malintentionnées, leur offrant ainsi une voie royale pour réaliser leurs méfaits.

Ce constat montre encore une fois que la notion de confiance numérique va bien au-delà de considérations purement technologiques et fonctionnelles pour intégrer une dimension éminemment géopolitique. L’origine des technologies numériques, et notamment celles qui manipulent ou protègent des données sensibles, est un pilier de cette confiance numérique. Les entreprises doivent prendre en compte cette donnée stratégique dans leur raisonnement avant de confier les clés de la sécurisation de leur système d’information à un fournisseur. En ce sens, un travail de sensibilisation continue est nécessaire auprès des organisations privées et publiques. Les éditeurs européens doivent, de leur côté, être plus transparents sur leurs positions et adopter une posture commune. On peut également se féliciter des travaux en faveur de la confiance numérique entrepris à l’échelle européenne et par différentes agences gouvernementales à l’image de l’ANSSI. La qualification de produits de sécurité portée par l’agence française impose, par exemple, une revue de code source pour s’assurer du niveau de robustesse des fonctions de protection et de l’absence de portes dérobées. Gageons que cette initiative sera reprise plus largement dans le futur cadre de certification européen pour lequel a été récemment mandaté l’ENISA. (Matthieu Bonenfant – CMO Stormshield)

*Alliance qui réunit les services de renseignement des États-Unis, Australie, Nouvelle-Zélande, Royaume-Uni et Canada.

De la cybersécurité à la cyber-immunité

À l’époque où je travaillais sur notre premier antivirus, rares étaient les foyers équipés d’un ordinateur, technologie au prix alors quelque peu prohibitif. Le nombre d’internautes a explosé ces dernières années. On compte aujourd’hui 4 388 milliards d’internautes actifs[1] et de plus en plus de personnes sur la planète possèdent désormais un ou plusieurs appareils connectés à Internet. Pendant bon nombre d’années, nous étions connus comme l’entreprise qui vendait des logiciels antivirus.

Aujourd’hui, les solutions de protection des terminaux ne constituent que l’un de nos nombreux segments d’activité. Nous nous concentrons depuis plusieurs années déjà sur des domaines tels que la cybersécurité industrielle, l’apprentissage automatique, la sécurité de l’Internet des objets (IoT), la Threat Intelligence ou encore la cybersécurité des systèmes de transport. En 1998, soit un an après la création de notre entreprise, nous recensions chaque jour une cinquantaine de nouveaux échantillons de malware ; en 2019 – 21 ans plus tard –, ce sont 360 000 échantillons uniques de malware qui sont détectés quotidiennement !

Mais pourquoi ces comparaisons nostalgiques entre la fin des années 1990 et aujourd’hui ? Eh bien, nous évoluons à présent dans un cybermonde ultra-connecté guidé par la « révolution industrielle 4.0 ». Dans cet univers, la connectivité est vectrice d’opportunités remarquables, mais aussi source de vulnérabilités majeures pour les entreprises ordinaires, pour le secteur industriel et pour l’infrastructure critique. Un changement s’impose selon moi dans notre manière de protéger l’ensemble des technologies qui nous entourent.

Cybersécurité

Existe-t-il une solution miracle pour faire face aux menaces en apparence insurmontables de cette ère digitale ? Je crains bien que non. S’il y en avait une, je pourrais d’ores et déjà planifier ma retraite. En revanche, j’ai ma petite idée quant au futur de la cybersécurité, à la prochaine grande évolution de notre secteur ! À vrai dire, nous y travaillons déjà : il s’agit du concept de la « cyber-immunité », poussé à son paroxysme. Comment définir cette évolution ? Comme ceci : le coût d’une cyberattaque devrait excéder celui des dommages (pour la victime) ou des gains potentiels (pour le cyberpirate). En revanche, des entreprises comme All4tec, développe des solutions pour faire face au problème de cybersécurité notamment avec de la protection préventive.

Comment y parvenir ?

En revoyant notre manière de penser la sécurité des systèmes et des produits. À l’heure actuelle, notre travail consiste à bâtir une couche de protection autour d’une architecture informatique existante. Ne serait-il pas nettement plus simple de disposer de solutions « secure » à tous les niveaux dès leur conception et ne nécessitant en principe aucune protection supplémentaire ? Cette idée nous paraissant excellente, nous avons commencé à la mettre en œuvre dans le domaine de l’IoT. Plus de 20 milliards d’objets devraient être connectés l’an prochain[2], avec toutefois un niveau de protection quasi inexistant, les appareils connectés étant fréquemment exploités pour mener des attaques DDoS massives ou pour constituer des botnets. Comment résoudre ce problème ? Il nous faut concevoir de A à Z des appareils connectés « intelligents » dotés d’une architecture à micro-noyau ainsi que d’une couche de sécurité isolant l’ensemble de ses modules pour empêcher tout comportement inhabituel des équipements IoT. Il est déjà possible de mettre en œuvre ce concept à l’aide de notre système d’exploitation KasperskyOS, destiné aux technologies embarquées. Nous pouvons bien sûr en faire de même pour les systèmes et les produits plus complexes.

Peut-on espérer passer de la cybersécurité à la cyber-immunité dans un très proche avenir ?

J’aimerais beaucoup pouvoir répondre « oui », mais il faut savoir que la route sera longue et que le monde n’a pas encore amorcé cette transformation. D’ici là, il nous faut simplement continuer à communiquer sur les dangers d’un monde connecté vulnérable, pour que chacun prenne conscience de la nécessité de protéger toutes les technologies connectées qui nous entourent. Nous pouvons le faire ! Nous pouvons donner vie à la cyber-immunité ! (Tribune d’Eugene Kaspersky)

[1] We Are Social and Hootsuite’s latest collection of Global Digital 2019 reports.
[2] Gartner : « Leading the IoT »

Des pirates mettent la main sur des mises à jour du logiciel ASUS

Des pirates informatiques ont réussi à s’infiltrer dans les mises à jour du constructeur Coréen ASUS. Ils ont installé, durant plusieurs semaines, des backdoors sur des milliers d’ordinateurs.

Imaginez, 12% des ordinateurs ASUS en France seraient concernés par cette infiltration. Selon des chercheurs de la société de cybersécurité Kaspersky Lab, « des pirates ont réussi l’année dernière à installer des logiciels malveillants à plus d’un million de propriétaires de PC de la marque ASUS – l’un des plus grands fabricants d’ordinateurs au monde –« . Ils auraient exploité le système de mise à jour logicielle du fabricant. Le fichier malveillant a été signé avec des certificats numériques ASUS légitimes pour donner l’impression qu’il s’agit d’une mise à jour logicielle authentique de la société.

Les certificats de signature de code utilisés pour savoir quelles sont les mises à jour à faire et quelles sont les machines à qui nous pouvons faire confiance. Ils sont dans les applications qui alimentent les voitures, les ordinateurs portables, les avions et plus encore. Presque tous les systèmes d’exploitation dépendent de la signature de code, et nous verrons beaucoup plus de certificats dans un avenir proche en raison de l’essor des applications mobiles, des DevOps et des périphériques IoT. « Cependant, les cybercriminels considèrent les certificats de signature de code comme une cible précieuse en raison de leur puissance extrême. explique à Data Security Breach Kevin Bocek, VP security strategy and threat intelligence chez Venafi. Avec un certificat de signature de code, les hackers peuvent donner l’impression que leurs logiciels malveillants sont dignes de confiance et échapper aux systèmes de protection contre les menaces.« 

Infiltration et manipulation

Malheureusement, dans de nombreuses organisations, la protection des processus de signature de code incombe principalement aux développeurs qui ne sont pas prêts à défendre ces actifs. En fait, la plupart des équipes de sécurité ne savent même pas si leurs développeurs utilisent la signature de code ou qui peut avoir accès au processus de signature de code. « Il est impératif que les organisations sachent quels certificats de signature de code elles utilisent et où, d’autant plus qu’il est probable que des attaques similaires se produiront à l’avenir.« 

Cette nouvelle attaque utilisant le matériel ASUS est parfaitement emblématique du nouveau cyber-monde dans lequel nous vivons. Elle présente toutes les caractéristiques d’une opération précise : ciblée, exige beaucoup de ressources et presque impossible à détecter. « Tout acteur menaçant aurait besoin de ressources et d’un soutien considérables pour acquérir les certificats authentiques d’ASUS afin de faire son entrée dans la chaîne logistique. Ceci initie bien sûr le jeu qui consiste à deviner qui pourrait être derrière la campagne et il n’est pas exagéré de prétendre que des États manquant de lois sur les cyber-infractions et hébergeant des réseaux internationaux de cyber-crimes pourraient être à l’origine de cette activité. » indique Justin Fier, de chez Darktrace.

Ciblage !

Mais la nature très ciblée de l’attaque est peut-être encore plus alarmante: c’est là que nous devrions concentrer notre attention. Dans le monde entier, ces pirates ne ciblaient que 600 machines. Ce n’est qu’une question de temps avant que nous apprenions que ces machines ou ces personnes ciblées ont un fil conducteur unique les reliant entre elles. Pour l’instant, la question pour toutes les entreprises utilisant du matériel ASUS devrait être d’identifier si l’une de leurs machines se trouvait dans la cible. Et au-delà de cela, toutes les organisations doivent réaliser qu’ASUS n’est qu’une seule entreprise. Y aura-t-il des attaques similaires contre Dell et Apple ?

Voler des certificats authentiques et les utiliser pour signer des codes malveillants ne fait que renforcer les arguments en faveur de technologies d’IA sophistiquées capables d’identifier même les plus petites anomalies indiquant une menace. Ce type de comportement serait si proche de la normale que seule l’IA pourrait comprendre la différence entre normal et malveillant. En luttant contre des attaques aussi sophistiquées que celles-ci, les approches traditionnelles deviendront inefficaces: la cyber IA doit être la voie à suivre.

Comment sécuriser l’information stratégique d’une entreprise ?

Prises de décisions importantes et nouveaux axes de travail d’une entreprise reposent parfois sur un choix de stratégie approximatif. Afin que votre entreprise puisse avancer sereinement dans une évolution dynamique, il est important de mettre en place une bonne gouvernance d’entreprise et de sécuriser l’information stratégique. Il faut également proposer une véritable visibilité sur les réunions, sur les acteurs qui doivent agir et sur le partage des informations.

Une information stratégique mieux structurée

Qu’importe la multiplication des réunions et des rencontres professionnelles si l’information stratégique est déstructurée ou est mal protégée. Sécurisez l’information stratégique avec Skope pour vous assurer une meilleure exploitation des idées échangées ou pour visualiser les décisions qui ont été prises, mais aussi l’état d’avancement de leur mise en place. Cette application est particulièrement appréciée pour fluidifier le processus de décision de votre entreprise.

En échangeant en amont des réunions, l’ordre du jour est affiné et mieux cerné par tous les participants. Il est possible d’annoter les informations ou de notifier des points que vous souhaitez aborder. Durant la réunion, les participants peuvent prendre des notes à relire à la suite de ces échanges. Enfin, c’est aussi particulièrement utile à la suite de la réunion. Il est possible de revenir sur les échanges, mais surtout de visualiser la responsabilité de chacun pour réaliser des tâches.

L’application est idéale pour attribuer les points d’action destinés à faire avancer un projet. La gouvernance de l’entreprise est mieux prise en charge grâce à la mise en place de réunions stratégiques efficaces. Toutes les entreprises de petite ou très grande taille devraient travailler sur la manière de rendre les réunions plus efficaces. Cette application est aussi très sécurisée, afin d’éviter la fuite d’informations importantes. La plupart des données sensibles qui sont perdues par une entreprise sont liées à une faille humaine et non au piratage d’une application Web.

L’Intelligence Economique

Encore peu répandue en France il y a quelques années, l’Intelligence Economique a réussi à s’imposer comme une nécessité de protéger les informations sensibles et de mieux maîtriser l’information stratégique d’une entreprise. En installant un vrai processus de protection de l’IE dans votre entreprise, vous bénéficiez de coups d’avance pour devancer la concurrence de votre secteur. Vous êtes ainsi plus efficient dans la signature de nouveaux contrats ou l’aboutissement de partenariats fructueux. L’intelligence économique est particulièrement utile pour les décideurs de votre entreprise et c’est un atout pour la mise en sécurité de votre patrimoine et de vos bonnes idées.

Définir un degré de confidentialité d’une information

Pour une information stratégique bien protégée, il est important de pouvoir qualifier cette information et lui donner une valeur particulière selon son importance dans la stratégie de l’entreprise. Réfléchissez sur la nécessité de protéger certaines informations plus que d’autres. En France, l’idée fait son chemin vers la nécessité de mettre en valeur et de tenir secrète une information importante qui devient alors stratégique.

Conquérir un nouveau marché ou se lancer dans l’association entre deux marques peuvent être des décisions primordiales dans la vie d’une entreprise. Si la concurrence connaît vos actions avant que vous ne les réalisiez, vous risquez de vous voir voler vos bonnes idées ou votre partenariat. Pour cela, il est important de mettre en place des outils numériques dédiés à la sécurité de vos informations.

Patch Tuesday – Mars 2019 : 65 vulnérabilités dont 18 critiques

Le Patch Tuesday du mois de mars corrige 65 vulnérabilités dont 18 identifiées comme critiques. 13 de ces vulnérabilités critiques concernent les moteurs de scripts et des composants de navigateur et impactent les navigateurs Microsoft ainsi que la suite Office. Le Patch Tuesday de février 2019 comportait 74 vulnérabilités dont 20 critiques

Trois vulnérabilités entraînant une exécution de code à distance (RCE) sont corrigées sur le client DHCP de Windows de même qu’une vulnérabilité RCE sur le serveur TFTP exécutant des services de déploiement Windows et une élévation de privilèges dans Microsoft Dynamics 365. Le volume de patches publiés par Adobe ce mois-ci est plutôt léger et corrige seulement deux vulnérabilités et exposition courantes (CVE) dans Photoshop CC et Digital Editions.

Correctifs pour les postes de travail

Les patches pour les navigateurs, le moteur de script, ActiveX et MSXML sont une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont concernés les serveurs multi-utilisateurs qui servent de postes de travail distants à des utilisateurs.

Client DHCP Windows

Le client DHCP Windows étant utilisé sur les postes de travail et les serveurs, le déploiement de patches pour résoudre les trois vulnérabilités RCE doit être une priorité pour tous les systèmes Windows.

Serveur TFTP exécutant des services de déploiement Windows (WDS)

Si vous utilisez les services de déploiement Windows, ce patch doit être déployé en priorité dans la mesure où l’exploitation de la vulnérabilité affectant ces services peut entraîner l’exécution de code à distance sur le serveur concerné.

Microsoft Dynamics 365

Les déploiements sur site de Microsoft Dynamics 365 sont vulnérables aux élévations de privilèges si bien que le déploiement de correctifs pour ce système doit également être traité en priorité.

Avis de sécurité Microsoft

Microsoft a également publié trois avis de sécurité qui traitent différents sujets :

L’avis ADV190009 annonce la prise en charge de la signature du code SHA-2 pour Windows 7 SP1 et Windows Server 2008 R2. Cette mise à jour sera nécessaire pour tous les nouveaux correctifs publiés après juillet 2019. Les versions plus anciennes du serveur WSUS (Windows Server Update Services) doivent également être mises à jour afin de pouvoir distribuer les nouveaux patchs signés par l’algorithme de hachage SHA-2.

L’avis ADV190010 fournit des recommandations sur le partage entre plusieurs utilisateurs d’un même compte utilisateur. Microsoft déconseille ce comportement qu’il considère comme un risque de sécurité majeur.

L’avis ADV190005 fournit quant à lui des atténuations pour un possible déni de service dans http.sys lors de la réception de requêtes HTTP/2. Le patch permet de définir une limite pour le nombre de paramètres SETTINGS à envoyer lors d’une même requête.

Adobe

Adobe a publié des correctifs non sécuritaires pour Flash ainsi que des patchs de sécurité critiques pour Photoshop CC et Digital Editions, chacun de ces deux produits étant affecté par une vulnérabilité. (Jimmy Graham dans The Laws of Vulnerabilities)

Sécurisation des prothèses bioniques pour les personnes porteuses de handicap

Des experts en cybersécurité enquêtant sur les infrastructures cloud expérimentales utilisées pour les prothèses bioniques avancées ont identifié plusieurs failles de sécurité jusque-là inconnues, qui pourraient permettre à des tiers l’accès, la manipulation, le vol voire la suppression de données privées et d’autres éléments appartenant aux utilisateurs de ces appareils. Ces constatations ont été communiquées au fabricant Motorica, une start-up russe qui développe des prothèses bioniques de membres supérieurs destinées à des personnes en situation de handicap, afin que l’entreprise puisse remédier à ces problèmes de sécurité.

 L’Internet des objets ne se limite plus aux montres ou aux maisons connectées mais englobe également des écosystèmes complexes de plus en plus automatisés, notamment dans le domaine de la santé. A l’avenir, ces technologies pourraient ne plus servir uniquement à des équipements d’assistance, pour se généraliser et être utilisés par des consommateurs désireux d’étendre les pouvoirs ordinaires du corps humain grâce à un processus de cybernétisation.

Il importe donc que tout risque en matière de cybersécurité, susceptible d’être exploité par des acteurs malveillants, soit réduit au maximum par l’investigation et la correction des problèmes de sécurité touchant les produits actuels ainsi que les infrastructures sur lesquelles ils s’appuient.

Les chercheurs de Kaspersky Lab ICS CERT, en partenariat avec Motorica, ont entrepris d’évaluer la cybersécurité d’une solution logicielle de test pour une prothèse de main numérique conçue par la start-up russe. La solution elle-même est un système cloud distant, une interface permettant de suivre le statut de tous les équipements biomécaniques référencés. Ce système met également à la disposition des autres développeurs une palette d’outils pour analyser l’état technique d’équipements tels que des fauteuils roulants connectés ou encore des mains ou des pieds artificiels.

Les recherches initiales ont identifié plusieurs problèmes de sécurité, portant notamment sur une connexion http non sécurisée, des opérations incorrectes sur les comptes ou encore une validation insuffisante des informations saisies. En cours d’utilisation, la prothèse de main envoie des données au système cloud. A travers les failles détectées, un pirate pourrait :

  • accéder à des informations conservées dans le cloud à propos de tous les comptes connectés (notamment des identifiants et mots de passe en clair pour toutes les prothèses et leurs administrateurs) ;
  • manipuler, ajouter ou effacer des informations de ce type ;
  • ajouter ou supprimer leurs propres utilisateurs, normaux ou privilégiés (avec droits administrateurs).
  • « Motorica est une entreprise de haute technicité, fiable et socialement responsable, qui se donne pour mission de venir en aide aux personnes atteintes d’un handicap physique. Alors que l’entreprise se prépare à une phase de croissance, nous souhaitions l’aider à veiller à la mise en place des mesures de sécurité appropriées. Les résultats de notre analyse rappellent de manière opportune que la sécurité doit être intégrée dans les nouvelles technologies dès le départ. Nous espérons que les autres développeurs d’équipements connectés avancés accepterons de collaborer avec le secteur de la cybersécurité afin d’analyser et de corriger les failles de leurs appareils et systèmes, en traitant la sécurité des équipements comme faisant partie intégrante du développement », commente Vladimir Dashchenko, chercheur en sécurité au sein de Kaspersky Lab ICS CERT.

« Les nouvelles technologies nous ouvrent un nouveau monde d’équipements d’assistance bioniques. Il devient aujourd’hui crucial pour les développeurs de ces technologies de collaborer avec les fournisseurs de solutions de cybersécurité. Cela nous permettra de rendre impossibles des attaques, même théoriques, contre le corps humain », conclut Ilya Chekh, CEO de Motorica.

Un nouveau malware BabyShark cible les « Think Tanks » américains en charge de la sécurité intérieure

En février 2019, les chercheurs de l’Unité 42 au sein de Palo Alto Networks ont identifié des mails d’hameçonnage ciblé (spear phishing) envoyés en novembre 2018 qui contenaient un nouveau malware partageant la même infrastructure avec des playbooks(c’est-à-dire des feuilles de route listant les actions et les objectifs utilisés par un malware ou une famille de malware) associés aux campagnes nord-coréennes.

Ces mails étaient écrits comme s’ils émanaient d’un expert en sécurité nucléaire travaillant actuellement comme consultant pour des think tanks liés à la sécurité intérieure aux États-Unis. Ils ont été envoyés depuis une adresse publique avec le nom de l’expert et un sujet faisant référence au nucléaire nord-coréen. Ces messages avaient en pièce jointe un document Excel avec une macro infectée, qui ,quand elle était exécutée, menait à une nouvelle famille de malwares basée sur Microsoft Visual Basic (VB) que nous avons surnommé « BabyShark »

BabyShark est un malware récent. La version la plus ancienne que nous avons pu trouver dans des dépôts open source et nos propres jeux de données internes remontent à novembre 2018. Le malware se lance en exécutant à distance une requête HTML, qui peut être alors livrée au travers de différents types de fichiers comme des fichiers contenant des exécutables ou des documents malveillants. Babyshark extrait alors les informations du système vers un serveur C&C (Command and Control), se maintient au cœur du système et attend de nouvelles instructions de la part de l’opérateur.

BabyShark est utilisé pour une campagne limitée de spear phishing toujours en cours depuis novembre 2018. L’acteur derrière cette menace cherche clairement à glaner des informations liées à la sécurité nationale (américaine) en Asie du Nord-Est. Le soin apporté à la conception des mails d’hameçonnage et du camouflage laisse à penser que cet acteur connaît bien les cibles, et surveille de près les événements de cette communauté pour y récupérer les dernières informations. Sans pouvoir en être certains, nous pensons que l’acteur derrière BabyShark doit être en relation avec l’acteur (ou être le même groupe) qui a utilisé la famille de malwares KimJongRAT, et qui du moins partage des ressources avec l’acteur responsable de la campagne STOLEN PENCIL. Nous avons également remarqué des tests qui semblent indiquer que les attaquants travaillent sur de nouvelles versions d’exécutables pour envoyer BabyShark. Dans les prochaines campagnes, l’attaquant pourrait utiliser différentes méthodes pour déployer BabyShark.

Cyber-sensibilité, cyber-indiscipline et employés « fantômes », les entreprises doivent faire le tri

Les organisations ne protègent toujours pas correctement les accès à leurs données critiques, selon une étude CyberArk, conduite auprès de 1 000 employés britanniques. Il ressort que la moitié de ces derniers auraient accès à des informations sensibles, auxquelles seules des personnes habilitées devraient pouvoir accéder. Bien que la sensibilisation à la cybersécurité s’améliore dans les milieux professionnels, de mauvaises pratiques contribuent encore à la croissance des cybermenaces.

  • Près de la moitié (48 %) des employés ont, ou ont eu, accès à des documents financiers sensibles ;
  • 46 % ont pu accéder à des informations RH confidentielles ;
  • Près d’un tiers (29 %) ont, ou ont eu, un accès direct aux comptes en banque de leur entreprise ;
  • 37 % ont pu prendre connaissance des plans de recherche et développement (R&D) ou plans pour des nouveaux produits et services.

Ces chiffres démontrent que beaucoup plus d’employés que nécessaire accèdent à des informations sensibles, et que les organisations en général doivent absolument limiter la gestion des accès aux données sensibles, afin de mieux se protéger, ainsi que leurs clients.

Se méfier des « employés fantômes »

Comme démontré lors de récentes violations de données, le vol d’identifiants de connexion reste le moyen le plus courant et le plus efficace pour réussir une cyberattaque. Une approche laxiste de la protection des accès administrateurs – ou accès à privilèges – peut augmenter directement le risque d’une compromission de données. C’est pourquoi la gestion des privilèges est essentielle ; or, de nombreuses entreprises ne parviennent pas à verrouiller ces comptes clés, suite aux changements de personnel : un employé de bureau sur cinq (21 %) admet avoir quitté un emploi et gardé des identifiants donnant toujours accès à au moins un système confidentiel de l’entreprise (serveurs internes, résultats financiers ou bases de données RH). Ces employés « fantômes », soit d’anciens collaborateurs en possession d’informations de connexion professionnelles, peuvent alors accéder, sans autorisation, à des données sensibles de l’entreprise.

Pour Rich Turner, VP EMEA, chez CyberArk, « ces « employés fantômes » représentent une préoccupation majeure pour toute organisation. Non seulement, ils augmentent le risque de violation des données clés de l’entreprise en cas de cyberattaque ; mais ils offrent aussi la possibilité aux employés mécontents, ou aux entreprises concurrentes, de manipuler les données existantes, causant de graves dommages administratifs et financiers. Ces résultats sont symptomatiques des entreprises qui continuent de consacrer d’importantes sommes d’argent à la défense du périmètre, alors que l’approche la plus intelligente consiste à envisager l’inévitable – que les attaquants parviendront à s’introduire dans les systèmes – et à les empêcher de mettre la main sur les actifs et données sensibles. »

 Cyber-sensibilité vs cyber-indiscipline

Il ressort cependant que l’implication des employés s’améliore, montrant l’effet positif de la cyber-éducation, et l’espoir d’un avenir plus sûr pour les entreprises :

  • Près de quatre employés de bureau sur cinq (79 %) informeraient immédiatement le service informatique s’ils ouvraient une pièce jointe malveillante ;
  • Les trois quarts (75 %) exprimeraient leurs préoccupations s’ils ne comprenaient pas les communications de l’IT concernant la sécurité ;
  • Près des trois quarts (74 %) sont convaincus que leur équipe de sécurité protège efficacement l’ensemble de la société contre les menaces.

Une confiance qui contraste avec le comportement de nombreux employés, qui affichent toujours de mauvaises cyber-pratiques, avec un grand nombre de personnes qui continuent de dissimuler leur cyber-indiscipline à leurs collègues chargés de la sécurité – augmentant ainsi considérablement la vulnérabilité de leur entreprise :

  • Plus de la moitié (54 %) n’informent personne lorsqu’ils laissent leurs collègues utiliser leurs informations de connexion ;
  • 45 % des répondants déclarent télécharger des applications non-autorisées sur leur poste de travail à l’insu de leur service informatique. (CyberArk)

Forum économique mondial : il est temps d’apporter une réponse à la hauteur de la menace cybernétique !

Le rapport Global Risks Report 2019 du Forum économique mondial classe le vol de données et les cyberattaques parmi les cinq grands risques mondiaux qui risquent le plus de se concrétiser. La grande question qui se pose maintenant est de savoir comment les organisations vont réagir.

Les personnes sensibles devraient s’abstenir de lire le rapport annuel sur les risques mondiaux du Forum économique mondial. La 14e édition de ce rapport inclut une litanie de menaces existentielles, telles que les phénomènes météorologiques extrêmes et les catastrophes naturelles, qui pourraient considérablement perturber l’économie mondiale.

Cette année, les cinq principaux risques en termes de probabilité sont les phénomènes météorologiques extrêmes, l’échec de l’atténuation des changements climatiques et de l’adaptation à ceux-ci, les catastrophes naturelles, la fraude ou le vol de données et les cyberattaques.

En effet, la fraude et le vol de données et les cyberattaques sont deux des cinq principaux risques mondiaux les plus probables. En fait, c’est la troisième année consécutive que la fraude et le vol de données se classent parmi les cinq plus grandes menaces, et la deuxième année que la cyberattaque fait partie de la liste.

Le Global Risks Report 2019, créé en partenariat avec Marsh & McLennan Companies et The Zurich Group, est basé sur les résultats de l’enquête Global Risks Perceptions Survey, à laquelle participent 1 000 membres de la communauté du Forum économique mondial – composée de chefs de gouvernements, de dirigeants du secteur privé et d’universitaires – ainsi que des contributions d’experts du réseau mondial de l’organisation.

La cybersécurité s’est également hissée parmi les 10 risques mondiaux les plus importants en termes d’impact. Les cyberattaques et les défaillances au niveau des infrastructures et des réseaux critiques ont été classées au septième et au huitième rang pour les dommages potentiels qu’elles pourraient causer. Cela indique que les répondants ont conscience non seulement de la fréquence des cyberattaques, mais aussi du risque que ces incidents représentent pour notre économie numérique, et jusqu’à notre mode de vie. Ce classement reflète l’impact mondial qu’ont eu des incidents tels que WannaCry, Equifax et des centaines d’autres cyberattaques réussies sur notre conscience collective.

En fait, le cyber espace lui-même fait partie de ce que le rapport appelle les « biens communs mondiaux » qui ont besoin d’une protection particulière, au même titre que le climat, l’espace extra-atmosphérique et les régions polaires.

Pour tous ceux qui envisagent encore le futur avec sérénité après tout cela, le rapport comporte une section amusante intitulée « Chocs futurs », qui examine les effets à long terme de phénomènes comme l’informatique quantique, les outils de manipulation météorologique ou une rupture dans l »approvisionnement alimentaire. La section sur l’informatique quantique prédit que « quand les énormes ressources consacrées à la recherche quantique conduiront à l’utilisation de l’informatique quantique à grande échelle, beaucoup des outils qui forment la base de la cryptographie numérique actuelle seront rendus obsolètes. »

Cela ne surprendra pas les professionnels de la cybersécurité, mais il est toujours intéressant de prendre du recul et réfléchir un instant sur l’importance de notre travail quotidien dans ce contexte. Lorsque nous sommes pris dans le tourbillon du quotidien au travail, il est facile de perdre de vue l’importance réelle de la cybersécurité dans l’économie mondiale. Ce genre de mise en perspective est également pour expliquer en quoi le travail effectué sur la cybersécurité est important aux membres d’une organisation qui ne travaillent pas eux-mêmes dessus.

La grande question est de savoir comment les organisations vont réagir : l’acceptation des problèmes auxquels nous sommes confrontés est la première étape, mais la prochaine étape doit être l’action.

Nous devons tenir les dirigeants et les cadres supérieurs du monde entier garants d’une gestion responsable du risque cybernétique. En tant que société, nous devons l’exiger. En tant que clients, nous le méritons. La question ne doit plus être qui nous pouvons blâmer – des États-nations aux hackers – mais comment nous pouvons prévenir ces risques. Nous devons collectivement faire face à la réalité d’une économie numérique.

Tout est lié, ce qui signifie que chaque aspect du commerce et de l’industrie d’aujourd’hui est une accroche qui peut être utilisée pour une attaque potentielle. Nous devons élaborer des stratégies de sécurité pour faire face aux nouveaux risques créés par la transformation digitale. Ne pas le faire nous ferait prendre le risque d’événements aux conséquences irréparables. (Par Renaud Deraison, cofounder and CTO at Tenable).

La cybercriminalité est devenue la préoccupation n°1 des individus devant les agressions physiques

Selon l’étude SOS Cybercrime d’Affinion*, les mythes sur la cybercriminalité sont présents dans le monde entier. Un tiers de la population (35 %) croit, à tort, que le Wi-Fi public doit disposer d’une sécurité efficace, conformément à la loi (ce chiffre atteint 58 % en Turquie). De même, moins de la moitié de la population (46 %) sait que https:// signifie qu’un site internet est sécurisé (seulement 35 % en Suède et en Norvège) et un tiers de la population (33 %) n’est pas consciente que l’utilisation d’un même mot de passe pour plusieurs comptes augmente le risque de fraude. Ces informations sèment la confusion parmi les consommateurs et complexifient encore plus la lutte contre la cybercriminalité.

Le rapport, basé sur des recherches menées auprès de plus de 13 000 répondants dans 12 pays, révèle des lacunes majeures en matière de sensibilisation, ainsi que des inquiétudes à l’égard de la cybercriminalité. Le Brésil arrive en tête du classement mondial des pays les plus préoccupés par la cybercriminalité, suivi par les États-Unis (75 %) et l’Espagne (73 %).

Curieusement, les consommateurs sont davantage préoccupés par la cybercriminalité que par toute autre forme de criminalité – 61 % des consommateurs sont très ou légèrement préoccupés par la cybercriminalité, tandis que 52 % des personnes interrogées sont préoccupées par les crimes contre la propriété (par exemple les cambriolages), 54 % par la violence physique comme les agressions, et 45 % par la criminalité liée aux véhicules. Selon l’étude, la sensibilisation aux dangers de la cybercriminalité semble augmenter avec l’âge ; les personnes interrogées âgées de 18 à 24 ans étaient plus préoccupées par la violence physique que par la cybercriminalité, tandis qu’à partir de 35 ans, la cybercriminalité est considérée comme le risque le plus important.

Un tiers des personnes a déjà été victime, directement ou indirectement, d’usurpation d’identité. Les faux appels, liens envoyés par e-mail ou SMS, sont les formes les plus courantes de cybercriminalité (65 % de personnes concernées), suivis du piratage de comptes sur les réseaux sociaux ou d’adresses e-mail (56 % de personnes concernées), et des transactions financières frauduleuses (55 % de personnes concernées).

Les femmes sont plus particulièrement préoccupées que les hommes, toutes formes de criminalité confondues. La plus grande différence entre les genres concerne les fraudes relatives aux achats en ligne (67 % de femmes contre 59 % d’hommes), l’usurpation d’identité (68 % contre 60 %) et les transactions frauduleuses (69 % contre 61 %).

D’après l’étude, 70 % des personnes interrogées estiment que leur préoccupation s’accentue, car elles s’aperçoivent que le nombre d’incidents est en augmentation ; 46 % ont indiqué que c’était dû à une couverture médiatique plus importante du problème et 30 % parce qu’elles connaissent quelqu’un qui a été victime de cybercriminalité. Un tiers d’entre elles a indiqué se sentir plus vulnérable, car elles disposent de plusieurs comptes en ligne, et ressentir, par conséquent, une inquiétude accrue.

En ce qui concerne la lutte contre la cybercriminalité, un nombre impressionnant de personnes interrogées ne se sentent pas capables de se prémunir de la cybercriminalité (55%) et seulement 25 % estiment pouvoir résoudre un cybercrime. (étude)

A noter que le blog ZATAZ propose un service de veille concernant les données des internautes. ZATAZ surveille plus de 5 000 sites pirates et blackmarket, ce qui permet d’alerter sur des données volées/piratées dans la seconde de la découverte.

Les tendances phares en matière de cybersécurité pour 2019

Du point de vue de la cybersécurité, l’année 2018 s’est révélée assurément riche en événements ! En mai, le RGPD est finalement entré en vigueur en Europe. Cette avancée a démontré que les instances dirigeantes prennent enfin au sérieux la protection des données personnelles de leurs citoyens. Les entreprises qui travaillent en Europe se trouvent soudainement confrontées à de nouvelles conséquences si elles ne parviennent pas à protéger leurs données sensibles, nous propulsant tous à l’étape suivante de la cybersécurité mondiale.

Par ailleurs, nous avons vu la cybersécurité occuper une place centrale dans le paysage géopolitique tandis que les conversations sur le piratage financé par l’état et les attaques ciblant des infrastructures critiques attisaient les tensions à travers le monde. La société McAfee nous en a récemment donné un exemple en révélant qu’une nouvelle opération de piratage organisé, « Sharpshooter », ciblait spécifiquement les fournisseurs d’infrastructures critiques dans les secteurs de l’énergie, de la finance et de la défense.

Dans les entreprises, une certaine crainte envers la cybersécurité se ressent parmi les décideurs, beaucoup d’entre eux citent la sécurité et la protection de la vie privée comme des facteurs empêchant la progression de leur transformation numérique. De récentes études montrent que 40 % des personnes interrogées ont mentionné les problèmes de sécurité comme un thème récurrent, 37 % évoquant également la protection de la vie privée.

Alors qu’une perspective morose semble ainsi se dessiner tandis que 2018 touche à sa fin, nous avons le temps de réfléchir à l’année écoulée et de commencer à préparer notre défense pour 2019, et au-delà. Pour vous aider à élaborer ces plans, voici quelques-unes des principales tendances en matière de cybersécurité que nous anticipons pour 2019 :

Les nouvelles réglementations influencent les politiques de protection des données

L’entrée en vigueur de nouvelles réglementations sur la protection des données, telles que le RGPD européen, influencera fortement l’année 2019. Même si le RGPD est une bonne nouvelle car il améliore la sécurité des données, il représente un défi majeur pour les entreprises. Par ailleurs, même s’il est déjà en place depuis quelques mois, les importantes pénalités prévues en cas de non-conformité ne verront probablement le jour qu’à partir de 2019. Les entreprises de toute taille doivent repenser entièrement leurs politiques de protection des données pour faire face à plusieurs séries de réglementations internationales sur la confidentialité des données, en constante évolution.

L’IA joue un rôle croissant dans la cybersécurité

L’intelligence artificielle (IA) a émergé comme l’une des technologies qui a le plus changé le monde ces dernières années. En réalité, la valeur générée par les activités dérivées de l’IA atteindra presque 3,9 trillions de dollars d’ici 2022, selon Gartner. Cependant, cette technologie pourrait également être utilisée par des pirates informatiques pour lancer des attaques de plus en plus sophistiquées. La bonne nouvelle est que l’IA peut aussi être mise à profit par les entreprises pour identifier et contrer de telles menaces. Par exemple, des plateformes de prédiction des cyberattaques, basées sur la technologie de l’apprentissage automatique (Machine Learning), peuvent aider les chercheurs en sécurité à trier les menaces et à traiter les plus urgentes aussi rapidement que possible.

Les compétences en cybersécurité sont de plus en plus demandées

Les compétences requises pour traiter les cybermenaces, qui changent constamment, doivent évoluer et les entreprises doivent relever le défi afin de garder l’avantage. Cependant, nous sommes confrontés à une pénurie mondiale de compétences en cybersécurité sur le marché du travail. Selon un rapport récent de l’organisation International Information System Security Certification Consortium, ou (ISC)2, il existe 2,9 millions de postes vacants dans le domaine de la cybersécurité, ce qui représente une augmentation considérable par rapport au 1,8 million enregistré l’année précédant le rapport. Avec un nombre croissant d’entreprises s’engageant dans la transformation numérique, une attention accrue sera apportée à cultiver les compétences requises en cybersécurité au sein de la main d’œuvre existante et à recruter plus de spécialistes.

La prévention cède le pas à la résilience

En 2019, nous continuerons de nous éloigner de la prévention pour nous concentrer sur la résilience pour tout ce qui concerne les failles de sécurité. Il n’est plus possible d’éviter complètement ces menaces. Il faut donc se concentrer désormais sur l’identification de ces failles afin d’y remédier le plus rapidement possible. Les ressources jusqu’alors tournées vers la prévention des cyberattaques continueront d’être réattribuées à la protection, en 2019 et après.

La technologie IoT au cœur de la sécurité nouvelle génération

La technologie de l’Internet des Objets (IoT) devenant de plus en plus répandue, l’enjeu de la protection des données clients sensibles se complexifie considérablement. Les fabricants et les fournisseurs de services doivent s’assurer que leurs appareils, plateformes et logiciels garantissent un certain niveau de sécurité à leurs utilisateurs. La technologie IoT est largement utilisée non seulement pour le matériel de consommation, tel que les appareils de domotique, mais également dans les secteurs de la fabrication et du commerce de détail, ce qui fait de la sécurité une priorité. L’essor de l’IoT contribue à favoriser le développement de cadres de sécurité nouvelle génération. Ceux-ci peuvent être adaptés pour prendre en charge les technologies émergentes et les nouvelles menaces de sécurité au fur et à mesure qu’elles se développeront. Mieux encore, les données générées par les appareils IoT pourront également aider à détecter les failles de sécurité.

Les entreprises de toutes tailles sont la cible de cybercriminels

Alors que les grandes entreprises sont clairement une cible privilégiée des cyberattaques majeures, quelque 58 % des victimes de violation de données sont en réalité des petites entreprises, selon un rapport Verizon. Avec un budget sécurité moindre, les petites entreprises peuvent être considérées par les pirates informatiques comme des proies faciles, leur offrant un profit élevé pour des efforts minimums. Les cybermenaces les plus fréquentes sont les rançongiciels, les attaques par déni de service (DDoS) et les logiciels malveillants. Selon le rapport, des données à caractère personnel ont été compromises dans 36 % des cas de violation de données l’année dernière, ce qui souligne l’importance de la protection contre de telles attaques. Le rapport indique que le secteur de la santé a été le plus touché par les cyberattaques tandis que les atteintes dans le secteur de la finance ont chuté, suite à des investissements massifs dans la cybersécurité. (Srinivasan C.R., Chief Digital Officer, Tata Communications)

La technologie PAM au service des cyber-investigations et de la remédiation en 2019

Nul ne veut être amené à devoir gérer un incident de sécurité ou une compromission, encore moins en tout début d’année ! La priorité absolue devrait être de pouvoir bloquer une cybermenace avant qu’elle compromette l’entreprise. Mais dans la réalité, il n’est quasiment jamais possible de prévoir une cyberattaque. De la recherche de menaces aux investigations pour détecter des indicateurs de compromis (IoC) manifestes, la procédure à suivre pour identifier un incident ou une compromission est bien connue. Si les processus varient d’une entreprise à une autre, les malwares, les comptes compromis, les mouvements latéraux, etc. doivent tous faire l’objet d’un plan de nettoyage formel.

Si un cas de compromission est suffisamment grave (par exemple, la compromission des contrôleurs de domaine), les entreprises n’auront d’autre choix que de réinstaller tout l’environnement en entier. Certes, c’est le pire scénario, mais il se produit parfois. Souvent, les entreprises choisiront de nettoyer à fond les serveurs du mieux possible plutôt que d’effectuer une réinstallation complète. C’est une décision interne basée sur le risque, la faisabilité et le coût. Et ce scénario est vain si la menace est persistante et qu’elle emploie des techniques lui permettant de contourner les mesures d’identification traditionnelles. Si vous pensez que c’est de la science-fiction, étudiez les menaces comme rootkits, Spectre et Meltdown qui prouvent qu’il y a toujours un moyen d’attaquer une ressource technologique. Sans parler des spams envahissant. Ils peuvent d’ailleurs se contrer avec des outils tels qu’Altospam.

Les criminels en ont après vos identifiants

Quelle que soit votre stratégie corrective, vous pouvez être certain que, d’une façon ou d’une autre, ceux qui emploient les vecteurs de menace auront accès à vos identifiants. Ceci implique de ne jamais réutiliser des mots de passe ou clés préexistants dans votre travail de nettoyage. Si possible, modifiez (lancez la rotation) tous les identifiants de toutes les ressources affectées ou reliées à ces dernières. C’est là qu’intervient la gestion des accès privilégiés ou Privileged Access Management (PAM). L’étape de nettoyage ou de redéploiement doit être protégée de la réutilisation d’un ancien mot de passe ou du fait qu’un criminel puisse regagner sa présence persistante en raison d’une mauvaise gestion des identifiants dès le début des efforts de remédiation.

La gestion des mots de passe est un aspect central d’une stratégie PAM. Elle inclut l’intégration automatique, la rotation, la gestion des sessions, le reporting et les étapes de check-in et check-out des mots de passe conservés dans un coffre-fort. Si l’on utilise surtout la technologie PAM pour les mots de passe privilégiés, comme ceux des comptes admin, root, de service ou DevOps, elle peut aussi servir de solution selon le principe du moindre privilège pour supprimer les droits administratifs d’applications et de tâches. Ainsi, les utilisateurs n’auront plus besoin d’un compte admin secondaire pour effectuer leurs tâches.

Le rôle de la technologie PAM dans le nettoyage post-compromission

Cela étant dit, en quoi la technologie PAM est-elle utile pour nettoyer les compromissions de sécurité ? Lors d’un incident ou d’une compromission de sécurité, vous devez d’abord mener des investigations sur ce qui suit :

  • Déterminez quels comptes ont été compromis et utilisés pour obtenir l’accès et pour opérer un mouvement latéral.
  • Déterminez la présence et les ressources de tous les comptes compromis et ceux y étant reliés. Par exemple, le même compte compromis sur l’actif X ou l’application Y est également utilisé sur les actifs A, B et C pour les applications D, E et F afin qu’ils puissent communiquer.
  • Identifiez et purgez tous les comptes illicites ou irréguliers créés par le criminel à l’origine de la menace.
  • Identifiez et supprimez ou segmentez tout élément dit de « shadow IT », de l’IoT ou toute autre ressource faisant partie de la chaîne de la cyberattaque pour vous protéger de menaces ultérieures.
  • Analysez les comptes qui ont été compromis et déterminez le niveau minimum de privilèges nécessaire pour pouvoir exécuter les fonctions. La plupart des utilisateurs et des comptes système n’ont pas besoin de comptes root ou admin locaux ou couvrant tout un domaine.
  • Analysez comment les données ont été utilisées et rendues accessibles par l’agresseur lors de la compromission. Est-ce que des données révélatrices d’indicateurs de compromis (IoC) ont été capturées lors de l’utilisation abusive du compte privilégié ? Si des données ont effectivement été capturées, est-ce que cela aide à identifier la menace ? Faute de données capturées, déterminez ce qu’il faut changer pour surveiller de prochaines utilisations abusives des comptes privilégiés. Ceci inclut l’usage qui est fait des comptes privilégiés, ainsi que la surveillance de session et l’enregistrement de frappe, si nécessaire.

Cette analyse n’est pas triviale. Il faut se doter d’outils pour découvrir les comptes, identifier les ressources, déterminer les schémas d’usage et, surtout, repérer les abus potentiels. Même si toutes les données des logs sont envoyées à un système SIEM (Security Information and Event Management), il faut une étape de corrélation ou d’analyse du comportement des utilisateurs pour répondre à ces questions.Une fois que vous avez mené l’investigation initiale, voici cinq manières dont une technologie PAM peut vous aider après une compromission et qui font qu’elle devrait être considérée comme centrale dans vos efforts de nettoyage :

  1. Après l’étape de découverte, intégrez automatiquement vos comptes privilégiés et instaurez des mots de passe uniques et complexes en leur imprimant une rotation automatique. Vous vous assurez ainsi qu’une présence persistante ne puisse pas exploiter vos comptes compromis.
  2. Pour tous les comptes reliés, utilisez votre solution PAM pour programmer de façon régulière leur rotation, y compris pour les comptes de service. Ainsi, les comptes sont synchronisés et potentiellement isolés d’autres formes de réutilisation des mots de passe.
  3. Si cela est possible, supprimez tous les comptes privilégiés inutiles jusqu’au PC. Ceci vaut pour les comptes admin secondaires associés à une identité. Pour toute application, commande ou tâche qui requiert des droits admin, envisagez le modèle du moindre privilège qui élève l’application, et non l’utilisateur, à exercer la gestion privilégiée.
  4. Avec la technologie PAM, recherchez les IoC qui suggèrent un mouvement latéral, émanant de commandes ou d’un comportement irrégulier de l’utilisateur. C’est une portion critique de la chaîne de cyberattaque où la technologie PAM peut être utile pour identifier si des ressources ont, ou non, été compromises.
  5. Le contrôle d’application est l’une des meilleures défenses contre les malwares. Il s’agit de rechercher les applications de confiance qui sont vulnérables aux menaces en se servant de différentes formes de services basés sur la réputation. La technologie PAM peut ici aussi être utile. Décidez d’exécuter une application en vous fondant sur la confiance et les risques connus avant de l’autoriser à interagir avec l’utilisateur, les données, le réseau et le système d’exploitation.

La gestion des accès privilégiés ne doit pas se résumer aux nouveaux projets et aux systèmes hérités pour bloquer les vecteurs d’attaques privilégiées. On peut penser au phishing. On doit l’envisager également pour les besoins de forensics et de contrôle de la remédiation après un incident ou une compromission. La technologie PAM aidera à empêcher un criminel de s’emparer de ce qui est le plus à sa portée dans votre entreprise : une mauvaise gestion des mots de passe et des identifiants.

Comme meilleure pratique de sécurité, l’accès privilégié doit toujours être limité. Quand un vecteur de menace s’empare d’identifiants admin ou root, il s’empare des clés de votre royaume. L’objectif est de l’empêcher d’y parvenir et de reprogrammer fréquemment les comptes avec des mots de passe : ainsi, même s’il vole un mot de passe, il ne pourra en faire qu’un usage limité et toute tentative d’utilisation abusive sera surveillée. Après un incident ou une compromission, c’est donc une aide précieuse pour atténuer toute présence persistante et une méthodologie tout aussi précieuse dans le processus de nettoyage et pour la pérennité de votre système. (Par William Culbert, directeur Europe du Sud de BeyondTrust)

Déchiffrer les nouvelles versions de GandCrab

Europol, la police roumaine, plusieurs autres organisations policières et privées publient un nouvel outil de déchiffrement pour les dernières versions du ransomware GandCrab.

 Europol, l’agence Roumaine DIICOT (Direction des enquêtes sur le crime organisé et le terrorisme) et plusieurs organisations policières et privées, dont Bitdefender, proposent une nouvelle version de l’outil de déchiffrement mis à disposition des victimes de GandCrab, pour lutter contre les dernières versions du ransomware. GandCrab est à ce jour reconnu comme étant l’une des familles de ransomware les plus prolifiques et les plus dangereuses du monde.

Le nouvel outil de déchiffrement permet aux victimes de retrouver l’accès à leurs propres données sans payer de rançon aux cybercriminels. En plus des versions 1, 4 et des premières versions 5, le nouvel outil s’attaque maintenant aux infections par les versions 5.0.4 à 5.1 – les plus récentes utilisées par les cybercriminels diffusant GandCrab.

L’outil précédent a déjà été téléchargé plus de 400 000 fois, aidant près de 10 000 victimes à économiser plus de 5 millions de dollars en frais de déchiffrement. Depuis son émergence en janvier 2018, GandCrab a infligé des centaines de millions de dollars de pertes dans le monde.

GandCrab Familly

La famille de ransomware GandCrab a été extrêmement active au cours de la dernière année, surpassant les autres familles de ransomware en popularité et en viralité.

L’année dernière, certaines versions de GandCrab ont commencé à attaquer des organisations via des instances de Remote Desktop Protocol exposées ou en se connectant directement avec des identifiants de domaine volés. Après s’être authentifié sur un PC compromis, les attaquants lancent manuellement le ransomware et lui demandent de se répandre sur tout un réseau. Une fois le réseau infecté, les attaquants effacent leurs traces et contactent ensuite la victime avec une offre de déchiffrement. Depuis fin 2018 et début 2019, GandCrab a radicalement transformé son mécanisme de diffusion, ses opportunités d’affiliation et amélioré sa résistance à la plupart des solutions de cybersécurité.

Pour prévenir les infections des logiciels de rançon, les utilisateurs doivent mettre en œuvre une solution de sécurité avec des défenses anti-ransomware en couches, sauvegarder régulièrement leurs données et éviter d’ouvrir les pièces jointes fournies avec les messages non sollicités. Il ne faut pas céder aux exigences des opérateurs de ransomware, notamment GandCrab et penser à sauvegarder l’information chiffrée et aviser la police immédiatement.

Actions de GandCrab

D’abord, après son lancement sur une machine attaquée tournant sous Microsoft Windows, GandCrab! peut recueillir des informations sur les processus en cours des logiciels antivirus. Il vérifie en premier lieu sa présence sur la machine, puis force l’arrêt des processus logiciels selon une liste définie par le malveillant utilisateur. Il installe une copie de lui-même sur le disque et modifie une branche du Registre Windows pour assurer son lancement automatique.

Ensuite, le Trojan chiffre le contenu des disques fixes, amovibles et de réseau, à l’exception de certains dossiers dont quelques dossiers système et service. Chaque disque rendu illisible dans un thread différent. Après la fin du chiffrement, le Trojan envoie au serveur des données sur le nombre de fichiers chiffrés et sur le temps mis pour le chiffrement.

Pour conclure, le nouvel outil de décryptage est disponible immédiatement et peut être téléchargé gratuitement sur No More Ransom Project.

YesWeHack lève 4 millions d’euros et entend révolutionner le marché de la cybersécurité en Europe

YesWeHack, la première plateforme européenne de Bug Bounty annonce aujourd’hui une levée de fonds de 4 millions d’euros auprès d’Open CNP, programme de corporate venture de CNP Assurances, et de Normandie Participations. L’opération a pour objectif de renforcer le développement de l’entreprise en France et d’accélérer sa présence à l’international, notamment en Europe et en Asie.

Fondé en 2013, YesWeHack propose aux entreprises une approche innovante de la cybersécurité, grâce au Bug Bounty (récompense à la vulnérabilité), en mettant en relation plus de 7 000 experts en cybersécurité (hackers éthiques) répartis dans 120 pays, et des entreprises pour sécuriser leurs périmètres exposés et rechercher les vulnérabilités (bugs) de leurs sites web, applications mobiles, infrastructures et objets connectés.

Avec cette levée de fond, YesWeHack entend jouer un rôle décisif dans la révolution que constitue le développement en Europe d’une approche agile de la sécurité, accélérateur de la transformation digitale. Le Bug Bounty participe ainsi à la tendance DevSecOps (développement-sécurité-opérations), pour intégrer la sécurité des systèmes de façon plus proactive, dès la genèse des projets.

YesWeHack étoffe son conseil stratégique avec l’arrivée de Laurent Seror, président d’Outscale, Eric Leandri, PDG de Qwant, Charles Beigbeder et Jonathan Denais d’Open CNP.
Avec cet investissement, CNP Assurances poursuit ses objectifs d’investissements et de partenariats avec des start-up innovantes en réalisant ainsi le 7èmeinvestissement d’Open CNP, son programme de corporate venture. Créé en 2016, il a pour objectif d’accompagner financièrement la croissance de start-up innovantes tout en développant avec elles des solutions avancées dans des domaines porteurs : fintech, assurtech, e-santé et autres technologies, lui permettant de mieux servir ses clients. CNP Assurances est depuis juillet 2018 utilisateur de la plateforme YesWeHack et a mis en place son programme de Bug Bounty.

Normandie Participations participe au dynamisme du territoire aux côtés des autres acteurs locaux du financement. Sur un principe de co-investissement avec des acteurs privés, Normandie Participations, doté d’un capital 100 % Région Normandie, s’adresse aux entreprises dans les champs de l’amorçage, l’innovation, le développement, la création, la transmission et le rebond. Le fond régional a réalisé 38 participations pour 30 M€ d’investissements en un peu plus de 2 ans.

Cybersécurité : la DGSI communique sur l’ingérence économique

La Direction Générale de la Sécurité Intérieur, la DGSI (ex. DST), vient de publier un flash évoquant l’ingérence économique dont des sociétés françaises sont régulièrement victimes. Les chasseurs d’espions de la République reviennent sur plusieurs exemples qui additionnent malveillances, mails et informations d’entreprises emportées par des sous-traitants.

Dans son flash du mois de février 2019, la Direction Générale de la Sécurité Intérieur (DGSI) montre du doigt un problème récurent qu’il est possible de croiser dans de nombreuses sociétés : les consultants extérieurs. « De nombreuses entreprises ont recours à des consultants externes à l’entreprise aux fins de sous traiter des missions de conseil dans des domaines spécifiques (ressources humaines, management, finances, RSSI, réorganisation, etc.). » indique la DGSI. Les missions de ces consultants peuvent parfois se dérouler au sein de sociétés stratégiques ou innovantes. « Certains consultants, totalement intégrés aux équipes et présents au sein de l’entreprise pendant plusieurs mois, voire parfois plusieurs années, peuvent néanmoins avoir accès à des informations sensibles, induisant une potentielle vulnérabilité pour le patrimoine informationnel de la structure hébergeante« .

Sous-traitants malveillants !

Parmi les exemples, une entreprise spécialisée dans le transport de matières premières qui découvre qu’un ingénieur consultant, prestataire pour le compte d’une société de conseil, avait exfiltré des données confidentielles portant sur des technologies innovantes. Un autre cas, un téléphone portable volé au sein d’une unité à accès réglementé d’une grande entreprise française. Dans le smartphone, une carte « micro SD » contenant des informations et des logiciels portant sur une technologie innovante de l’entreprise.

Une IA pour combattre le harcèlement sexuel et la discrimination au travail

Les solutions d’Intelligence Artificielle (IA) dédiées aux ressources humaines, que la plupart des entreprises d’envergure internationale développent ou utilisent, sont régulièrement pointées du doigt pour leurs systèmes jugés discriminatoires. A contrario à la Direction des Ressources Humaines du comté de Los Angeles, l’IA est du côté de ceux qui croient en l’équité.  Au cours du 1er trimestre de 2019, un système d’enquête basé sur l’IA, capable de détecter les comportements d’employés suggérant un risque futur, en termes de harcèlement sexuel et de discrimination en entreprise, sera déployé dans le comté de Los Angeles.

La DRH du comté de Los Angeles travaille sur la mise à jour de ses normes et procédures relatives aux relations interpersonnelles, afin de protéger ses 111 000 employés contre tout préjudice. « Nous souhaitons déployer l’Intelligence Artificielle et l’automatisation des processus pour obtenir des informations sur les problèmes comportementaux », explique Murtaza Masood, DHR Assistant Director au comté de Los Angeles. « Mais l’objectif n’est pas le suivi et le profilage individualisés, et c’est là que se croisent les lignes éthique et juridique. La technologie n’est pas encore là pour prédire le comportement individuel », ajoute-t-il.

L’objectif de cette IA est de rechercher les facteurs qui contribuent à certains comportements, de détecter des schémas comportementaux, ainsi que la formation de tendances au fur et à mesure qu’elles apparaissent, afin d’être proactif et de réagir avant, et non pas après le méfait. A terme, cela permettra de créer des normes et des formations internes visant à encourager les bons comportements et à minimiser les mauvais.

Pour ce faire, le comté suit l’activité des employés sur leurs ordinateurs professionnels et leurs e-mails, grâce à la technologie d’OpenText. « L’intelligence artificielle et l’automatisation des processus peuvent réellement aider les enquêteurs – entreprises ou forces de l’ordre – à mieux comprendre et identifier les schémas comportementaux. Cependant, le suivi personnalisé dépasse la technologie disponible et créerait des problèmes éthiques. OpenText collabore avec le comté de Los Angeles afin d’appliquer des analyses permettant d’améliorer les enquêtes sur le harcèlement, d’accélérer le processus de résolution et de donner au comté le pouvoir d’agir de manière plus proactive pour éviter les situations problématiques, » exlique Zachary Jarvinen, head of technology strategy for AI and analytics, OpenText.

Ce système va permettre de migrer entièrement en ligne les enquêtes sur le harcèlement sexuel et la discrimination, et de les analyser par voie numérique. En effet à ce jour, certains dossiers existent uniquement sous format papier.  Il s’agit d’une application conçue sur mesure, fondée sur la plateforme OpenText Documentum xCP intégrant sa technologie Brava!.

Carbon Black publie pour la première fois un rapport sur les cybermenaces en France

Carbon Black, société américaine spécialisée dans les solutions de sécurité des points terminaux de nouvelle génération dans le Cloud, publie les résultats de son premier rapport sur la sécurité des entreprises françaises qui met en lumière le volume et l’intensité des cybermenaces pesant sur ces dernières.

Selon ce rapport, 94 % des organisations françaises interrogées ont déclaré avoir été victimes d’une violation de données au cours des 12 derniers mois. Ce rapport couvre différents secteurs verticaux, ainsi que des organisations et des services informatiques de toutes tailles, ce qui permet de dresser une vue d’ensemble du paysage actuel des attaques et de la cyberdéfense en France.

Les principales conclusions de l’étude

  • 94 % des organisations françaises interrogées ont subi une violation de la sécurité au cours des 12 derniers mois
  • Le nombre moyen de violations par organisation est de 5,81
  • 91 % des organisations ont constaté une augmentation du volume des attaques
  • 94 % des organisations pensent que ces attaques sont de plus en plus sophistiquées
  • 89 % des organisations prévoient d’augmenter leur budget de cyberdéfense

Escalade des cyberattaques

Sur les 91 % des entreprises françaises signalant une augmentation des cyberattaques, 35 % estiment que leur nombre a augmenté de plus de la moitié au cours de l’année passée. 94 % ont constaté une sophistication accrue et plus de la moitié (52 %) estiment que l’approche de leurs adversaires est considérablement plus sophistiquée qu’avant.

Toujours selon ce rapport, 59 % des organisations interrogées ont subi au moins cinq violations. Par ailleurs, une sur 10 a constaté au moins 10 attaques. 89 % des organisations françaises interrogées prévoient d’augmenter leur budget de cyberdéfense en réponse à l’accumulation de menaces.

« Notre premier rapport sur la cybersécurité en France dévoile que les entreprises sont soumises à une pression intense en raison de la montée en puissance des attaques », explique Rick McElroy, directeur du service des stratégies de sécurité de Carbon Black. « Nous avons constaté une augmentation générale du volume d’attaques et du degré de sophistication, qui ont contribué à une progression des violations de sécurité. En réaction, un nombre encourageant d’organisations françaises tente d’anticiper les risques grâce à la chasse aux menaces et obtient des résultats très positifs. Alors que ces stratégies arrivent à maturité, nous espérons voir le nombre de violations recensées se réduire. »

Ransomware et hameçonnage à la source des violations 

Selon le rapport, le ransomware est à l’origine de 19 % des violations au sein des entreprises françaises. Toutefois, le facteur humain joue également un rôle non négligeable. D’après ce rapport, les attaques par hameçonnage sont à l’origine d’une violation sur six en France.

Chasse aux menaces en France

73 % des organisations françaises interrogées affirment avoir mis en place des mesures actives de chasse aux menaces ou « threat hunting », avec un peu moins de la moitié (35 %) ayant commencé au cours des 12 derniers mois. 95 % de ces organisations estiment que les mesures de chasse aux menaces ont renforcé leurs défenses, ce qui est très positif.

« Il est encourageant de constater que près des trois quarts des entreprises françaises interrogées ont mené des opérations de chasse aux menaces », poursuit Rick McElroy. « Il reste certes une marge d’amélioration, mais le fait que 95 % de ces organisations pensent avoir renforcé leur cybersécurité permet d’espérer que nous sommes sur la bonne voie. »

Pour accéder à l’étude complète : https://www.carbonblack.com/resources/threat-research/global-threat-report-series/

Tendance 2019 : pas de répit pour le cryptojacking

Le rapport sur les tendances de cybersécurité 2019 indique  que les attaques par « cryptojacking » ne devraient montrer aucun signe de faiblesse en 2019, alors que les attaquants ciblent désormais aussi les équipements intelligents et les assistants personnels afin de bâtir des fermes de cryptominning toujours plus importantes.

Tendance #1 : la montée des cryptomineurs

Les crypto-monnaies ont occupé le devant de la scène médiatique en 2018 et le cryptojacking (le fait de détourner un équipement pour le forcer à « miner » des crypto-monnaies pour le compte du pirate) semble ne montrer aucun signe de répit, selon David Harley, chercheur en cybersécurité chez ESET :  « et nous pouvons nous attendre en outre à voir de plus en plus de logiciels de minage tenter de désinstaller d’autres logiciels concurrents sur les systèmes compromis, afin de s’approprier la plus grosse part du gâteau par rapport aux performances du système ».

Tendance #2 : l’automatisation au service des campagnes d’ingénierie sociale

Selon ESET, 2019 verra un recourt accru par les cybercriminels aux techniques d’automatisation et d’apprentissage automatique (le « Machine Learning ») afin de collecter toujours plus de données personnelles, et mener ainsi des attaques par ingénierie sociale toujours plus sophistiquées et, surtout, plus personnalisées.

Bien qu’il soit peu probable qu’ils aient accès aux données détenues par des acteurs commerciaux (comme par exemple les habitudes d’achat de clients des sites de commerce électronique), les pirates pourront tout de même avoir recours à des traqueurs web pour suivre leurs victimes de site en site, et acquérir des informations auprès de vendeurs de données pour développer leurs propres profils personnalisés.

D’après Lysa Myers, chercheur en cybersécurité senior « Bien que certaines opérations de phishing et autres fraudes aient clairement amélioré leur capacité à imiter des sources légitimes, beaucoup demeurent encore vraiment très amateurs et donc très simples à identifier. Mais le Machine Learning pourrait aider les pirates à les améliorer et augmenter ainsi leur efficacité ».

Tendance #3 : la protection des données personnelles sera l’alpha et l’oméga des entreprises

En 2018 la question de la protection des données à caractère personnel a occupé le devant de la scène, autant à cause de grandes affaires de fuites de données que par l’entrée en vigueur du règlement européen RGPD. Des incidents tels que celui de Cambridge Analytica pourraient pousser les internautes à chercher des alternatives aux plateformes dominantes actuelles telles Facebook.

Tendance #4 : vers une législation globale pour la protection des données personnelles ?

A la suite de l’entrée en vigueur du RGPD, le rapport s’interroge quant à l’émergence possible d’une réglementation universelle sur la protection des données personnelles, dont le RGPD ne serait en définitive que le précurseur. En particulier parce que des modèles de réglementations similaires commencent à apparaître en Californie, au Brésil et au Japon.

ESET met ainsi en garde les entreprises qui seraient tentées de ne considérer le RGPD que comme un problème purement européen, presque une anomalie. Bien au contraire, la pression pour protéger correctement les données personnelles des clients et des collaborateurs est une question globale, et cela devrait conduire à voir émerger de plus en plus de réglementations similaires à travers le monde.

Tendance #5 : les attaquants convoitent les équipements domestiques intelligents

Entre l’intérêt croissant pour les crypto-monnaies et l’adoption massive des objets intelligents connectés à Internet, il est envisageable que ces derniers deviennent les points d’entrée privilégiés des attaquants pour bâtir leurs fermes de crypto mineurs en 2019.

Nous avons déjà observé comment les criminels exploitent les objets connectés afin de lancer des attaques par déni de service distribué de grande envergure. Mais alors que de plus en plus d’équipements personnels sont connectés et intégrés à nos vies quotidiennes, en 2019 les attaquants pourront continuer à rechercher ces objets intelligents pour les aider à mettre en œuvre des attaques diverses, telles que des escroqueries, des demandes de rançon et, nous l’avons vu, du crypto-mining.

Pour plus d’informations sur les tendances 2019 et les menaces qui pèseront sur les entreprises, téléchargez le rapport ESET des tendances de cybersécurité 2019 : « Vie privée et intrusion dans le Village Global ».

La cyber criminalité constitue une préoccupation majeure pour un Français sur deux

Europ Assistance dévoile les conclusions de l’édition 2019 de son baromètre des cyber risques. L’étude, conduite en partenariat avec LEXIS, porte sur la perception des Européens et Américains à l’égard des risques liés à l’utilisation d’internet.

Près d’1 Français sur 4 connait une victime d’attaque ciblant des données confidentielles ou sensibles – de surcroît, 78% des Français considèrent une potentielle attaque contre leurs données personnelles comme un événement « hautement stressant ». Ainsi, la prise de conscience concernant les cyber risques se généralise. Quelles sont les principales inquiétudes des français face à la cybercriminalité ? 60% des sondés se disent très préoccupés par les paiements et achats en ligne, tandis qu’un sur deux s’inquiète pour la sécurité de leurs enfants et craigne une usurpation d’identité.

Des stratégies de protection en décalage avec les préoccupations en matière de cybercrimes

Un tiers des Français (32%) déclare modifier fréquemment leurs identifiants, mots de passe et certificats numériques. Plus alarmant, si la majorité d’entre eux révèle disposer d’une solution antivirus ou antimalware sur leur ordinateur, moins de la moitié déclare utiliser un service similaire sur leur smartphone ou sur leur tablette. Cette statistique est particulièrement inquiétante dans la mesure où désormais, plus de la moitié du trafic web mondial s’effectue sur ces supports.

Par ailleurs, la moitié (48%) des répondants français disent ne pas savoir comment gérer une éventuelle compromission de leurs données personnelles. Cela explique pourquoi un nombre similaire de Français (47%) déclarent ne pas avoir un sentiment de contrôle sur les informations en ligne les concernant. Ce sentiment accentué par le fait que 51% des Français pensent que les entreprises et les institutions n’en font pas assez pour protéger leurs informations personnelles.

Méthodologie : l’édition 2019 du baromètre cyber d’Europ Assistance et de LEXIS a été réalisée dans 9 pays à savoir les États-Unis, l’Italie, la France, l’Espagne, l’Autriche, la Hongrie, la Suisse, la République Tchèque et la Roumanie. Dans chaque pays, 800 consommateurs âgés de 25 à 75 ans ont répondu à un questionnaire en ligne de 15 minutes. L’enquête, conduite entre novembre et décembre 2018, porte sur quatre sujets clefs : les activités en ligne et les stratégies de protection personnelle, les inquiétudes concernant les activités Web et numériques, l’évaluation d’un service de protection contre les cyber risques, et l’intention d’achat d’un tel service.

Patch Tuesday : 74 vulnérabilités dont 20 critiques

Le patch Tuesday de ce mois de février 2019 propose la correction de 74 vulnérabilités, dont 20 critiques.

Le Patch Tuesday de ce mois-ci est très volumineux et porte sur la résolution de 74 vulnérabilités dont 20 classées critiques. 15 de ces vulnérabilités critiques concernent le moteur de script et des navigateurs, les 5 autres sont liées à GDI+, SharePoint et DHCP. Microsoft a également publié un avis de sécurité pour un exploit Zero-Day affectant Exchange ainsi qu’un patch pour l’une des deux vulnérabilités signalées. De son côté, Adobe a publié des mises à jour pour Acrobat/Reader, Flash, ColdFusion et Creative Cloud.

Correctifs pour les postes de travail

Les patches pour les navigateurs, le moteur de script et GDI+ sont une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Concernés, les serveurs multiutilisateurs en mode postes de travail distants.

Exchange

Fin janvier, un exploit Zero-Day a été annoncé pour Microsoft Exchange. Ce dernier utilise plusieurs vulnérabilités connues dans Exchange et Active Directory. L’attaquant qui exploite ces vulnérabilités peut élever ses privilèges jusqu’au rang d’administrateur de domaine. La semaine dernière, Microsoft a publié un avis de sécurité concernant cet exploit et donné certaines recommandations pour atténuer les vulnérabilités. Cependant, deux mises à jour ont été publiées aujourd’hui (CVE-2019-0686 et CVE-2019-0724) qui remplacent l’atténuation suggérée en amont. Le déploiement de ces mises à jour est hautement prioritaire dans tous les environnements Exchange.

SharePoint

Les deux vulnérabilités dans SharePoint (CVE-2019-0594 et CVE-2019-0604) permettent à un utilisateur malveillant d’exécuter du code dans le contexte d’un pool d’applications SharePoint et du compte de la ferme de serveurs SharePoint. L’utilisateur malveillant a besoin de droits spéciaux pour réaliser cette action. Le correctif est hautement prioritaire pour tous les serveurs SharePoint.

DHCP

Une vulnérabilité affecte le serveur DHCP de Windows. Classée comme critique. Elle peut faciliter l’exécution de code à distance.

Tout attaquant qui envoie des paquets à un serveur DHCP. Ce correctif doit donc être une priorité pour tous les déploiements DHCP Windows.

Correctifs Adobe

Pour conclure, Adobe a également publié des correctifs pour Acrobat/Reader, Flash, ColdFusion et Creative Cloud. Les patches Acrobat/Reader corrige 71 CVE.

Classé comme important par Adobe, le patch pour Flash corrige une vulnérabilité de type « lecture hors limites » pouvant entraîner la divulgation d’informations. Pour sa part, Microsoft considère cette vulnérabilité comme critique et pouvant entraîner une exécution de code à distance.

Le correctif pour ColdFusion permet de traiter deux vulnérabilités, l’une étant classée comme critique. La vulnérabilité de désérialisation Java doit être corrigée dès que possible car son exploitation peut entraîner l’exécution de code à distance. Une procédure plus complète sera peut-être nécessaire après le déploiement de la mise à jour. (Par Jimmy Graham/Qualys)

Cybercriminels : évolution des systèmes sophistiqués de menaces

Utilisation massive des attaques par email, détection difficile des attaques phishing ou encore chute des ransomwares… Quelles ont été les tendances des cybercriminels ce dernier trimestre ?

Dans son Rapport Trimestriel Q4 2018, Proofpoint met en lumière l’évolution des systèmes sophistiqués de menaces, que ce soit à travers les emails, les réseaux sociaux ou plus largement sur internet. Conçu pour mieux combattre les menaces d’aujourd’hui et anticiper les attaques émergentes, il permet de découvrir les tendances en matière de cyberattaques.

Parmi les principales menaces du dernier trimestre 2018, nous notons Une utilisation massive des attaques BEC contre des entreprises. Une augmentation des fraudes par email de 226% au quatrième trimestre et de 476% par rapport au quatrième trimestre 2017. Les chevaux de Troie bancaires restent la principale menace véhiculée par email : ils représentent 56% de toutes les charges utiles malveillantes au quatrième trimestre ; parmi celles-ci, 76% des attaques proviennent de Emotet. Egalement, les chevaux de Troie d’accès à distance représentaient 8,4 % de toutes les charges utiles malveillantes au quatrième trimestre et 5,2 % pour l’année, marquant un changement significatif par rapport aux années précédentes où ils étaient rarement utilisés.

Les ransomware toujours très présents

Les ransomwares ont chuté à seulement 0.1% du volume total de messages malveillants. Les messages malveillants qui contiennent de fausses mise à jour ou lien de téléchargement corrompus ont grimpé à plus de 230 % en 1an. Les messages exploitant des URL malveillantes se sont révélés plus nombreux que les messages contenant des pièces jointes.

Les attaques sur le web : quand les cryptomonnaies se font miner. L’activité de Coinhive, ce logiciel de minage de moneros, a littéralement explosé en décembre (augmentation de 23 fois la moyenne de l’année en deux semaines). Dans l’ensemble, l’activité Coinhive a continué de croître lentement, à l’exception de ce pic. Il y a eu une augmentation de 150% de menace ciblant l’humain, bien qu’il s’agisse d’une croissance plus lente que les trimestres précédents. Ce chiffre confirme l’importance des techniques d’ingénierie sociale.

Sur les réseaux sociaux, les attaques par « angler phishing » restent difficiles à détecter. Le phishing sur les réseaux sociaux, communément appelé ‘angler phishing a augmenté de 442 % par rapport à l’année précédente. En revanche, les liens de phishing sur les réseaux sociaux diminuent à mesure que les plateformes renforcent leurs algorithmes pour contrer ce problème. Le phishing reste malgré tout une technique difficile à détecter car les attaques sont causées par des interactions humaines. (Le rapport)

les logiciels malveillants dédiés aux cryptomonnaies touchent 10 fois plus d’entreprises que les ransomwares

Les extracteurs de cryptomonnaie touchent 10 fois plus d’entreprises que les logiciels rançonneurs. Le Rapport Sécurité 2019 de Check Point révèle pourtant que seul 1 professionnel de l’informatique sur 5 anticipe les infections.

La seconde partie de son Rapport Sécurité 2019 souligne combien les outils et les services utilisés pour mener des activités cybercriminelles se sont démocratisés. Non seulement les méthodes d’attaque se sont perfectionnées mais elles sont désormais accessibles à toute personne disposée à en payer le prix, et c’est précisément rendu possible grâce au marché en plein essor des logiciels malveillants sous forme de service.

Cette seconde partie du rapport révèle les principales tendances en matière de cyberattaques observées en 2018, et pointe du doigt la croissance significative du nombre d’attaques furtives et complexes conçues pour échapper aux équipes de sécurité des entreprises. Il précise également les types de cyberattaques que les équipes informatiques et de sécurité des entreprises considèrent comme représentant la plus grande menace pour eux.

Les éléments clés du rapport

  • Les extracteurs de cryptomonnaie s’activent sur les réseaux sans être détectés : Les extracteurs de cryptomonnaie ont infecté 10 fois plus d’entreprises que les logiciels malveillants en 2018, mais seulement un professionnel de la sécurité informatique sur cinq a été en mesure de détecter une infection sur son réseau. 37 % des entreprises dans le monde ont été touchées par des extracteurs de cryptomonnaie en 2018. 20 % des entreprises continuent d’être touchées par ce phénomène chaque semaine, malgré une baisse de 80 % de la valeur des cryptomonnaies.
  • Les risques présentés par les extracteurs de cryptomonnaie sont sous-estimés par les entreprises : Lorsque CP a demandé aux entreprises quelles étaient les menaces les plus importantes pour leur entreprise, 16 % seulement des professionnels de l’informatique ont cité les extracteurs de cryptomonnaie, contre 34 % pour les attaques DDoS, 53 % pour les fuites de données, 54 % pour les logiciels rançonneurs et 66 % pour le phishing. C’est assez préoccupant, car les extracteurs de cryptomonnaie peuvent facilement servir de portes dérobées pour télécharger et activer d’autres types de logiciels malveillants. 
  • Les logiciels malveillants sous forme de service se développent : Le programme d’affiliation du logiciel malveillant sous forme de service GandCrab permet désormais à des amateurs de se lancer dans le business lucratif des logiciels rançonneurs. Ils conservent jusqu’à 60 % du montant des rançons perçues auprès des victimes et les développeurs en conservent jusqu’à 40 %. GandCrab compte plus de 80 affiliés actifs, et plus de 50 000 victimes ont été infectées en seulement deux mois en 2018, totalisant entre 300 000 et 600 000 dollars de rançons. 

« La seconde partie de notre Rapport Sécurité 2019 montre comment les cybercriminels s’intéressent à de nouvelles approches furtives et de nouveaux modèles commerciaux, tels que les programmes d’affiliation de logiciels malveillants, afin de maximiser leurs revenus illégaux tout en réduisant le risque d’être détectés. Même s’ils agissent à l’abri des regards on ne doit pas les oublier. Bien que discrètes, les cyberattaques de 2018 ont été nombreuses et préjudiciables, » déclare Thierry Karsenti, Vice-Président EMEA Sales Engineering de Check Point Software Technologies. « Grâce à notre rapport sécurité et aux analyses des évolutions récentes qu’il propose, les entreprises peuvent mieux appréhender les menaces auxquelles elles sont confrontées, et mieux anticiper pour qu’elles n’aient pas d’incidence sur leurs activités. »

Le Rapport Sécurité 2019 s’appuie sur des données provenant du plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données sur les menaces et des tendances en matière d’attaques issues d’un réseau mondial de capteurs ; d’études effectuées par Check Point au cours des 12 derniers mois ; et d’une toute nouvelle enquête menée auprès de professionnels de l’informatique et de cadres supérieurs, qui évalue leur niveau de préparation face aux menaces actuelles. Le rapport examine les toutes dernières menaces émergentes dans différents secteurs d’activité, et fournit un aperçu complet sur les tendances observées dans le paysage des logiciels malveillants, des vecteurs de fuites de données émergents et des cyberattaques commanditées par des États.

Google Play : le premier malware capable de détourner des crypto-monnaies par copier-coller.

Des chercheurs découvrent dans le Google Play Store le premier malware Android capable de remplacer le contenu du presse-papier de l’appareil infiltré. De type « Clipper », ce code malveillant très spécifique cible les utilisateurs des crypto monnaies Bitcoin et Etherum, et il a pour objectif de rediriger les fonds transférés depuis le portefeuille (le « wallet ») de la victime vers celui du criminel en changeant l’adresse de destination au moment où celui-ci est copié-collé.

« Cette découverte montre que de tels Clippers capables de détourner des fonds ne sont plus réservés aux environnements Windows ou à des forums Android de seconde zone. Désormais, tous les utilisateurs Android doivent s’en méfier », explique Lukáš Štefanko, le chercheur ESET à l’origine de cette découverte.

Ce nouveau Clipper profite du fait que bon nombre d’utilisateurs de crypto monnaies entrent rarement manuellement les adresses de portefeuilles, car elles représentent souvent de longues et fastidieuses chaînes de caractères. Ils préfèrent copier l’adresse depuis un document, puis la coller dans le wallet. Et c’est à ce moment, lorsque l’adresse est encore dans le presse-papier Android, que le malware est capable de la remplacer par une autre, appartenant au criminel.

Les premiers Clippers sont apparus dans l’écosystème Windows en 2017. En 2018, les chercheurs découvraient même trois applications de ce type sur le site de téléchargement downolad.cnet.com, l’une des plateformes de téléchargement le plus populaire au monde. En août de la même année apparaissait le premier Clipper pour Android. Distribué que sur des forums de piratage underground. Depuis, il est présent sur de nombreuses places de marché alternatives (des « App Stores » non-officiels).

Cependant, à ce stade, les utilisateurs qui se cantonnaient au Google Play Store officiel n’avaient rien à craindre… jusqu’à aujourd’hui !

Mais tout a changé depuis cette découverte par les chercheurs du premier Clipper pour Android sur le store Android officiel. « Nous avons heureusement détecté ce malware peu de temps après qu’il ait été introduit sur la plateforme. Nous avons immédiatement alerté l’équipe sécurité de Google, qui l’a rapidement supprimé », explique Lukáš Štefanko.

Ce Clipper découvert par les équipes ESET imite un service légitime appelé MetaMask, qui permet de faire fonctionner des applications Ethereum décentralisées dans un navigateur, sans nécessiter un nœud complet. MetaMask existe sous la forme d’un plugin pour les navigateurs Chrome et Firefox pour ordinateurs desktops, mais il n’a pas de version mobile.

« Il y a manifestement de la demande pour une version mobile de MetaMask, et les criminels le savent. C’est pour cela qu’ils ont décidé d’y répondre en imitant ce service sur le Google Play Store » explique Lukáš Štefanko.

Si d’autres malwares ont par le passé déjà tenté de détourner des crypto monnaies de la sorte, ils le faisaient de manière relativement grossière, en dirigeant leurs victimes vers de faux formulaires contrôlés par l’attaquant. « Mais avec un Clipper installé sur son téléphone, la fraude devient extrêmement simple : ce sont les victimes elles-mêmes qui envoient, malgré elles, directement les fonds au criminel ! », précise Lukáš Štefanko.

Cette découverte d’un malware de type Clipper sur le Google Play Store officiel devrait servir de rappel aux utilisateurs Android qu’il est impératif de respecter les bonnes pratiques de sécurité élémentaires.

Pour se protéger de tels malwares Android, nous vous conseillons

  • Mettez votre appareil régulièrement à jour et utilisez une solution de sécurité fiable
  • Cantonnez-vous au Google Play Store officiel pour télécharger vos applications mobiles (malgré cette découverte, il demeure largement plus sûr que les plateformes non officielles)
  • Consultez toujours le site web officiel du développeur de l’application que vous vous apprêtez à télécharger, et recherchez-y un lien vers la véritable application sur le Google Play Store. Si le site officiel ne mentionne aucune application mobile, considérez avec précaution toute application que vous auriez trouvé via le moteur de recherche du Store
  • Vérifiez avec attention chaque étape de tout processus qui implique des informations sensibles, notamment les manipulations de fonds (virtuels ou non !). Et lorsque vous utilisez le presse-papier, prenez le temps de contrôler que ce qui a été collé correspond bien à ce que vous avez copié.

Google corrige 3 failles critiques : l’une d’elle permet de piéger une image

Google a corrigé une faille critique dans son système d’exploitation Android. La faille permettait à un pirate d’envoyer un fichier image PNG spécialement conçu pour pirater un périphérique cible.

PNG dangereux ?! Le nombre total de problèmes critiques corrigés en ce mois de février 2019 est de 11. Le géant de la technologie a traité un total de 42 problèmes, dont 30 ont été classés comme graves.

Parmi les failles, trois vulnérabilités critiques CVE-2019-1986, CVE-2019-1987 et CVE-2019-1988 corrigées.

Elles affectent des millions d’appareils Android exécutant des versions du système d’exploitation Google, allant d’Android 7.0 Nougat à la dernière Android 9.0 Pie. Google a corrigé les trois vulnérabilités du projet Open Source Android (AOSP) dans le cadre de ses mises à jour de sécurité Android en ce mois de février 2019. Même si Google a corrigé les failles, chaque fournisseur devra distribuer le correctif pour ses modèles et ce processus sera long, très long !

Les chercheurs de Google n’ont pas fourni de détails techniques sur les failles, le géant de la technologie a seulement indiqué que les mises à jour de sécurité traitaient une « faille de dépassement de mémoire tampon », « d’erreurs dans SkPngCodec » et de vulnérabilités dans certains composants générant des images PNG.

Pour finir, selon l’avis de sécurité publié par Google, la plus grave des trois vulnérabilités pourrait permettre la création d’une image piégée, au format PNG. Image malveillante qui peut exécuter du code arbitraire sur les appareils Android vulnérables. Les experts ont souligné qu’un attaquant pourrait exploiter cette faille en incitant les victimes potentielles à ouvrir un fichier image PNG malicieusement conçu sur leur Android.

Le passage de la quantité à la qualité : 2018 a vu les cybercriminels abandonner les opérations DDoS de base

Le rapport sur les attaques DDoS pour le 4ème trimestre, englobant les statistiques du dernier trimestre mais aussi l’ensemble de l’année 2018, met en lumière un recul de 13 % du nombre total d’attaques DdoS par rapport à l’année précédente. Cependant, la durée des assauts mixtes et de type Flood HTTP va croissant, ce qui semble indiquer que les cybercriminels se tournent vers des techniques d’attaque DdoS plus élaborées.

Le faible coût des services DDoS à louer fait de ce type d’attaque l’une des cyber-armes les plus abordables. Les entreprises, quel que soit leur taille ou leur secteur d’activité, peuvent être confrontées à cette menace et subir des pertes de revenus et de réputation dans le cas où leurs utilisateurs légitimes et leurs clients sont dans l’impossibilité d’accéder aux ressources web de la société.

Bien que la quantité d’attaques DDoS ait reculé en 2018, il est trop tôt pour s’en réjouir car cette baisse en nombre ne signifie pas pour autant que les assauts sont moins graves. Selon les chercheurs de Kaspersky Lab, alors que les entreprises sont de plus en plus nombreuses à adopter des solutions pour se protéger des formes d’attaques DDoS élémentaires, il est probable qu’en 2019 les assaillants vont améliorer leurs compétences afin de contourner les mesures de protection DDoS standard et franchir un nouveau palier en termes de sophistication.

Moins d’attaques, mais plus puissantes

En dépit de la diminution du nombre des attaques, l’analyse des experts de Kaspersky Lab révèle que leur durée moyenne est en hausse. Comparée au début de l’année 2018, la longueur moyenne d’un assaut a plus que doublé, passant de 95 minutes au premier trimestre à 218 minutes au quatrième. Il est à noter que les attaques Flood UDP (qui consistent à saturer les ports du serveur cible avec une masse de paquets UDP afin de le rendre inaccessible aux utilisateurs), lesquelles ont représenté près de la moitié (49 %) des assauts DDoS en 2018, ont été très courtes, dépassant rarement 5 minutes.

Selon les experts de Kaspersky Lab, la brièveté des attaques Flood UDP illustre un rétrécissement du marché pour les assauts plus faciles à organiser. La protection contre les attaques DDoS de ce type est désormais largement mise en place, rendant celles-ci inefficaces dans la plupart des cas. Les chercheurs avancent que les attaquants lancent de nombreux assauts Flood UDP afin de tester la protection d’une ressource ciblée. S’il est immédiatement clair que ces tentatives sont vouées à l’échec, leurs auteurs n’insistent pas.

Dans le même temps, les attaques plus complexes (détournement de HTTP, par exemple) qui nécessitent un investissement en temps et en argent, vont conserver une longue durée. Comme le révèle l’étude, la méthode Flood HTTP et les attaques mixtes comprenant une composante HTTP, dont la proportion est relativement faible (respectivement 17 % et 14 %), représentent environ 80 % de la durée totale des attaques DDoS sur l’ensemble de l’année.

DDoS au cryptominage

« Lorsque les attaques DDoS les plus simples n’atteignent pas leur objectif, ceux qui en tirent profit ont le choix entre deux solutions. Soit ils peuvent reconfigurer les capacités requises pour ces assauts afin de les réorienter vers d’autres sources de revenus, telles que le cryptominage. Soit ils doivent améliorer leurs compétences techniques, faute de quoi leurs commanditaires s’adresseront à des cybercriminels plus chevronnés. Compte tenu de cela, nous pouvons nous attendre à une évolution des attaques DDoS en 2019 et il deviendra plus difficile pour les entreprises de les détecter et de s’en protéger », commente Alexey Kiselev, responsable du développement pour l’équipe de protection DDoS de Kaspersky Lab.

Concernant les résultats du dernier trimestre 2018, la plus longue attaque DDoS observée au cours de cette période a duré 329 heures (près de 14 jours). Il faut remonter à la fin de 2015 pour retrouver une telle durée.

Les trois pays à l’origine du plus grand nombre d’attaques DDoS restent inchangés. La Chine vient une fois encore au premier rang, même si sa part a chuté de 77,67 % à 50,43 %, toujours suivie des Etats-Unis et de l’Australie.

Pour ce qui est de la répartition des cibles, la Chine demeure en tête de liste, mais avec une part là aussi en recul à 43,26 % (contre 70,58 % au troisième trimestre 2018).

Au quatrième trimestre, il faut également noter des changements dans les pays hébergeant le plus de serveurs de commande et contrôle (C&C). Comme au trimestre précédent, les Etats-Unis conservent la première place mais ce sont à présent le Royaume-Uni et les Pays-Bas qui arrivent en deuxième et troisième position, remplaçant respectivement la Russie et la Grèce, sans doute en raison d’une nette augmentation du nombre de serveurs C&C actifs du botnet Mirai dans ces deux pays.

La France, le second pays le mieux sécurisé au monde

Selon une étude, la France serait le second pays le mieux sécurisé au monde, juste derrière le Japon. L’Algérie serait le pire des pays sur le sujet de la cybersécurité !

Les résultats de l’étude de Comparitech ont révélé que le Japon était le pays le plus sécurisé au monde en matière de cyber-sécurité. Il a atteint des niveaux incroyablement bas dans la majorité des catégories prises en compte par l’étude. Les autres pays les plus performants sont la France, le Canada, le Danemark et les États-Unis.

Catégories et cyber-attaques

Certains pays ont obtenu de bons résultats dans une catégorie, mais d’autres ont élevé leur moyenne. Il s’agit notamment de l’Ukraine, qui affichait le taux de logiciels malveillants financiers le plus faible en 2018, ainsi que de l’Ouzbékistan, du Sri Lanka et de l’Algérie, qui affichaient les scores d’attaque par telnet les plus faibles.

Les pays les moins bien classés par catégorie

Plus faible pourcentage d’infections par logiciels malveillants mobiles – Japon – 1,34% des utilisateurs. Le plus petit nombre d’attaques de logiciels malveillants financiers – Ukraine – 0,3% des utilisateurs.

Plus faible pourcentage d’infections par logiciels malveillants – Danemark – 5,9% des utilisateurs.

+ faible pourcentage d’attaques telnet (par pays d’origine) – Algérie, Ouzbékistan et Sri Lanka – 0,01%.

Pourcentage d’attaques de cryptominers – Danemark – 0,61% des utilisateurs.

Meilleur préparé pour les cyberattaques – Singapour – 0.925 score.

Législation la plus récente en matière de cybersécurité – France, Chine, Russie et Allemagne.

Bien que certains pays aient des forces et des faiblesses évidentes, il y a une marge d’amélioration possible pour chacun d’entre eux. Qu’ils aient besoin de renforcer leur législation ou que les utilisateurs aient besoin d’aide pour mettre en place de meilleures protections sur leurs ordinateurs et leurs téléphones portables, il reste encore un long chemin à parcourir pour rendre nos pays cyber sécurité. De plus, alors que le paysage de la cybersécurité change constamment (la prévalence des cryptominers augmente, par exemple), les pays doivent essayer de devancer les cybercriminels.

Le pays le moins sécurisé au monde

Selon l’étude, l’Algérie est le pays le moins sécurisé au monde en matière de cyber-sécurité. C’était le pays le mieux classé en raison de l’absence de législation et de taux de logiciels malveillants, et a également obtenu un score élevé dans les catégories des logiciels malveillants pour mobiles et de la préparation aux cyber-attaques. L’Indonésie, le Vietnam, la Tanzanie et l’Ouzbékistan comptaient parmi les pays les moins biens classés.

Plus fort pourcentage d’infections par logiciels malveillants mobiles – Bangladesh – 35,91% des utilisateurs.

+ grand nombre d’attaques de logiciels malveillants financiers – Allemagne – 3% des utilisateurs.

Pourcentage d’infections par logiciels malveillants – Algérie – 32,41%.

Plus fort pourcentage d’attaques telnet (par pays d’origine) – Chine – 27,15%.

Plus fort pourcentage d’attaques de cryptominer – Ouzbékistan – 14,23% des utilisateurs.

Les moins préparés aux cyber-attaques – Vietnam – 0.245 score. 92829. Pire législation mise à jour en matière de cybersécurité – Algérie. (comparitech)

Cyberattaques DDoS et DNS : les opérateurs en première ligne

À n’en pas douter, nous allons continuer de subir des cyberattaques toujours plus nombreuses et sophistiquées. Dans ce contexte, les opérateurs sont aujourd’hui une cible de choix pour les pirates.

Cyber-attaques ! De manière générale, de nombreuses études estiment que les opérateurs sont confrontés à plusieurs milliers d’attaques chaque jour. Parmi ces dernières, se distinguent notamment les attaques DDoS, et plus particulièrement celles qui ciblent les infrastructures DNS.

Particulièrement préjudiciables, elles peuvent fortement impacter la disponibilité de leurs services et donc par ricochet ceux de leurs clients… Il est donc plus que jamais nécessaire que les opérateurs, et pas uniquement les acteurs importants, prennent ces sujets à bras le corps. Ils doivent mettre en place des moyens leur permettant de lutter contre ces menaces.

Comment faire pour prendre les bonnes orientations face à des cyberattaques

Pouvoir identifier instantanément. Isoler les flux malveillants ciblant un service. Préserver l’écoulement des flux légitimes. Pour ce faire il faut détecter les anomalies protocolaires, comportementales, et celles des sessions applicatives. La neutralisation des flux malveillants doit s’appuyer sur une logique de « filtrage intelligent » qui permet de protéger les systèmes d’information tout en préservant les utilisations légitimes et la continuité de service globale.

Au-delà des fonctions de filtrage, il est aussi nécessaire de bénéficier de statistiques détaillées d’usage de ses services, identifiant les sources malveillantes. L’ensemble de ces informations doit être consultable en temps réel ainsi qu’au travers d’alertes spécifiques. Enfin, il faut répondre au besoin de l’exploitant de consulter des rapports d’incidents ou des tableaux de bord périodiques.

La poussée du Cloud et des nouveaux usages, autant de vulnérabilités

Avec la forte poussée du Cloud et l’externalisation du SI hors des murs de l’entreprise, et notamment chez les opérateurs, les attaques vont continuer de gagner en force et en fréquence. Nous pouvons également ajouter à ces éléments l’émergence de nouveaux usages et applications éphémères qui viennent créer de nouveaux challenges pour les sécuriser contre les attaques DDoS. Nous sommes donc dans une situation où les opérateurs sont des cibles centrales et parfois vulnérables.

L’état d’urgence de la sécurisation des SI et plateformes des opérateurs est donc un axe majeur à prendre en compte. C’est à cette condition qu’il sera possible de lutter efficacement contre les attaques DDoS qui sont parmi les plus contraignantes et gênantes pour l’ensemble des entreprises. (par Fabrice Clerc, C.E.O de 6cure)

L’inaction des dirigeants de PME fait le bonheur des cybercriminels

L’époque où les cyberattaques étaient le lot de quelques PME malchanceuses est belle est bien révolue. Très rentables pour les cybercriminels car plus faciles à attaquer que les grands groupes, elles sont devenues une cible de choix. Au cours des 12 derniers mois, 21% ont été victimes d’une cyber attaque. Si le coût de ces attaques dépasse rarement les 10 000€, il peut arriver dans de très rares cas que l’entreprise victime ne s’en relève pas, notamment quand l’affaire devient publique.

Cette médiatisation a également des effets positifs. Sensibilisés par les retentissantes cyberattaques qui défraient régulièrement la chronique, les dirigeants de TPE et PME français comprennent, aujourd’hui, l’importance du risque cyber pour leurs structures. Malheureusement, ils ne savent pas comment s’y atteler. Une étude récemment menée par Kaspersky Lab et Euler Hermes (1) montre ainsi que seuls 19% des dirigeants de PME ont prévu des investissements dans la cybersécurité alors que c’est un sujet d’inquiétude pour 76% d’entre eux.

Cette situation paradoxale tient probablement aux discours très alarmistes, mais peu concrets, qui ont été tenus ces dernières années par les pouvoirs publics comme par les professionnels de la cybersécurité : nous avons été trop théoriques dans nos explications. Ne sachant par où commencer pour améliorer leur sécurité informatique, les dirigeants ne font… rien.

Pourtant, la cyber sécurité n’est pas un sujet compliqué. De nombreuses mesures ultrabasiques peuvent être mises en œuvre pour lutter efficacement contre les attaques et réduire considérablement son risque. Ainsi, l’entreprise peut se garantir un premier rempart de protection grâce à des mots de passe solides et en s’assurant que les mises à jour sont réalisées en temps réel, que ce soit en interne ou par le prestataire informatique de l’entreprise. La démarche est très simple et peut en général être automatisée au moyen d’un paramétrage. Ensuite, il faut s’assurer que tous les ordinateurs, mais aussi les tablettes, les smartphones et les serveurs sont protégés par des « suites de sécurité » : des modules comprenant un antivirus, des outils contre l’hameçonnage ou pour chiffrer les données.

Formation

Il existe aussi des systèmes pour protéger les données de l’entreprise en cas de vol de matériel : les informations contenues sur un smartphone ou un ordinateur dérobé peuvent en effet être effacées à distance. Parallèlement, il faut demander à un œil extérieur de réaliser un état des lieux de son système d’information. Il n’est pas possible de prendre de décision sans savoir exactement comment fonctionne son SI, qui l’utilise et quelles sont les faiblesses de sécurité, mais aussi où sont stockées ses données, etc. De nombreuses sociétés spécialisées peuvent réaliser un audit de sécurité, sur un ou deux jours, pour un coût très modéré. C’est sur la base de cet audit que l’entreprise pourra éventuellement opter pour des mesures de sécurité plus importantes, en se rapprochant d’un intégrateur ou de prestataires spécialisés.

Sur un autre plan, il y a également des choses très simples à mettre en place en matière de formation du personnel. Aujourd’hui, la moitié des entreprises que nous avons interrogées ne forme pas ses employés à la sécurité informatique, alors que l’on sait parfaitement que les salariés constituent souvent un point faible majeur. A la condition d’être correctement sensibilisés, les salariés – depuis l’assistant jusqu’au dirigeant – pourraient au contraire devenir la meilleure protection de l’entreprise. De nombreuses sociétés proposent des modules très concrets sur l’utilisation des mots de passe, le stockage des informations confidentielles, ou encore l’identification d’un email frauduleux, etc. Ces formations, réalisées en ligne, ne coûtent que quelques euros par mois et par salarié.

Bonnes pratiques

Il ne s’agit là que des bonnes pratiques les plus élémentaires mais les adopter permet à l’entreprise de se préparer à réagir et c’est bien là l’essentiel. Face à un groupe de cybercriminels, aucune entreprise n’est imprenable. En revanche, une entreprise qui a développé sa capacité de réaction peut considérablement réduire l’impact d’un incident. Au final, la cybersécurité est tout autant une affaire d’investissements technologiques que de culture. Et sur ce dernier point, les petites et moyennes entreprises peuvent disposer des mêmes armes que les grandes. Tanguy de Coatpont, directeur général de Kaspesky Lab France

 – «Les PME face aux enjeux de sécurité informatique ». Étude Ifop réalisée pour Kaspersky Lab et Euler Hermes en novembre 2018, auprès de 700 décideurs, au moyen d’un questionnaire en ligne.

14 200 dossiers en ligne de patients atteints de VIH compromis

Lundi 28 janvier, le ministère de la Santé singapourien a révélé avoir été piraté. 14 200 dossiers en ligne de patients atteints de VIH ont été compromis.

Selon le ministère, bien que l’accès aux informations confidentielles ait été désactivé, les données sont toujours entre les mains d’une personne non autorisée et pourraient donc encore être divulguées publiquement à l’avenir. Il travaille actuellement avec les parties concernées pour analyser internet, à la recherche de signes de divulgation supérieures.  La fuite de données de santé à Singapour est le résultat malheureux d’une situation dans laquelle des règles sensibles ont pu être contournées par un individu. C’est probablement loin d’être un cas isolé. « Nos propres recherches révèlent régulièrement qu’une proportion incroyablement élevée d’employés ont accès à des données sensibles – telles que des informations financières ou RH – bien plus que ce qui pourrait raisonnablement être jugé nécessaire ou normal. » confirme David Higgins, Director of Customer Development, chez CyberArk.

Veiller en interne

Les organisations, les RH … continuent de consacrer des sommes conséquentes à la défense du périmètre, alors qu’en réalité, l’approche la plus adaptée est de veiller à ce que l’accès aux actifs et aux données sensibles soit à la fois limité et contenu. Sans cela, des vulnérabilités de ce type ne cesseront de se répéter, pouvant conduire à des conséquences catastrophiques pour les individus.