Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Chiffrement, cryptage, Cybersécurité

Ne confondons plus confidentialité avec sécurité

Depuis début octobre 2015, Twitter a décidé de chiffrer les échanges de messages privés entre ses utilisateurs, en expliquant que cela augmente la sécurité. A chaque fois qu’un géant de l’Internet, Google en tête, passe en trafic SSL, le message est « c’est pour améliorer la sécurité ». Mais l’utilisation de flux chiffrés est-elle un véritable vecteur d’amélioration de la sécurité des systèmes d’informations ?

N’est-ce pas plutôt, et comme l’indique l’ANSSI dans son document Recommandation de Sécurité concernant l’analyse des flux HTTPS « Une technologie conçue pour protéger en confidentialité et en intégrité les communications de bout en bout ».

La confidentialité consiste dans « le fait de s’assurer que l’information n’est seulement accessible qu’à ceux dont l’accès est autorisé » selon la définition de l’Organisation Internationale de Normalisation (ISO). La sécurité, elle, correspond à l’absence de menaces, ou à la mise en place de stratégie et d’outils pour réduire très significativement ces menaces.

Le chiffrement du trafic rend pratiquement impossible l’interception des échanges par une personne non autorisée et améliore de ce fait la confidentialité. Et ce de bout en bout, entre le site Internet et l’ordinateur ou le terminal mobile. Mais si le site web est infecté, alors les codes malicieux qui vont transiter sur le réseau ne pourront plus être détecté par les systèmes de sécurité de l’entreprise déployés dans l’infrastructure. En voulant améliorer la confidentialité, le développement des trafics chiffrés ouvre en fait une brèche béante de sécurité

L’Arcep vient d’annoncer qu’à la mi-2015, la part de trafic chiffré vue par les FAI en France représenterait près de 50% contre 5% en 2012. De ce fait, et sur la moitié des trafics internet, la sécurité de l’entreprise ne pourra reposer que sur les capacités d’analyse et de détection déployées après le tunnel chiffré. C’est-à-dire sur le périphérique. Dans la grande majorité des cas, il s’agit d’un simple agent d’antivirus, ce qui est loin d’être suffisant vu la complexité des menaces actuelles. Les pirates l’ont bien compris, et on estime que 80% des attaques complexes utilisent désormais les connections chiffrées pour pénétrer le système informatique des entreprises.

Cela crée une situation paradoxale pour les employés, qui demandent, et à juste titre, à la fois la confidentialité des échanges, la sécurisation des informations sensibles et la protection contre les attaques de type Ransomware. Ne confondons pas confidentialité et sécurité… ça n’est pas la même chose. Ces deux besoins fondamentaux peuvent paraître antinomiques, mais il est désormais possible, avec des solutions de Sécurisation des Flux chiffrés (Encrypted Trafic Management) de faire quelles se complètent pour renforcer la sécurité du système d’information. (Par Dominique Loiselet, Directeur
Général de Blue Coat France.)

backdoor, Cybersécurité, Espionnae, ID, Identité numérique, IOT, Mise à jour, Particuliers, Patch

Des ondes non audibles capables de lancer votre micro

Méfiez-vous des annonces publicitaires qui peuvent utiliser le son de vos enceintes pour permettre d’écouter votre téléphone, TV, tablette, et PC.

Supposez que votre navigateur Internet ouvre un site web avec une pub, et que celle-ci actionne par ondes acoustiques non-audibles le micro de votre smartphone. De la science-fiction ? Le Centre pour la démocratie et de la technologie (Center for Democracy and Technology) vient d’alerter la Commission Fédérale Américaine, la FTC, que cette possibilité était loin d’être à négliger.

Des entreprises (SilverPush, Drawbridge, Flurry) travaillent sur les moyens de suivre un utilisateur via les dispositifs informatiques qu’il utilise. Adobe développe également des technologies de suivi multi-appareils. A la vue du nombre de failles exploitées par les malveillantes dans les produits Adobe tels que Flash ou PDF, voilà qui a de quoi inquiéter.

La société Californienne SilverPush travaille sur des balises exploitant des ultrasons qu’un homme ne peut pas entendre. « SilverPush intègre également des signaux dans des publicités télévisées » confirme le document du CDT. L’idée de ce traçage, savoir quand le téléspectateur à vue la publicité. A-t-il zappé ? Est-il resté devant ? Cette idée semble être tirée de BadBIOS, un malware découvert par le chercheur Dragos Ruiu, qui utilise, lui aussi, les ultrasons dans ses basses besognes. (ArtTechnica)

Android, Chiffrement, cryptage, Cybersécurité, ID, Identité numérique, ios, Logiciels, Mise à jour, Particuliers, Patch, Sécurité, Smartphone, Windows phone, Wordpress, Wordpress

Double authentification pour votre site web

Un commentaire

Vous avez un site web ? En plus de votre mot de passe d’accès à votre espace d’administration utilisez la double authentification.

Après les modes d’emplois pour mettre en place la double authentification pour Youtube, gMail, Amazon, DropBox, Facebook, DataSecurityBreach.fr vous propose la même sécurité dédiée à votre site Internet. Ce mode d’emploi est à destination des utilisateurs de WordPress.

La validation en deux étapes contribue à protéger le compte d’un utilisateur contre les accès non autorisés au cas où un tiers parviendrait à obtenir son mot de passe. Même si une personne malveillante parvient à décrypter, deviner ou dérober un mot de passe, elle ne peut se connecter si elle ne dispose pas des informations de validation supplémentaires de l’utilisateur. Ces dernières se présentent sous la forme de codes que seul l’utilisateur peut obtenir via son mobile ou via une signature chiffrée contenue dans une clé de sécurité.

Mode d’emploi double authentification WordPress

Commençons par la base, télécharger l’application qu’il faudra installer dans votre smartphone. Plusieurs choix possibles : Google Authenticator ; Authy ; encore FreeOTP ou encore Duo Mobile Authentication. Ensuite, installer sur votre site Internet l’application dédiée. Une fois c’est deux actions réalisées, direction l’espace « utilisateurs » de votre espace web. Sélectionnez votre identité. Dans cette partie, apparait un espace baptisé « Code secret ».

Cliquez, soit sur « créer nouveau code secret » ou « Montrer le QR Code« . Il vous suffit de lancer l’application mobile. Ensuite, sélectionner le menu, en haut à droite du logiciel. De choisir « configurer un compte« . Plusieurs choix : de viser le QR Code avec votre ordiphone (le plus simple). Rentrer le code secret, la clé fournie, généré par l’application dans votre site web. Dorénavant, une seconde entrée de mot de passe apparaît dans votre ouverture d’administration. Il suffira d’y insérer le code fourni par votre téléphone portable.

Des hébergeur tels que OVH propose aussi la double authentification.
Chiffrement, cryptage, Cybersécurité, Facebook, ID, Identité numérique, Logiciels, Mise à jour, Particuliers, Patch, Phishing, Wordpress, Wordpress

Double authentification pour Facebook

Le site communautaire Facebook propose la double authentification. A utiliser sans modération !

Après les modes d’emplois pour mettre en place la double authentification pour Youtube, Google, Amazon, DropBox, voici venir la sécurité dédiée pour Facebook. La double authentification permet de créé un second mot de passe via votre téléphone portable, valable quelques secondes, en plus de votre identifiant de connexion de base. Bilan, si votre mot de passe est subtilisé, le pirate ne pourra pas l’utiliser. Il faut les deux identifiants pour accéder à votre compte.

Mode d’emploi double authentification Facebook

D’abord, connectez-vous à votre compte Facebook. Dans la partie « Paramètres« , option cachée dans le petit menu, en haut à droite, sur la droite du petit cadenas, cliquez sur « Générateur de code« . Votre téléphone vous fournira, via l’application Facebook, un second code à rentrer, en plus de votre mot de passe, lors de toutes connexions via un ordinateur ou appareil non connu. Par exemple, pour les joueurs et utilisateurs de PS4, Xbox One… Facebook vous communiquera un code, par SMS.

Il est possible d’utiliser l’application Authenticator de Google pour générer le précieux second mot de passe. Un code qui change toutes les 30 secondes. A noter que des sociétés Françaises telles que Gandi ou encore OVH utilisent aussi la double authentification pour protéger leurs clients.

Chiffrement, cryptage, Cybersécurité, Logiciels, Mise à jour, Patch, Wordpress, Wordpress

Double authentification pour Amazon

2 commentaires

Le site de vente en ligne Amazon propose une nouvelle sécurité, la double authentification. Explication !

Comme DataSecurityBreach.fr a déjà pu vous le proposer pour DropBox, gMail, Facebook, Youtube… la sécurité par double authentification est devenue une obligation aujourd’hui. « L’attaque est le secret de la défense, la défense permet de planifier une attaque. » comme le dit l’adage. La double authentification permet de créé un second mot de passe via votre téléphone portable, valable quelques secondes, en plus de votre identifiant de connexion de base. Bilan, si votre mot de passe est subtilisé, le pirate ne pourra pas l’utiliser. Il faut les deux identifiants pour accéder à votre compte. Amazon vient de rentrer dans cette grande famille. DataSecurityBreach.fr vous conseille fortement de l’utiliser.

Mode d’emploi double authentification Amazon

D’abord, connectez-vous à votre compte Amazon. Ensuite, dans « Your Account« , dirigez-vous vers les options de modification de votre compte « Change Account Settings« . Choisissez ensuite « Advanced Security Settings« . C’est dans cette option qu’il va vous être possible de créer la double authentification Amazon. Intéressant, Amazon propose deux sécurités. D’abord par le logiciel Authenticator, et par SMS. Bilan, dès que vous souhaitez vous connecter, Amazon vous contactera par l’un de ces deux moyens.

A noter qu’il est possible d’utiliser cette double authentification pour votre blog, site Internet, Steam, Cloudflare, Gandi ou encore OVH.

Chiffrement, cryptage, Cybersécurité

Let’s Encrypt : la solution gratuite de SSL pour tous

Un commentaire

Les américains de chez Let’s Encrypt vont lancer, le 3 décembre, leur solution de SSL gratuit.

Let Encrypt est une autorité de certification libre, automatisée et ouverte qui vous est proposée par le groupe de chercheurs de l’Internet Security Research Group (ISRG). ISRG est une entité californienne d’intérêt public. L’association va lancer, le 3 décembre, son service gratuit dédié au chiffrement de vos communications. Du SSL pour tous. Après trois mois de test, la version bêta fermée, lancée depuis le 12 septembre 2015, va être proposée en version bêta publique.

En septembre, plus de 11.000 certificats ont été émis. Une solution qui permettra d’afficher sur son site le HTTPS rassurant. La connexion, entre votre ordinateur et votre correspondant (site web, …), sera chiffrée.

Petit bémol ! Il pourrait être inquiétant de savoir qu’une entreprise basée à San Francisco propose du chiffrement, gratuitement. Les autorités américaines nous ont habitué à être suspicieux, très suspicieux. Et ce n’est pas à la NSA qu’on apprendra à faire un MITM, une attaque de l’homme du milieu. A suivre !

Mise à jour : La solution proposée permet d’acquérir un certificat X.509 qui est un élément nécessaire pour bénéficier d’une adresse web en HTTPS. Le S indiquant « Sécurisé », donc chiffré de l’ordinateur du visiteur au site Internet proposant ce HTTPS. C’est à l’administrateur (ou l’hébergeur) de choisir le TLS :  ECDHE-AES-GCM ou RSA-RC4, RSA-3DES.

Cybersécurité, Justice, loi

Invalidation du Safe Harbor : comment se préparer au prochain accord ?

En octobre 2015, la Cour européenne de justice a décidé d’annuler l’accord Safe Harbor, conclu il y a 15 ans entre l’Union européenne et les Etats-Unis. Cet accord portait sur un mécanisme simple de transfert de données entre les deux continents. La suppression du Safe Harbor est la conséquence directe de l’audacieux recours juridique déposé par Max Schrems, étudiant en droit autrichien de 28 ans.

Max Schrems est parvenu à s’attaquer à des entreprises du secteur des technologies semblant jusque-là invulnérables, et à enregistrer une victoire au nom des droits des utilisateurs, ce qui lui a valu de nombreux applaudissements, en particulier de la part d’Edward Snowden. Bien que la décision de la cour européenne puisse paraître surprenante, elle s’inscrit dans une tendance récente au renforcement des règles en matière de confidentialité des données.

Les lois américaines dans ce domaine sont moins contraignantes que celles en vigueur dans l’Union européenne. Jusqu’à cette décision, Safe Harbor constituait un compromis entre les procédures de confidentialité américaines et européennes. En vigueur depuis l’an 2000, cet accord a permis aux sociétés américaines de rapatrier les données des citoyens européens aux États-Unis tant qu’elles respectaient le même niveau de confidentialité que les normes européennes en la matière. Ces sociétés ont dû s’engager à respecter sept principes relatifs à l’exploitation des données collectées, mais la décision de la Cour européenne de justice envoie un signal fort selon lequel les droits des utilisateurs à la confidentialité doivent être consacrés par la loi et non pas par une simple auto-certification. Depuis la fin du Safe Harbor, les entreprises des deux côtés de l’Atlantique ont dû réviser leurs procédures de collecte, de stockage, de traitement et de transfert des données personnelles des citoyens européens.

Quel sera l’impact sur les entreprises ?
Les entreprises qui dépendent du libre transfert des données entre l’Union européenne et les États-Unis se retrouveront dans une position difficile. L’analyse des conséquences de cette décision a principalement porté sur sa signification pour les réseaux sociaux américains, mais les sites américains de partage de fichiers dans le cloud, comme Dropbox (et leurs clients utilisateurs de leurs services de stockage), le fournisseur de services cloud, les grands distributeurs internationaux comptant des clients dans l’Union européenne et toutes les entreprises américaines de gestion de ces données personnelles seront concernés.

Les directeurs de la sécurité des systèmes d’information des grandes entreprises doivent désormais s’efforcer de trouver les moyens de respecter ce nouvel arrêt. Il va sans dire que la confidentialité des données des utilisateurs est extrêmement importante et doit constituer un droit fondamental, mais cette décision concerne bien plus d’entreprises que Facebook et Google. Il est plus que probable que cela modifiera les procédures de transfert de données mises en place par les entreprises entre les deux continents. Près de la moitié des échanges de données dans le monde s’effectuant entre l’Europe et les États-Unis, l’invalidation de l’accord Safe Harbor se traduira par des changements radicaux pour les petites et moyennes entreprises.

Bien qu’il ne soit pas encore possible de savoir exactement ce qui remplacera cet accord, il est clair que cela aura des conséquences sur les activités au quotidien. Il deviendra plus difficile de fournir des services et des données entre l’Union européenne et les États-Unis.

Toutes ces préoccupations autour des réglementations relatives à la confidentialité des données ne sont pas nouvelles. Quelles sont les autres règles en vigueur ?
Le principal reproche formulé à l’encontre de l’accord Safe Harbor est qu’il ne respecte pas les exigences de la directive européenne sur la protection des données. L’Union européenne semble avoir de plus en plus tendance à s’opposer à l’approche américaine en matière de confidentialité des données. La décision sur l’accord Safe Harbor, et celle sur le droit à l’oubli, constituent un signal clair que l’attitude « La prospérité maintenant, la confidentialité plus tard » n’est plus de mise en Europe.

Le General Data Protection Regulation (ou GDPR) est acté, la réglementation à proprement parler est toujours en consultation, et il y aurait donc une certaine marge de manœuvre pour y faire figurer des directives claires à l’intention de ces entreprises. Cependant, il serait juste de partir du principe que cela pourrait avoir des répercussions sur la date d’adoption envisagée (actuellement la fin de l’année).

Comment les entreprises se préparent-elles à cette législation ?
Selon un récent sondage réalisé par Ipswitch, les entreprises se préparent aux changements annoncés, mais lentement. Bien que la nouvelle réglementation soit soumise à consultation depuis près de quatre ans, ce sondage mené en septembre 2015 indique qu’un peu moins d’une entreprise française sur cinq ne sait toujours pas si elle est concernée par ces mesures alors que ces mêmes sociétés affirment stocker et traiter des données personnelles. Par ailleurs, 71% d’entre elles estiment qu’elles devront investir dans des technologies de traitement et de stockage de données conformes à ces nouvelles normes.

Que peuvent faire les entreprises pour s’assurer qu’elles sont en conformité avec le GDPR ?
Elles ne doivent pas sous-estimer la charge que représente cette nouvelle législation. Selon leurs pratiques actuelles en matière de transfert de données, la décision relative à l’accord Safe Harbor pourrait nécessiter de profonds changements et impliquer de nombreux services au sein de l’entreprise.

Voici une checklist de cinq points destinée aux services informatiques afin de leur permettre de se mettre en conformité avec les règles de confidentialité.

1/ Des responsabilités clairement délimitées
Face aux exigences croissantes de confidentialité des données auxquelles les entreprises sont confrontées, la nomination d’un Responsable Protection des Données peut être un excellent point de départ. De nombreuses entreprises ont déjà procédé à une telle nomination, et la nouvelle réglementation GDPR en cours d’élaboration devrait inciter de nombreuses autres à leur emboîter le pas. Carsten Casper, analyste du cabinet Gartner, souligne qu’« il est logique que de nombreuses sociétés aient en leur sein un chargé des questions de confidentialité indépendamment de la législation ».

Ce processus de mise en conformité nécessitera le soutien des dirigeants, une collaboration entre les services, la validation d’un budget, des ressources et des investissements technologiques. Quelle que soit la démarche adoptée par les entreprises, elles devront clairement identifier le ou les responsables de ce projet en interne.

2/ Auditez vos pratiques actuelles
Alors que les entreprises bénéficieront d’un certain délai avant d’être obligées de se mettre en conformité, il faut qu’elles commencent immédiatement à auditer leurs pratiques de partage de données, notamment l’utilisation de services américains de partage dans le cloud comme Dropbox, pour pouvoir cerner précisément où elles en sont et être prêtes à agir dès l’officialisation de nouvelles directives. Cet audit doit aussi permettre d’identifier les personnes concernées par ces changements au sein de l’entreprise et le type d’assistance nécessaire.

Il faut s’interroger sur les procédures, les stratégies ou les technologies qu’il est possible de mettre en place aujourd’hui et qui serviront les projets futurs. Une entreprise mature et agile se caractérise par la capacité de ses solutions à répondre aux besoins actuels tout en étant suffisamment souple pour s’adapter aux évolutions futures.

3 / Quels sont vos points les plus vulnérables ?
La possibilité de transférer les données en toute sécurité afin de garantir les processus opérationnels stratégiques est un point important pour les entreprises. Il n’a jamais été aussi important d’être sûr de sa politique en matière de transfert de fichiers. En l’absence de nouvelles lignes directrices concernant le remplacement du système Safe Harbor, il faut partir du principe que son remplaçant sera plus draconien et exigera des preuves.

Dans un monde où le numérique s’impose de plus en plus comme la norme, il est logique du point de vue économique de renforcer ses liens avec les partenaires, les sous-traitants ou les clients. Gérer le transfert et le stockage de tous les fichiers entre les clients, les employés, les partenaires, les systèmes de gestion, etc. peut-être une lourde tâche. La gestion des transferts de fichiers représente l’une de ces technologies facilitant l’accès aux données et la visibilité et la maîtrise complètes par le service informatique.

4 / Diffusez le message
Il ne suffit plus de mettre en place les bonnes mesures de sécurisation des transferts de données, toute entreprise se doit de garantir qu’elle a déployé les bonnes technologies de transfert de fichiers, les bons systèmes de sécurité et processus, une piste d’audit complète et, peut-être plus important encore, qu’elle a formé son personnel.

Les meilleures technologies au monde peuvent être mises en place, mais si les collaborateurs de l’entreprise ne savent pas ce que l’on attend d’eux, l’échec sera de mise. Préparer ses collaborateurs aux nouvelles exigences en matière de protection des données est aussi important que d’apprêter ses technologies.

5 / Paré à agir
Les organismes nationaux de protection des données des différents États membres de l’Union européenne sont en pleine effervescence afin d’analyser, d’intégrer et d’émettre des directives sur les procédures de traitement au quotidien par les entreprises. L’emploi de clauses contractuelles est une question débattue au sein de ces organismes nationaux. Certains experts préconisent l’usage de clauses à titre de solution provisoire en l’absence d’autres directives. Mais tous ne sont pas d’accord, L’autorité de surveillance allemande, argumente que ces clauses ne sauraient remplacer Safe Harbor. Quoiqu’il en soit, l’accent est mis sur l’anticipation de l’avenir pour que la mise en conformité puisse intervenir rapidement en temps opportun.

Si tout cela semble être un obstacle chronophage que les entreprises devront franchir, il convient de rappeler les implications de cet arrêt à propos de l’accord Safe Harbor pour tous en tant que citoyens. C’est une grande victoire pour la confidentialité des données personnelles. Il pourrait aussi se révéler être une grande victoire pour les entreprises. Pour paraphraser un principe de physique, l’innovation a horreur du vide. Le vide créé par Safe Harbor s’avérera être une opportunité d’amélioration dans un contexte où les entreprises cherchent de meilleures solutions pour renforcer le degré de responsabilité vis-à-vis des enjeux du numérique. (Par Michael Hack, vice-président senior des opérations EMEA d’Ipswitch).

Cybersécurité, Hacking, Mise à jour, Rendez-Vous

Challenge Ethical Hacking au FIC 2016

Pour la troisième année, le Forum International de la Cyber Sécurité organise un challenge d’Ethical Hacking. Les inscriptions sont ouvertes.

Le 8ème Forum International de la Cyber sécurité organise, en partenariat avec l’association ACISSI et l’école privée informatique EPITA, le challenge d’Ethical Hacking du FIC. Un rendez-vous parrainé par le Réseau Cyber défense de la Réserve Citoyenne et sponsorisé par EC-Council.

Le challenge FIC a pour objectifs, en distinguant quelques profils prometteurs, d’encourager et de valoriser chaque année, les métiers liés au forensic et à la lutte informatique défensive. Comme depuis trois ans, c’est Damien Bancal (zataz) qui animera ce rendez-vous. A noter que cette année, en bonus, l’un des challenge proposait lors de ce challenge a été écrit par Damien Bancal.

 

Côté prix : drone, montre connectée, livres, Rasperry Pi ou encore une Xbox One. Côté épreuves, une petit idée ici. Vous souhaitez y participer ? Inscriptions ICI.

Le Forum International de la Cyber sécurité s’inscrit dans une démarche de réflexions et d’échanges visant à promouvoir une vision européenne de la cybersécurité. Dans la continuité du marché unique numérique et du projet de règlement sur la protection des données personnelles, le FIC est Evènement européen de référence réunissant tous les acteurs de la confiance numérique. Il se tiendra à Lille, les 25 et 26 janvier 2016.

Banque, Base de données, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Hacking, Leak, Mise à jour, Piratage, Social engineering

Sécurité informatique : 2015, année difficile

La division sécurité d’IBM publie son rapport trimestriel IBM X-force faisant état du Top 4 des tendances liées aux cyber-menaces en 2015. Dans l’ensemble, 2015 a été une année difficile en matière de menaces internes, de logiciels malveillants, ainsi que d’attaques persistantes et évolutives touchant les entreprises.

Les pirates amateurs exposent les criminels expérimentés lors d’attaques « Onion Layered ». Alors que 80% des cyber attaques sont générées par des réseaux de criminels en ligne hautement organisés et sophistiqués, ce sont souvent des pirates inexpérimentés – « script kiddies » – qui inconsciemment poussent les entreprises à être attentives à ces pirates plus nombreux et expérimentés qui rôdent sur un réseau en ligne ou à l’intérieur d’une entreprise. Les pirates amateurs laissent des indices tels que des dossiers inhabituels ou des fichiers dans un répertoire temporaire, altèrent des pages web d’entreprises, et plus encore. Lorsque les entreprises se penchent sur ces attaques malveillantes, ils découvrent souvent des attaques beaucoup plus complexes.

Accroissement des rançongiciels (Ransomwares)
2015 était l’année des rançongiciels, se classant comme l’infection la plus fréquemment rencontrée. En fait, le FBI a signalé des attaques du rançongiciel CryptoWall qui ont permis aux pirates de collecter plus de 18 millions de dollars entre 2014 et 2015. Les chercheurs d’IBM pensent que cela restera une menace fréquente et un business rentable en 2016, migrant également vers les appareils mobiles.

La plus grande menace peut venir de l’intérieur
Le rapport (tiré de l’étude Identifying How Firms Manage Cybersecurity Investment de Tyler Moore, Scott Dynes, Frederick R. Chang, Darwin Deason de l’Institute for Cyber Security Southern Methodist University – Dallas) indique également le danger permanent des attaques malveillantes à l’intérieur même d’une entreprise. Ceci est la continuation d’une tendance observée en 2014 lorsque l’index IBM 2015 lié à la Cyber Security Intelligence révélait que 55% de toutes les attaques de 2014 avaient été réalisées en interne ou par des individus ayant eu par le passé accès au système d’informations de l’entreprise – sciemment ou par accident.

Le C-Suite Cares
En 2015, la cybersécurité est devenue une priorité au plus haut niveau de l’entreprise, avec de plus en plus de responsables qui s’interrogent sur la sécurité de leur organisation. En fait, un récent sondage questionnant les responsables de la sécurité des systèmes d’information (RSSI), réalisé par SMU et IBM, a révélé que 85% des RSSI indiquent que la gestion des problèmes informatiques a augmenté, et 88% ont déclaré que leurs budgets de sécurité se sont accrus.

Vous pouvez télécharger le rapport complet ici : http://ibm.co/1OJkd8N.

Cybersécurité, IOT

Internet des Objets et respect de la vie privée peuvent–ils aller de pair ?

Les avancées technologiques nous plongent dans un monde dans lequel nos façons de vivre peuvent être imaginées presque sans limite. Avec l’Internet des Objets (IdO), ce qui semblait être autrefois de la science-fiction est maintenant une réalité et deviendra prochainement la norme.

De nos jours, il n’est pas difficile d’imaginer un monde dans lequel notre voiture, sur le chemin du domicile, parle à notre thermostat, garantissant ainsi que qu’il soit chauffé à notre arrivée. On peut également imaginer que notre réfrigérateur commande automatiquement les aliments dès qu’il commence à en manquer. Cependant, alors que tant d’aspects de nos vies sont connectés, comment peut-on en profiter sans mettre en péril notre sécurité ou le respect de notre vie privée ? Abordons cinq faits importants à savoir sur l’émergence de l’Internet des Objets et son incidence sur notre vie privée :

Des sommes colossales investies dans l’Internet des Objets
Selon les récentes estimations, on s’attend à ce que l’investissement mondial dans l’Internet des Objets représente 7,3 milliers de milliards de dollars (oui, il s’agit de milliers de milliards) d’ici 2017. De nombreuses sociétés explorent de manière intensive de nouveaux projets collaboratifs et créatifs sur l’IdO pour s’implanter sur le marché et pour devenir plus compétitives. Nous avons tous vu par exemple, le lancement réussi de l’Apple Watch d’Apple. Celle-ci peut servir non seulement dans le cadre d’une activité physique, mais également pour la recherche médicale.

Une croissance qui aura des répercussions sur le respect de la vie privée
Alors que les sociétés ont de plus en plus recours à l’Internet des Objets pour fournir des services personnalisés, les consommateurs peuvent raisonnablement craindre que le respect de leur vie privée soit compromis. À cet égard, l’IdO fait face à des problématiques uniques, car les entreprises doivent avoir accès aux données personnelles des utilisateurs afin de fournir les services auxquels ces derniers s’attendent de plus en plus. Par exemple, les personnes possédant une Smart TV Samsung ont été choquées d’apprendre que ses fonctionnalités de reconnaissance vocale impliquaient « l’espionnage » des informations (potentiellement) sensibles qu’elles énonçaient. Les utilisateurs ont donc l’impression qu’ils ont peu de contrôle sur les informations partageables.

En même temps, l’expérience du respect de la vie privée à laquelle nous sommes habitués lorsque nous utilisons des sites Web (c’est-à-dire le fait de cocher une case indiquant que nous acceptons de partager nos données personnelles avec un site) n’est tout simplement pas transposable dans le cas d’un grand nombre d’appareils de l’Internet des Objets. En effet, où se trouve la case à cocher sur une ampoule intelligente ? Même si un appareil est livré avec une application qui peut être installée sur votre smartphone, si les experts ont raison quant au nombre d’appareils de l’Internet des Objets avec lesquels nous vivrons bientôt, nous aurons besoin d’une meilleure manière de gérer le respect de la vie privée.

L’Internet des Objets continuera à se développer si des protocoles adaptés sont offerts
Alors que de plus en plus d’objets et d’appareils acquièrent la capacité à « parler » entre eux, les sociétés doivent s’atteler à une tâche monumentale : celle consistant à s’assurer qu’elles peuvent donner aux utilisateurs le contrôle de leurs données personnelles, même si ces données sont collectées et gérées parmi des millions de réseaux sur lesquels de nombreux appareils sont connectés. Les utilisateurs veulent également pouvoir contrôler le partage des données de l’Internet des Objets afin de pouvoir partager ces données, entre autres avec leur famille et leurs amis, de manière pratique et ordonnée.

Dans ce but, des protocoles de l’Internet des Objets doivent offrir une approche cohésive de la gestion de l’identité afin de garantir que les liaisons entre appareils, utilisateurs et services du Cloud sont correctement établies aux bons moments, qu’elles sont basées sur des accords de confidentialité justes et, de manière toute aussi importante, que leur suppression est effectuée lorsque les parties concernées en font la demande.

Le contrôle des données par les utilisateurs est possible
Un organisme de normalisation nommé Kantara Initiative promeut plusieurs initiatives, dont l’Identities of Things Discussion Group (groupe de discussion sur l’identité des objets) et l’User-Managed Access (UMA) Work Group (groupe de travail sur le protocole UMA), afin d’apporter des solutions au problème de partage de données. UMA est un nouveau protocole conçu dans le but d’offrir aux utilisateurs un point de contrôle unifié pour autoriser l’accès aux services et aux données personnels, quel que soit l’emplacement où ces ressources se trouvent en ligne. Voici un exemple de la vie quotidienne: si Alice possédait une « voiture connectée » à l’Internet des Objets, elle pourrait l’intégrer dans son tableau de bord de partage en ligne prenant en charge le protocole UMA, sur lequel elle aurait la possibilité de configurer une préférence de partage afin de laisser son fils Jacob conduire la voiture, sans lui donner accès au coffre. En outre, son tableau de bord pourrait gérer des données provenant aussi bien des appareils électroménagers de sa cuisine que de toutes ses ampoules par exemple.

Les sociétés peuvent garantir le respect de la vie privée
La manière la plus pratique de protéger la vie privée consiste à utiliser des plateformes et des normes ouvertes cohérentes et bien validées permettant d’établir des connexions sécurisées et acceptées par l’utilisateur entre les appareils, les services et les applications. Une fois que les utilisateurs auront l’impression d’avoir le contrôle sur leurs informations, nous pourrons vraiment entrevoir la totalité du potentiel de tout ce que cette technologie a à offrir. (Par Eve Maler, vice-présidente du service Innovation et technologies émergentes chez ForgeRock).

Chiffrement, cryptage, Cybersécurité, DDoS, Piratage

Trois nouveaux vecteurs d’attaques DDoS

Akamai met en garde contre trois nouveaux vecteurs d’attaques DDoS par réflexion.

Akamai Technologies, Inc. leader mondial des services de réseau de diffusion de contenu (CDN), publie une nouvelle alerte cybersécurité. Akamai a, en effet, observé ces derniers mois trois nouvelles attaques par déni de service distribué (DDoS) utilisant la réflexion.

Qu’est-ce qu’une attaque DDoS par réflexion ?

Une attaque DDoS par réflexion, ou attaque DrDoS, compte trois types d’acteurs: l’attaquant, sa cible et des serveurs, complices malgré eux. L’attaquant envoie une requête simple à un service d’une victime. Ce pirate falsifie (par usurpation d’adresse) sa requête, qui donne l’impression de provenir de la cible. La victime, en répondant à l’adresse usurpée, envoie du trafic réseau intempestif vers la cible du pirate. Si la réponse de la victime est largement supérieure, en volume, à la requête, le pirate opte pour l’attaque DDoS par réflexion, qui amplifie ses capacités. Il envoie plusieurs centaines ou milliers de requêtes à haut débit à une longue liste de victimes en automatisant le processus avec un outil d’attaque et déclenche, en retour, un flux de trafic indésirable et une interruption par déni de service sur la cible.

« Même si les attaques DDoS par réflexion sont courantes, ces trois vecteurs d’attaques exploitent de manière abusive différents services et, démontrent ainsi que les pirates sondent sans relâche l’Internet pour découvrir de nouvelles ressources dont ils pourront tirer parti », indique à DataSecurityBreach.fr Stuart Scholly, senior vice president et general manager d’Akamai. « C’est comme si aucun service UDP n’était épargné par les auteurs d’attaques DDoS ; il faut donc que les administrateurs de serveurs bloquent les services inutiles ou les protègent des réflexions malveillantes. La quantité de services UDP exploitables pour des attaques DDoS par réflexion sur Internet est stupéfiante. »

Les outils employés pour chacune de ces nouvelles attaques par réflexion sont liés – car tous sont des variantes du même code C. Chaque vecteur d’attaques procède de la même façon : un script envoie une requête via une adresse usurpée à une liste de victimes. Les options de commande en ligne sont identiques.

Attaque DDoS par réflexion via le serveur NetBIOS

L’attaque DDoS par réflexion de type NetBIOS – qui consiste, plus précisément, en une réflexion du protocole NBNS (NetBIOS Name Service) – a été observée sporadiquement par Akamai de mars à juillet 2015. L’objectif principal delde NetBIOS est de permettre à des applications situées sur des ordinateurs distincts de communiquer et d’ouvrir des sessions pour accéder à des ressources partagées et s’identifier les uns les autres sur un réseau local.

Cette attaque génère 2,56 à 3,85 fois plus de trafic de réponse envoyé à la cible que les requêtes initiales adressées par le pirate.. Akamai a observé quatre attaques par réflexion sur le serveur NetBIOS, la plus conséquenteatteignant 15,7 Gbit/s. Bien que les requêtes NetBIOS, légitimes et malveillantes, soient fréquentes, un afflux de réponses a, pour la 1ère fois, été détecté en mars 2015 lors d’une attaque DDoS neutralisée pour un client Akamai.

Attaque DDoS par réflexion via le mécanisme RPC portmap

La première attaque DDoS par réflexion via le mécanisme RPC portmap, observée et neutralisée par Akamai, s’est produite en août 2015 dans le cadre d’une campagne d’attaques DDoS multi-vectorielles. RPC portmap, ce mécanisme indique au client comment appeler une version spécifique du service ONC RPC (Open Network Computing Remote Procedure Call).

Le facteur d’amplification des réponses les plus massives s’est établi à 50,53. Le plus courant était de l’ordre de 9,65. Sur les quatre campagnes d’attaques par réflexion de type RPC neutralisées par Akamai, l’une dépassait 100 Gbit/s, attestant de son extrême puissance. Des requêtes malveillantes visant à déclencher des attaques par réflexion ont été observées par Akamai quasi-quotidiennement à l’encontre de diverses cibles en septembre 2015.

Attaque DDoS par réflexion via Sentinel

La première attaque DDoS par réflexion via Sentinel, observée en juin 2015 à l’université de Stockholm, est associée à une vulnérabilité du serveur de licences SPSS, logiciel d’analyse statistique. Akamai a neutralisé deux campagnes d’attaques DDoS par réflexion de ce type en septembre 2015. Parmi les sources d’attaques figuraient des serveurs performants à forte disponibilité en bande passante, tels que des serveurs universitaires.

Si le facteur d’amplification de cette attaque ressort à 42,94, seulement 745 sources de ce trafic d’attaques sont identifiées. Même avec une bande passante supplémentaire fournie par des serveurs en réseau, une attaque de ce type est limitée par le nombre de réflecteurs disponibles. L’une de ces attaques a culminé à 11,7 Gbit/s.

Neutralisation des attaques DDoS et renforcement des systèmes

Pour ces trois vecteurs d’attaques DDoS, un filtrage en amont peut être éventuellement utilisé pour les neutraliser ; sinon, il faudra faire appel à un prestataire de services spécialisés en mode cloud. L’alerte de cybersécurité propose une règle Snort permettant de détecter les requêtes malveillantes générées par l’outil d’attaque RPC portmap. Des règles similaires peuvent être conçues pour détecter le service Sentinel. « Les administrateurs devraient se demander si ces trois services doivent être accessibles à tous sur Internet », conclut Stuart Scholly. « Probablement non en ce qui concerne NetBIOS. Pour les deux autres, en revanche, il se peut que la réponse soit oui, et le défi consiste alors à les protéger. Les trafics RPC et Sentinel peuvent alors être contrôlés et maîtrisés avec un système de détection des intrusions. »

Cette alerte, qui détaille avec précision ces menaces via NetBIOS name server, le mécanisme RPC portmap et Sentinel, est téléchargeable sur www.stateoftheinternet.com/3-ddos-reflection

Cybersécurité, Emploi, Entreprise, Mise à jour, Patch, Propriété Industrielle, Social engineering

Des principes militaires ancestraux pour lutter contre la cybercriminalité moderne

L’origine des guerres se confond avec celle de l’humanité. De leur côté, les attaques informatiques ont vu le jour avec l’Internet. Malheureusement, aucun de ces deux phénomènes n’est près de disparaître. En effet, leurs motivations sont étroitement liées à cette soif de domination, de gloire et de richesse qui constitue le pedigree de l’humanité.

Les points communs entre la guerre et la cybercriminalité sont légions. Il est sans doute bon de s’inspirer d’un des grands classiques de la littérature militaire pour mieux lutter contre les cybercriminels : l’art de la guerre.

Écrit par Sun Tzu, célèbre général, stratège et philosophe chinois, il y a 2 500 ans, cette œuvre est souvent citée aujourd’hui par les chefs d’entreprise et autres leaders. Ce vade-mecum livre quantité de conseils aux entreprises qui cherchent à se démarquer de leurs concurrents, et aux individus qui tentent de se défaire de leurs rivaux. On y puise également des sujets de réflexion pour les entreprises qui souhaitent venir à bout de la cybercriminalité.

Voici trois enseignements de Sun Tzu que chaque DSI est invité à garder à l’esprit :

1. Qui connaît l’autre et se connaît lui-même, peut livrer cent batailles sans jamais être en péril.

Si vous ignorez quelles sont vos propres défenses contre les cybercriminels, il est grand temps d’identifier cet arsenal. Cette initiative est essentielle mais elle ne suffit pas. Vous devez aussi obtenir au plus vite des informations précises sur les cybercriminels qui vous ont pris pour cible. En d’autres termes, une veille sur les menaces est une priorité.

Lors du sommet sur la cybersécurité qui s’est tenu à la Maison-Blanche en février dernier, le président des États-Unis, Barack Obama, a appelé de ses vœux un meilleur échange d’informations sur les menaces entre le secteur privé et le secteur public, ainsi qu’une meilleure coordination entre les différents intervenants dans la lutte contre la cybercriminalité.

Tous les pays du monde devraient suivre ce conseil. À elle seule, une entreprise n’a que rarement une vue d’ensemble sur les cyberattaques. Elle a trop à faire pour contrer une attaque, restaurer ses opérations et ses services informatiques et limiter les délais d’indisponibilité. Elle ne met les informations liées aux attaques à disposition de ses homologues, donnant ainsi la possibilité à chaque assaillant de tirer des enseignements de ses attaques. Ces derniers peuvent ainsi parfaire leurs tactiques et adopter de nouvelles techniques pour s’en prendre à de nouvelles cibles.

Le partage des informations liées aux menaces consiste à échanger des éléments contextuels sur les attaques. Je trouve ce point essentiel puisqu’il invite les entreprises à appréhender trois éléments : les techniques utilisées par les hackers, les caractéristiques des entreprises qui ont été ciblées, et le comportement des hackers après avoir compromis les défenses d’une entreprise. Ces trois informations aident les équipes informatiques à tirer les conclusions qui s’imposent, à neutraliser plus efficacement toute nouvelle attaque et, au final, à renforcer la sécurité des entreprises et du grand public en général.

C’est la raison pour laquelle Fortinet a fondé la Cyber Threat Alliance. Ce programme mondial vise à partager les données sur les menaces informatiques avec d’autres fournisseurs de technologies de sécurité informatique afin d’agir en conséquence.

2. Dans l’ancien temps, ce qu’on appelait l’intelligence du combat n’était pas seulement de gagner mais de le faire avec facilité. 

L’essence de chaque entreprise est d’être rentable. Une attaque réussie porte atteinte à vos finances et à votre réputation et engendre des dépenses. Pour limiter l’impact, les entreprises doivent juguler les attaques le plus efficacement possible. Lors du sommet précité, Barack Obama a incité aux entreprises à mieux exploiter les technologies modernes. Je vous encourage à faire de même.

L’informatique a beaucoup évolué au cours des dernières décennies. Les réseaux sont devenus incroyablement complexes, alors que l’émergence du cloud, du mobile et des infrastructures agiles ont rendu la sécurité bien plus difficile à gérer. Les technologies en matière de sécurité utilisées il y a plusieurs années rencontrent des freins et doivent être remplacées.

La technologie doit évoluer afin de pouvoir tenir tête aux hackers. Nous sommes déjà capables de gérer intelligemment plusieurs facettes de la sécurité informatique. Mais ce qui nous attend est encore plus prometteur. Dans les années à venir, l’analyse comportementale deviendra la norme pour la sécurité des appareils. Les innovations en matière de science des données permettront aux équipes informatiques d’analyser les données du big data afin d’identifier les tendances en matière de sécurité. Les entreprises pourront ainsi prévoir les attaques, avant qu’elles ne soient enclenchées.

3. Si l’ennemi renforce son front, il affaiblira ses arrières, s’il renfloue ses arrières, il affaiblira son front.

S’il renforce son flanc gauche, il affaiblira son flanc droit et vice-versa. Et s’il se prépare en tous lieux, il sera partout en défaut. Il ne s’agit là que d’une piqûre de rappel pour chaque DSI. Protéger l’entreprise est une tâche difficile, car les hackers savent s’immiscer par les moindres brèches.

La faible visibilité sur les applications, les utilisateurs et les services réseau existants est une lacune majeure des entreprises de nos jours. D’autant que la situation s’aggrave. En premier lieu, compte tenu des applications qui prolifèrent au sein des environnements virtualisés. Mais aussi à cause d’un trafic qui évolue : autrefois cantonné au sein du centre de données, ce trafic s’affranchit aujourd’hui du périmètre de ce dernier et transite via ce centre de données.

De nouvelles technologies émergent pour renforcer la visibilité sur les applications au sein des environnements virtualisés. Tandis que ces technologies font leurs premiers pas sur le marché, chaque DSI doit comprendre la finalité de chacune de ces technologies et apprendre à gérer efficacement les données. Faute de quoi, les informations réellement pertinentes se retrouveraient noyées dans un océan de fausses alertes.

Les entreprises sont, bien sûr, également invitées à former leurs utilisateurs.

L’ignorance est un fléau en matière de sécurité informatique. Les individus ont souvent été le maillon faible de la sécurité des entreprises, ce qui explique leur statut de cible privilégiée par les cybercriminels. Les systèmes de sécurité les plus sophistiqués ne parviennent généralement pas à éviter les attaques utilisant des techniques d’ingénierie sociale. Dans le monde, les entreprises qui forment leurs utilisateurs via des programmes de sensibilisation constatent un fléchissement des attaques d’ingénierie sociale de type spear phishing. La formation et la sensibilisation des utilisateurs représentent des armes particulièrement efficaces pour les entreprises souhaitant maîtriser les risques de sécurité informatique. (Par Michael Xie – Fondateur, Président et Chief Technology Officer de Fortinet)

Base de données, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle

L’impact des clés et certificats non protégés

Un nouveau rapport de Ponemon pointe la perte de clientèle que subissent les entreprises françaises pour cause de clés et certificats non protégés.

Ponemon Institute et Venafi, éditeur de premier plan spécialisé dans la protection de nouvelle génération des infrastructures de confiance dont le slogan « The Immune System for the Internet™ » est à l’origine du concept de système immunitaire pour Internet, publient ce jour de nouvelles données sur l’incidence économique directe, pour les entreprises françaises, de la non-sécurisation des clés cryptographiques et certificats numériques dans l’étude 2015 Cost of Failed Trust Report: When Trust Online Breaks, Businesses Lose Customers.

Ces nouvelles données, tirées d’une étude menée auprès de 339 professionnels de la sécurité informatique en France, indiquent à quel point des clés et certificats non protégés et mal gérés peuvent entraîner une perte de clientèle, d’onéreuses interruptions d’activité, des défaillances d’audit et des failles de sécurité.

En début d’année, Ponemon Institute et Venafi ont publié le résultat des travaux de recherche menés sur les risques encourus par les entreprises mondiales face à des attaques basées sur des clés et certificats dans l’étude 2015 Cost of Failed Trust Report: Trust Online is at the Breaking Point. Les participants à cette enquête en France -mais aussi en Australie en Allemagne, au Royaume-Uni et aux Etats-Unis- ont unanimement admis que le système de confiance sur Internet a atteint son point de rupture. Des données inédites extraites de cette enquête sont à présent disponibles dans ce nouveau rapport qui montre à quel point les entreprises en France, et partout dans le monde, pâtissent des effets fâcheux de la non-sécurisation des clés et certificats.

En regardant les statistiques françaises

À partir du moment où la confiance en ligne est rompue, les entreprises perdent des clients – Près des deux tiers des sondés en France admettent avoir perdu des clients faute d’être parvenus à garantir la confiance en ligne instaurée par des clés et certificats, ce qui représente un coût moyen de 11 millions d’euros par interruption.

Les systèmes métiers stratégiques subissent des défaillances – En moyenne, chaque entreprise française a subi, depuis deux ans, trois arrêts intempestifs liés à des certificats. Ce nombre est nettement plus élevé que la moyenne mondiale qui est de deux arrêts intempestifs.

Les entreprises échouent aux audits – En moyenne, les entreprises françaises ont échoué à au moins deux audit SSL/TLS et à au moins deux audit SSH au cours des deux dernières années. Là encore, ce nombre est bien plus élevé que la moyenne mondiale qui elle est de un audit dans les deux cas.

« À partir du moment où les entreprises ne sécurisent ni ne gèrent correctement leurs clés et certificats, l’impact financier direct se traduit par une perte de clientèle et un manque à gagner », précise à DataSecurityBreach.fr Kevin Bocek, Vice President of Security Strategy and Threat Intelligence chez Venafi. « Dans leur activité, les entreprises sont toutes tributaires de la confiance instaurée par les clés et certificats, même si elles n’en sont pas conscientes. C’est pourquoi il est impératif que les équipes dédiées à la sécurité informatique et celles dédiées à l’opérationnel réalisent périodiquement des audits pour localiser la totalité des certificats et clés utilisés, établir les dates d’expiration, puis mettre en place des règles appropriées pour éviter le piratage de données, les arrêts intempestifs et les défaillances d’audits. ».

Depuis la banque en ligne et les applications mobiles jusqu’à l’Internet des objets, tout ce qui est basé sur IP fait appel à une clé et à un certificat pour établir une connexion digne de confiance, et cette dépendance vis-à-vis des clés et certificats ne fait que s’accentuer du fait du recours croissant au protocole SSL/TLS et des accès mobiles, WiFi et VPN. Elle accroît considérablement les risques en termes de disponibilité, de conformité et de sécurité, sachant que, dans ces domaines, l’importance des risques encourus n’est pas la même. Les risques liés à la sécurité sont presque huit fois plus importants que ceux liés à la disponibilité et à la conformité : ainsi, dans les deux ans à venir, le seul risque lié à la sécurité devrait peser 41 millions d’euros, contre 5 millions d’euros pour les risques conjugués de conformité et de disponibilité.

Interrogés sur les difficultés posées par la protection et la gestion des clés et certificats, 63 % de professionnels français de sécurité informatique affirment ignorer le nombre de clés en leur possession, l’endroit où elles se trouvent ou encore la façon dont elles sont utilisées. Encore une fois, ce chiffre est plus élevé que la moyenne mondiale établie à 54%. De même, 59% déplorent l’absence de règles et de correctifs pour les clés et certificats. Les entreprises se doivent impérativement de remédier à ces problématiques qui sous-tendent les risques de sécurité, de disponibilité et de conformité provoqués par des clés et certificats non sécurisés.

« Nous espérons que ce rapport aidera les équipes dirigeantes et celles en charge de la sécurité informatique à mesurer l’importance du risque majeur posé par des clés cryptographiques et certificats numériques non protégés et mal gérés », conclut Larry Ponemon, Chairman and Founder of The Ponemon Institute. « Les clés et certificats, largement déployés, sont essentiels à l’établissement de connexions dignes de confiance et à la sécurisation des activités. À l’évidence, les données figurant dans ce rapport sont symptomatiques d’une problématique de sécurité plus large : si vous ignorez où se trouvent vos clés et certificats, vous ne pouvez assurer leur suivi et êtes incapable d’automatiser leur cycle de vie ; en d’autres termes, vous ne parvenez tout simplement pas à les protéger. Raison pour laquelle, tôt ou tard, la confiance sur Internet est rompue. ».

Pour consulter ce rapport dans son intégralité : Venafi.com/BrokenTrust

Base de données, BYOD, Cloud, Cybersécurité, Entreprise, Fraude au président, Mise à jour, Patch, Social engineering

Prévisions en matière de menaces informatiques à l’horizon 2020

Les prévisions d’Intel Security fournissent également des perspectives précieuses aux entreprises dans le cadre de la définition de leurs stratégies de sécurité informatique à court et à long terme.

Le nouveau rapport d’Intel Security intitulé ‘McAfee Labs Threat Predictions Report’ prédit les principales tendances à anticiper en 2016 en matière de menaces informatiques. Il fournit également un aperçu prédictif unique de ce paysage jusqu’à l’horizon 2020 et livre les potentielles réponses de l’industrie de la sécurité informatique face à l’évolution des cyber-menaces.

« A l’image des joueurs de foot qui savent saisir les opportunités et anticiper le jeu, il est important que les entreprises puissent garder une longueur d’avance sur les tendances business et technologiques mais également sur l’environnement des menaces informatiques. Le rôle de l’industrie informatique est de les accompagner dans cette bataille en mettant à leur disposition des technologies performantes pour les soutenir dans leurs activités et leur permettre de comprendre à quels types de menaces elles seront confrontées demain », commente Vincent Weafer, Vice-Président de McAfee Labs d’Intel Security.

Les menaces à venir en 2016

L’éventail des risques à anticiper en 2016 s’étend des probables attaques de ransomware, aux risques d’attaques contre les véhicules connectés, en passant par des attaques contre des infrastructures, ou encore la vente de données volées, etc. Différents types d’attaques en matière de menaces sont à prévoir :

Matérielle. Les attaques sur tous les types de matériel et de firmware vont encore continuer l’année prochaine et se traduire par le développement et la croissance du marché noir liés aux outils d’exécution de ce type d’attaque. Les machines virtuelles seront également ciblées avec des rootkits de firmware.

Ransomware. L’anonymisation des réseaux et des modalités de paiement continuera à alimenter le risque de ransomwares. En 2016, un plus grand nombre de cybercriminels novices devrait exploiter les offres de Ransomware-as-a-Service et accélérer ainsi la croissance de ce marché.

Ciblées sur les accessoires connectés. Bien que la plupart des accessoires connectés stocke une quantité relativement faible de renseignements personnels, les plates-formes sur lesquelles fonctionnent ces devices pourront s’avérer la cible des cybercriminels afin d’en compromettre les smartphones associés. L’industrie devra s’atteler à la protection des potentielles surfaces d’attaques tels que les noyaux des systèmes d’exploitation, les logiciels de gestion de réseau et de WiFi, les interfaces utilisateur, la mémoire, les fichiers locaux et les systèmes de stockage, les machines virtuelles, les applications Web, les logiciels de sécurité et de contrôle d’accès.

Par des OS des salariés. Les entreprises devront continuer à rester vigilantes et à renforcer leurs mesures de sécurité via notamment la mise en place des dernières technologies de sécurité disponibles, l’embauche de personnel expérimenté pour assurer la protection de son IT et de ses données, et la définition de politiques de sécurité efficaces. En revanche, les hackers essayeront de nouveau de détourner ces mécanismes de protection en passant par les systèmes d’exploitation des salariés et en tirant profit notamment de la faible protection des systèmes qu’ils utilisent chez eux pour accéder aux réseaux de leur entreprise.

Services Cloud. La protection des services Cloud est encore souvent négligée par les entreprises. Cela devrait pousser les cybercriminels à profiter de la faiblesse, voire de l’inexistence, de certaines politiques de sécurité d’entreprises. Le Cloud rassemble une quantité croissante d’informations confidentielles d’entreprises, le vol des données stockées par ces services pourrait compromettre toute la stratégie d’une entreprise, y compris le développement de son portefeuille de produits, ses futures innovations, ses services financiers, les données de ses employés, etc.

Voitures. Les experts en sécurité continueront à étudier les potentielles menaces auxquelles sont exposés les systèmes d’exploitation des voitures connectées dépourvus des capacités de sécurité embarquée ou non conformes aux best practices des politiques de sécurité établies. Les fournisseurs de solutions de sécurité informatique et les constructeurs automobiles devront coopérer de manière proactive afin d’élaborer des directives, des normes et des solutions techniques pour protéger les surfaces d’attaques potentielles que représentent par exemple les unités de commande électronique (Engine Control Unit ou ECU) des systèmes d’accès du véhicule, les ECU relatifs au moteur et à la transmission, au système avancé d’assistance au conducteur, les systèmes de verrouillage du véhicule à distance, le télé-déverrouillage passif, le récepteur V2X, les clés USB, le diagnostic embarqué, les applications de type RemoteLink et l’accès smartphone.

Stockage de données volées. Les blocs d’informations personnelles qui permettent une identification sont aujourd’hui reliés entre eux dans de grandes bases de données, où l’ensemble des éléments volés font ainsi augmenter la valeur des dossiers compilés. L’année prochaine verra le développement d’un marché noir encore plus robuste qui offrira davantage d’informations personnelles (date d’anniversaire, adresse, etc.) associées à des identifiants en ligne et à des mots de passe.

Contre l’intégrité de système. Les attaques sélectives compromettant l’intégrité des systèmes et des données seront l’un des plus importants nouveaux vecteurs d’attaques. L’objectif de ces attaques consiste à saisir et à modifier des transactions ou des données en faveur des attaquants. Par exemple, un cybercriminel peut parvenir à modifier des paramètres de dépôt direct de versement de salaires pour verser l’argent sur son propre compte bancaire. En 2016, McAfee Labs prévoit une possible attaque contre l’intégrité de système dans le domaine financier, secteur dans lequel des millions de dollars pourraient être dérobés par des cybercriminels.

Partage de renseignements sur les menaces. Le partage de renseignements sur les menaces entre les entreprises et les fournisseurs de solutions de sécurité devrait croître rapidement. Des mesures législatives seront prises afin de faciliter les échanges d’informations entre les entreprises et les gouvernements. Le développement accéléré de best practices devrait favoriser l’identification de métriques permettant de mesurer l’amélioration des niveaux de protection.

Les prévisions à l’horizon 2020

La vision prédictive de McAfee Labs tend à identifier la manière dont les différents acteurs du cyber-crime vont évoluer, comment vont changer à la fois les comportements et les objectifs des attaquants, mais aussi de prédire la façon dont l’industrie répondra à ces défis au cours des 5 prochaines années.

Attaques sous l’OS. Alors que les applications et les systèmes d’exploitation seront de plus en plus protégés, les attaquants chercheront des faiblesses dans le firmware et le matériel informatique. Ce type d’attaque pourrait éventuellement offrir aux hackers le contrôle total des systèmes. En effet, ils seraient théoriquement en mesure d’accéder à un nombre illimité de ressources et de fonctionnalités de gestion et de contrôle au sein des systèmes.

Contournement de détection. Les assaillants chercheront à contourner les technologies de détection de cyber-menaces en ciblant de nouvelles surfaces d’attaques et en utilisant des méthodes d’attaques toujours plus sophistiquées. Cela signifie qu’il faudra dès lors anticiper des malwares sans fichier, des infiltrations cryptées, des malwares en mesure de contourner les sandbox, des exploits à distance des protocoles RSH et des protocoles de contrôle, ainsi que des attaques sous l’OS ciblant et exploitant les Master Boot Records (MBR), le BIOS et le firmware.

Appareils connectés : de nouvelles surfaces d’attaques. D’ici 2020, ces dispositifs devraient atteindre un niveau de pénétration du marché assez conséquent pour attirer les cybercriminels. Les fournisseurs de technologie et de solutions verticales seront amenés à collaborer afin de définir des conseils de sécurité pour les utilisateurs et des best practices pour l’industrie. De plus, les fabricants d’objets connectés chercheront, de plus en plus, à intégrer les mécanismes de contrôle de sécurité dès la phase de conception de leurs produits.

Pénétration du cyber-espionnage dans les entreprises. Jusqu’alors, les logiciels de cyber-espionnage ciblaient davantage le secteur public. McAfee Labs prévoit que, d’ici 2020, le marché noir des malwares et des services de piratage pourrait rendre possible leur utilisation pour exécuter des attaques contre les entreprises afin de collecter des renseignements financiers et de manipuler les marchés en faveur des attaquants.

Enjeux et opportunités de la confidentialité. Le volume et la valeur des données personnelles sur le Web vont continuer de croître. Pour répondre à la menace constante du vol de ces informations, de nouvelles réglementations sur la confidentialité vont être élaborées et mises en oeuvre à travers le monde. En parallèle, les utilisateurs devront commencer à exiger des compensations pour le partage de leurs données. Ce mouvement donnera probablement naissance à un nouveau marché d’« échange de valeur» qui pourrait profondément changer la façon dont les individus et les entreprises gèrent leurs vies privées numériques.

Réponse de l’industrie de la sécurité. Les industriels développeront des outils plus efficaces pour détecter et remédier aux attaques sophistiquées. Les nouvelles technologies devront s’appuyer sur une analyse de comportement prédictive pour repérer les activités irrégulières et détecter les comptes compromis. La protection des systèmes deviendra plus rapide et efficace grâce au partage des renseignements sur les menaces entre les parties prenantes. La sécurité intégrée avec le Cloud va améliorer la visibilité et le contrôle des systèmes et des données. Finalement, les technologies de détection et de correction automatiques assureront la protection des entreprises contre les attaques les plus courantes, en permettant aux responsables de sécurité informatique de se concentrer sur les incidents de sécurité plus critiques.

« Afin d’avoir une longueur d’avance sur des menaces en constante évolution et pourvoir devancer ses adversaires, l’industrie informatique a besoin de s’appuyer sur les mêmes ‘armes’ que les cybercriminels. Il lui faudra ainsi associer le partage des renseignements liés aux cyber-risques entre ses différents acteurs à la puissance technologique, dont le Cloud computing et l’agilité de plates-formes, mais aussi aux compétences humaines », conclut Vincent Weafer. « Ainsi, pour gagner des batailles contre les futures menaces, les entreprises doivent avoir une meilleure visibilité et une meilleure connaissance des risques potentiels. Elles doivent également être en mesure de détecter et de répondre plus rapidement et d’utiliser pleinement à la fois les ressources humaines et techniques à leur disposition. »

Chiffrement, cryptage, Cybersécurité, VPN

Cookie malveillant découvert dans une centaine d’importants sites Internet

3 commentaires

Des experts en sécurité informatique découvre une étonnante campagne de traçage des internautes à partir d’un cookie malveillant.

Voilà qui est interessant. Des experts en sécurité informatique de la société FireEye ont découvert une infiltration d’ordinateurs à partir de cookies, les petits fichiers installés dans nos ordinateurs par les sites Internet et autres régies publicitaires. Si un cookie dans un site Internet permet de gérer, par exemple, son accès à un forum, options premium… il permet aussi aux régies publicitaires de suivre le consommateur et lui proposer les annonces les plus ciblées possibles. Des pirates informatiques ont bien compris, et cela depuis longtemps, l’intérêt d’un tel outil numérique.

FireEye explique que se « profilage » viserait chefs d’entreprise, diplomates et autres chercheurs. Le cookie, et le script qui gère la chose, récupère l’IP, le navigateur des visiteurs, les sites consultés, la version de Microsoft Office, Flash Player et Java utilisés. Bref, les malveillants cherchent leurs cibles à infiltrer comme ont déjà pu le faire des pirates Russes (Russian Doll) et Chinois (Clandestine Wolf). Ca sent les 0days en cours d’utilisation un tel environementage 2.0. Parmi les sites infiltrés et injecteurs, des écoles, des ambassades ou encore des administrations en charge des passeports.

Pour se protéger de ce genre de traçage, n’hésitez pas à utiliser, entre autres, un VPN et des outils qui permettent de gérer les cookies. L’outil Freedome de F-Secure permet, par exemple, de cacher sa présence sur un site Internet, de changer son IP, de contrôler les sites trackeurs et bloquer les espaces
potentiellement malveillants. DataSecurityBreach.fr vous propose de tester gratuitement Freedome, et cela durant 1 mois. Il vous suffit de rentrer le code promo suivant dans le logiciel une fois installé : r67anej

Android, Chiffrement, cryptage, Cybersécurité, Mise à jour, Patch, Smartphone, Téléphonie

Google renforce son action pour le chiffrement des courriels

Google a décidé de resserrer la sécurité de ses utilisateurs en avertissant de l’arrivée d’un courriel non chiffré… mais ne corrige pas un bug plutôt gênant.

Google a ajouté une nouvelle fonctionnalité à Gmail qui a pour mission d’informer les utilisateurs chaque fois qu’un courriel non chiffré atterrit dans votre boîte de réception. Cette nouvelle fonction est destinée à freiner les attaques en ligne qui peuvent viser des fournisseurs de messageries. Pour développer cette fonctionnalité, Google a signé un partenariat avec les Universités du Michigan et de l’Illinois. Une sécurité qui résulte d’une recherche sur l’évolution de la sécurité des courriers électroniques depuis 2013.

Pendant ce temps…
Depuis les paramètres de Gmail via un ordinateur, une chercheuse en informatique à trouvé le moyen de modifier le nom qui apparaîtra dans le courriel envoyé. Pour prouver sa découverte, Yan Zhu, la chercheuse, a modifié son nom d’affichage en yan «  »security@google.com ». Les guillemets supplémentaires dans son identité ont provoqué un bug de traitement de l’information. Un moyen qui pourrait piéger des internautes pensant recevoir un courriel de Google, par exemple.

Le bug ne vise que l’application Android. Yan Zhu a alerté l’équipe de sécurité Google. Cette dernière n’a pas estimé qu’il était important de corriger.

Cybersécurité, Facebook, ID, Identité numérique, Particuliers, Social engineering

Photo Magic : Facebook va s’inviter dans vos photos

Un commentaire

Facebook va lancer l’application Photo Magic. Mission de l’outil, aigrener les photos de votre smartphone pour retrouver vos amis.

Photo Magic Facebook est testé, en ce moment, en Australie. Sa mission, regarder l’ensemble des photos sauvegardées dans votre téléphone portable et retrouver vos amis Facebook. Une fois trouvées, les images sont classées et l’application vous alerte qu’il vous est possible de les partager, via Messenger. David Marcus, directeur de la messagerie de Facebook, affirme qu’après la phase de test de Photo Magic, l’application sera proposée dans quelques jours aux États-Unis.

Une nouvelle « option » sécurité, qui semble dédiée à cette application, est aussi apparue dans les Facebook Français. L’application Moments, sortie en juin 2015, utilise la technologie de reconnaissance faciale avec plus de 80 % de précision. L’outil est capable de vous reconnaître, même si votre visage n’est pas complet. Les utilisateurs pourront empêcher Photo Magic de les identifier en cliquant simplement sur l’option présente dans l’administration de son compte.

Chiffrement, cryptage, Cybersécurité, Justice, Logiciels, Tor

TOR a-t-il été piraté par le FBI ?

Des documents judiciaires utilisés par le gouvernement américain à l’encontre de réseaux de BlackMarket font référence à un groupe de recherche universitaire qui aurait aidé à trouver une faille dans TOR. Le FBI réfute les accusations.

Le service de chiffrement Tor a été conçu pour garder ses utilisateurs anonymes, mais l’année dernière, une faille aurait été découverte. Il y a quelques jours, les informaticiens derrières TOR ont annoncé que cette faille était plausible. Le groupe affirme que Tor a été « infiltré » par le FBI, avec l’aide de chercheurs de l’Université Carnegie Mellon. Ces derniers auraient été payée 1 million de dollars pour leur travail. Le FBI a réfuté ces accusations.

Dans son témoignage, le Projet Tor souligne que l’attaque ayant visé son service a débuté en février 2014. Plus d’une centaine de nouveaux relais sur le réseau Tor avaient été créés à la fin du mois de janvier, et avaient été utilisés jusqu’au 4 juillet 2014. Une infiltration qui aurait permis de collecter des informations. A l’époque, le Projet TOR ne connaissait pas encore le niveau de données collectables. Seule chose certaine pour l’équipe, c’était le Computer Emergency Response Team Carnegie Mellon (CERT) qui était derrière cette « visite ».

L’année dernière, lors du Black Hat de Las Vegas, des chercheurs du Carnegie Mellon devaient expliquer comment, avec du matériel n’ayant pas coûté plus de 3.000 dollars, ils avaient réussi à pirater le réseau TOR. Une conférence annulée au dernier moment. Le projet Tor dit que les chercheurs en question ont cessé de répondre à leurs mails.

TOR accuse le FBI, à la suite de la lecture des documents utilisés par le gouvernement, et le Département de la Justice US, à l’encontre de la boutique de blackmarket Silk Road 2.0. Son créateur, Brian Richard Farrell, aka DoctorClu, avait été arrêté en janvier 2015, et jugé. Le document indique que Farrell avait été identifié grâce à une information obtenue par « un institut de recherche universitaire. » Lors de la perquisition, le mandat judiciaire indiquait, dans les mots de l’agent spécial Michael Larson, que la source du FBI avaient permis de trouver « les adresses IP fiables Tor et des services cachés tels que Silk Road 2.0 ». Des adresses collectée entre Janvier 2014 et Juillet 2014, lors de l’opération Onymous.

L’opération Onymous a été lancée, en 2014, contre des boutiques du blackmarket par Europol, Eurojust, le FBI, le département américain de la Sécurité intérieure, et plusieurs autres services de police. 17 vendeurs et administrateurs de Silk Road 2.0 seront arrêtés, 1 million de dollars US, en Bitcoin, seront saisis.

Cybersécurité, Logiciels, Microsoft, Mise à jour, OS X, Patch

Patch Tuesday – Novembre 2015

Retour à la normale pour le Patch Tuesday de Novembre 2015. Douze bulletins concernent un large éventail de produits, depuis Internet Explorer (MS15-112) jusqu’à Skype (MS15-123). Les six petits bulletins du mois dernier étaient une anomalie probablement due aux vacances d’été. La différence marquée entre les patches pour Internet Explorer et pour Edge, en revanche, n’est pas une anomalie mais le fruit d’une ingénierie sérieuse de la sécurité.

Manifestement plus sécurisé qu’Internet Explorer, Edge s’avère être un puissant choix de navigateur Internet si vos utilisateurs peuvent s’en servir pour exécuter toutes leurs applications métier.

Pour le classement des patchs, le cru de ce mois comprend un correctif pour une vulnérabilité connue fournie dans le bulletin critique MS15-115 qui résout sept vulnérabilités dans Windows. Deux des vulnérabilités se trouvent dans le sous-ensemble de polices, ce qui les rend exploitables à distance via la navigation Web et la messagerie. Elles affectent toutes les versions de Windows, y compris Windows 10 et RT. Ce mois-ci, le bulletin MS15-115 figure en haut de la liste.

Vient ensuite MS15-112 pour Internet Explorer, avec 25 correctifs dont 23 pour des vulnérabilités critiques à base d’exécution de code à distance (RCE). Le vecteur d’attaque est une page Web, très courante, malveillante. Les cybercriminels lancent les attaques en exploitant des vulnérabilités au sein de pages Web par ailleurs anodines et en prenant le contrôle du contenu des pages dans lesquelles ils insèrent des liens invisibles qui pointent vers leurs pages d’attaque basées sur des kits d’exploits commerciaux. Ces kits concernent essentiellement des vulnérabilités récentes au sein de navigateurs et de plug-ins (Flash étant choisi dans 80% des cas selon une récente enquête de Recorded Future) et s’enrichissent de nouveaux exploits quelques jours seulement après la publication d’une vulnérabilité.

Les attaques via les navigateurs et la messagerie sont si fréquentes que le Centre pour la sécurité Internet (CIS) a revu sa liste des 20 contrôles de sécurité critiques et ajouté un contrôle dédié aux navigateurs/à la messagerie ayant une priorité de niveau 7, ce qui le positionne devant les défenses classiques contre les codes malveillants concernées par le contrôle 8.

Quoi qu’il en soit, le MS15-112 doit être déployé le plus vite possible.

Le suivant sur la liste est le bulletin de sécurité MS15-116 qui résout sept failles sous Microsoft Office. Cinq de ces vulnérabilités peuvent être exploitées pour prendre le contrôle du compte de l’utilisateur qui ouvre le document malveillant et permettre ainsi une exploitation à distance. Cet accès permet de contrôler suffisamment la machine pour lancer un certain nombre d’attaques, notamment de type Ransomware. Cependant, l’attaquant peut l’associer à une vulnérabilité locale dans le noyau Windows pour compromettre totalement la machine et en prendre pleinement le contrôle afin d’y installer de nombreuses backdoors.

Les deux autres bulletins critiques concernent Edge Browser (MS15-113) et le Journal Windows (MS15-114). Ils doivent être appliqués le plus vite possible, ne serait-ce que pour votre machine bénéficie de la toute dernière mise à niveau.

Tous classés comme importants, les autres bulletins doivent être déployés dans votre cycle de patch usuel:

  • MS15-118 concerne .NET et corrige trois vulnérabilités, dont une permettant d’exécuter du code pendant que l’utilisateur visite un site Web (Cross Site Scripting). Ces vulnérabilités sont souvent exploitées pour dérober les informations de la session de l’utilisateur et se substituer à ce dernier. Selon l’application concernée, les conséquences peuvent être lourdes. En effet, l’attaquant peut ainsi accéder à un compte de niveau Administrateur associé à votre application Web.

  • MS15-119 résout une vulnérabilité d’élévation de privilèges dans la bibliothèque de sockets Windows présente dans toutes les versions dont Windows 10.

  • Quant au bulletin MS15-117, il corrige une vulnérabilité au sein du composant réseau NDIS et qui affecte uniquement les systèmes plus anciens (Vista, Windows 7 et Server 2008).

  • MS15-120, MS15-121, MS15-122 et MS15-123 corrigent des failles uniques dans IPSEC, SChannel, Kerberos et Skype pouvant être exploitées par des dénis DoS, des attaques Man In The Middle ainsi que par des contournements de chiffrement.

Dernier point et non des moindres, Adobe a également publié une mise à jour pour Adobe Flash. APSB15-28 résout plusieurs vulnérabilités critiques permettant à un attaquant d’exécuter du code dans le contexte de l’utilisateur. Sachant que Flash est cette année une cible favorite des attaquants, n’oubliez pas de le mettre à jour sur vos machines clientes. (Analyse par Wolfgang Kandek, CTO , Qualys, Inc. (wkandek)

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données

Fuite de données : Elle est pas belle ma torpille ?

La télévision russe filme et diffuse un document top secret sur une nouvelle arme nucléaire russe, la torpille Status-6.

Les boulettes, à la télévision, il y en a souvent. Mots de passe, données sensibles. Les militaires russes viennent de faire très fort. Lors d’un reportage diffusé par les chaînes gouvernementales NTV et Pervy Kanal, un plan de coupe dans un reportage montre un amiral lire une cahier contenant des informations top secrètes sur des torpilles baptisées Status-6. Mission de ces armes marines, contaminer d’importantes zones (des ports, ndr) rendues inutilisables par les radiations.

Poutine montre les crocs ou n’est-ce qu’une « fuite » permettant une désinformation contrôlée par le gouvernement Russe ?

Pour la rédaction de Data Security Breach, nous penchons pour le second cas. Comment peut-on croire que Poutine, ancien du KGB, son service de communication et son contrôle total des medias locaux laissent passer un plan serré, fixe et net. Soit Status-6 existe vraiment (s’agit-il de la torpille drone Kanyon ? NDR), soit la blague est efficace. En attendant, le nouveau règlement du Kremlin indique que la presse n’a plus le droit de filmer autre chose que le Président Poutine lors de réunion. Un moyen de renforcer le fait qu’il s’agisse bien d’une fuite non voulue ?

Cybersécurité, Justice, loi

L’Europe veut punir le simple fait de fournir un lien vers du contenu protégé

Pour faire payer les moteurs de recherches qui diffusent des liens vers des contenus illicites ou protégés par les droits d’auteurs, l’Union Européenne souhaite sanctionner les liens vers des contrefaçons.

La député européenne Julia Reda, membre du Parti Pirate, vient d’expliquer sur son blog que l’Union Européenne serait en train de se pencher sur un nouveau moyen de faire disparaître de la toile les liens renvoyant vers des contrefaçons de films, mp3, … mais aussi d’articles de presse protégés par le droit d’auteur.

Bref, le moindre lien vers un contenu protégé par le droit d’auteur pourrait être sanctionné par la justice. Cette loi, comme le précise Huse in writting a aussi pour mission de faire payer Google et compagnie dès que les moteurs de recherche indexent des contenus protégés, comme des articles de presse. Imaginez, un blog, qui diffuse automatiquement (ou non) des liens vers des articles. Cette loi Européenne pourrait sanctionner le blogueur. « Cela ouvre la voie à une censure généralisée et sans frontières. » indique AHW.

On va rire quand Google, en réponse, ne référencera plus aucun article de presse. Cette proposition législative doit être présentée au printemps 2016. (Ipkitten)

Chiffrement, cryptage, cryptolocker, Cybersécurité, Entreprise, Fuite de données, Logiciels, Paiement en ligne

1 spam sur 4 est européen

L’entreprise Proofpoint vient de publier son rapport trimestriel sur les menaces cyber (« Quarterly Threat Report ») qui étudie les attaques, tendances et transformation aperçues dans le paysage des risques informatiques sur la période de juillet à septembre 2015.

Dans ce rapport, on apprend que l’Union européenne génère le plus de spams à travers le monde (25,75 %) et, au sein de l’UE, l’Allemagne (3,2 %). Les Etats-Unis demeurent le pire pays globalement (11,46 % du total mondial). Les auteurs d’attaques très ciblées continuent de privilégier le courriel comme vecteur mais les réseaux sociaux ne cessent de gagner en importance. Par exemple, nous avons récemment vu des cybercriminels exploiter les demandes de service client des réseaux sociaux via Twitter.

Les campagnes diffusant le cheval de Troie bancaire Dridex ont éclipsé les autres malwares en volume et innovent constamment en matière de formats de pièces jointes, de modèles de documents ou encore de techniques de dissimulation et d’infection. Même si des efforts de lutte contre Dridex ont été signalés au trimestre précédent, cela n’a guère eu pour effet un recul de son activité sur le long terme. L’arrestation, début septembre, d’un membre du groupe à l’origine de Dridex a certes causé une pause dans cette activité mais celle-ci est repartie de plus belle, accompagnée rapidement de nouvelles formes de malware, illustrant de manière éclatante la résilience et la capacité d’adaptation des menaces.

« Angler » (Axpergle/Bedep) domine la scène des kits d’exploitation des vulnérabilités, où quatre autres acteurs (Neutrino, Nuclear, Magnitude et RIG) représentent l’essentiel du reste de ce type d’activité. Angler est connu, comme le montre notre capture écran, comme étant un grand acteur des vagues de ransomware de la planète web.

Base de données, Cybersécurité, Entreprise, Fuite de données, Social engineering

L’enseigne de grande distribution Wal-Mart se fait pirater les photos de ses clients

L’enseigne de grande distribution WalMart ferme son centre de photographie en ligne après la découverte d’une violation de données. Des données clients ont bien été volées.

L’enseigne Wal-Mart, géant américain de la grande distribution, vient de confirmer une information de DataSecurityBreach.fr diffusée en juillet 2015. Le problème avait découvert dans l’une des filiales canadiennes de l’entreprise, Wal-Mart Canada’s Online Photocentre. Il aura fallu 5 mois à WalMart pour indiquer que les données de ses clients, passant par sa filiale dédiée aux développements de photographie, avaient été très certainement volés. Une attaque qui aura durée entre juin 2014 et Juillet 2015.

Dans un communiqué de presse datant du 4 novembre, WalMart a déclaré que son enquête aurait démontré qu’un tiers non autorisé avait utilisé un malware sur certains des serveurs de son partenaire pour mettre la main sur les données de ses clients. « A ce stade de l’enquête, nous ne sommes pas en mesure de confirmer si des renseignements personnels ont potentiellement été recueillies par le code malveillant« .

Se rendre compte de l’attaque un an après le début de cette dernière et mettre 5 mois pour en parler, autant dire que leur enquête n’a pas fini de faire sourire !

Chiffrement, Cybersécurité, Espionnae, Facebook, ID, Identité numérique, Justice, loi, Particuliers

Facebook ne doit plus suivre les Belges à la Trace

Un tribunal a donné 48 heures à Facebook pour arrêter le suivi de ses utilisateurs Belges.

La CNIL Belge [Commission de la vie privée belge], par le biais d’un tribunal local, vient de gagner une bataille intéressante face à Facebook. Le portail communautaire doit stopper le suivi des internautes du royaume. Fini le cookie inquisiteurs qui dure 5 ans. Facebook a interjeté l’appel de la décision.

Le tribunal belge a déclaré que le géant américain doit obtenir le consentement des internautes afin de recueillir les données collectées par le cookie. Pour les juges, ce cookie et son contenu sont considérés comme des données personnelles. Facebook risque 250.000 euros d’amende, par jour, si le problème n’est pas corrigé. Facebook a précisé qu’il « utilisait le cookie DATR pendant plus de cinq ans pour garder Facebook sécurisé pour 1,5 milliard de personnes à travers le monde« .

Les plus bidouilleurs garderont un petit sourire aux lèvres en se souvenant d’une méthode du « cookie stealing » permettant de prendre la main sur un compte Facebook en interceptant le précieux document. Il suffisait alors de Wireshark et cookie injector pour devenir Kalif à la place du Kalif. Il fallait, certes, être sur le même réseau que la cible, mais soyons honnête, un détail… que ce détail.

Android, Base de données, Cybersécurité, Entreprise, Fuite de données, ios, Mise à jour, OS X, Sécurité, Smartphone, Téléphonie, Windows phone

Une entreprise sur dix possède au moins un terminal infecté ayant accès aux données d’entreprise

Les données contenues dans le rapport « L’état de la sécurité des applis » de MobileIron révèlent également la liste des principales applis grand public blacklistées.

À l’heure où les collaborateurs choisissent les smartphones et les tablettes pour travailler, les applis mobiles deviennent des outils professionnels indispensables. Suite aux récentes attaques mobiles telles que XcodeGhost, Stagefright, Key Raider et YiSpecter, une quantité sans précédent de données professionnelles mobiles s’est vue menacée. MobileIron a publié aujourd’hui de nouvelles statistiques relatives à l’«état de la sécurité des applis», qui comprennent des informations concernant la manière dont les entreprises utilisent et protègent leurs applis mobiles.

« Dans la mesure où de plus en plus de processus commerciaux sont mobilisés, les hackers s’intéressent aux applis mobiles afin de profiter de l’incapacité des entreprises à prévenir et à détecter les menaces mobiles » a déclaré à DataSecurityBreach.fr Mike Raggo, directeur de la recherche sur la sécurité chez MobileIron. « Afin de protéger les données sensibles contre les menaces de demain, les entreprises doivent repenser leur approche en matière de sécurité en adoptant une architecture mobile fondamentalement différente. »

Principales applis grand public blacklistées
Les collaborateurs sont susceptibles de stocker des documents professionnels sur des applis personnelles de synchronisation et de partage de fichiers d’entreprise (EFSS), ce qui contribue à placer des données professionnelles sensibles en dehors du cadre de la protection du service informatique. Cinq des dix premières applis grand public blacklistées par les clients de MobileIron sont des applis EFSS.

1. Dropbox (EFSS)
2. Angry Birds
3. Facebook
4. OneDrive (EFSS)
5. Google Drive (EFSS)
6. Box (EFSS)
7. Whatsapp
8. Twitter
9. Skype
10. SugarSync (EFSS)

« Les versions grand public des applis EFSS effraient les départements informatiques dans la mesure où des données professionnelles sont susceptibles d’être égarer. Heureusement, les versions d’entreprise d’un grand nombre de ces applis sont disponibles, » déclare à Data Security Breach Raggo. « Les entreprises sont en mesure d’offrir à leurs collaborateurs l’expérience qu’ils désirent tout en protégeant leurs données d’entreprise, mais ceci exige une transformation de l’état d’esprit qui consiste à passer de la restriction à l’autorisation. »

Les applis mobiles sont menacées
Dans la mesure où le travail évoluera dans le futur de plus en plus vers la mobilité, il en sera de même pour le détournement des données et la cybercriminalité. Les récentes attaques ont ciblé les applis et les systèmes d’exploitation mobiles afin d’exfiltrer des données sensibles, et de nombreuses entreprises n’étaient pas préparées. Par exemple, les applis iOS infectées par le logiciel malveillant XcodeGhost peuvent collecter des informations relatives aux terminaux puis crypter et charger ces données vers des serveurs gérés par des agresseurs. La société de détection de logiciels malveillants FireEye a identifié plus de 4 000 applis infectées sur l’App Store, tandis que la société de gestion des risques relatifs aux applis mobiles Appthority a révélé que la quasi-totalité des organisations détenant au moins 100 terminaux iOS possédaient au moins un terminal infecté.

Le défi relatif aux terminaux et aux applis mobiles réside dans le fait que l’utilisateur – et non l’administrateur informatique – exerce généralement le contrôle. Les terminaux deviennent non conformes pour diverses raisons. Par exemple, un terminal se révélera non conforme dès lors que l’utilisateur procédera à un jailbreak ou à un root de son terminal, si le terminal fonctionne sur une ancienne version du système d’exploitation que le département informatique ne prend plus en charge, ou dès lors que l’utilisateur aura installé une appli que le département informatique a blacklisté. MobileIron a révélé les éléments suivants :

Dans ces différents cas, bien que les technologies traditionnelles de sécurité ne soient pas en mesure d’entreprendre les actions nécessaires pour protéger les données d’entreprise, MobileIron est en mesure de le faire. Dès lors qu’un terminal se révèle non conforme, MobileIron entreprend automatiquement plusieurs actions destinées à protéger les informations d’entreprise, notamment en envoyant une alerte à l’utilisateur, en bloquant l’accès des terminaux et applis aux ressources d’entreprise, ou en supprimant tous les courriers électroniques et les applis d’entreprise.

« Les organisations d’aujourd’hui possèdent un ensemble beaucoup trop divers de technologies de sécurité, qui sont rarement pleinement intégrées entre elles. Même lorsqu’elles sont intégrées, elles incluent rarement des informations relatives aux terminaux et aux applis mobiles, » a poursuivi Raggo. « La bonne nouvelle pour les entreprises utilisant une solution de gestion de la mobilité d’entreprise c’est qu’elles disposent des informations dont elles ont besoin sur l’état des terminaux et des applis mobiles pour protéger leurs informations d’entreprise. »

Principales raisons pour lesquelles les terminaux deviennent non conformes
Les entreprises recourant à des solutions de gestion de la mobilité d’entreprise (GME) telles que MobileIron peuvent établir des politiques destinées à garantir que les collaborateurs appropriés bénéficient de l’accès mobile approprié à partir du terminal approprié. Si les administrateurs informatiques ne procèdent pas à l’automatisation de la mise en quarantaine des terminaux dès lors qu’ils se révèlent non conformes, les données d’entreprises sont susceptibles d’être menacées.

Voici les principales raisons pour lesquelles un terminal devient non conforme aux politiques d’entreprise :
Le terminal n’est pas mis en contact avec la plateforme de GME.
L’administration a été désactivée afin que la solution de GME ne puisse plus intervenir à distance sur un terminal.
Le terminal n’est pas conforme aux règles qui bloquent, exigent ou autorisent une appli particulière.

Il est temps de repenser la sécurité mobile
Dans la mesure où des cyber-agresseurs utilisent des logiciels malveillants mobiles pour voler des données professionnelles sensibles, les entreprises doivent envisager des solutions de protection contre la perte de données dans le cadre de leurs stratégies de sécurité. Un seul terminal infecté peut rendre les entreprises vulnérables à des attaques coûteuses.

Cybersécurité, Firefox, Logiciels, Microsoft, Mise à jour, Patch

Firefox et la navigation privée encore plus avancée

Mozilla a dévoilé la protection contre le pistage au sein de la Navigation privée dans Firefox. Cette fonctionnalité a été développée afin d’offrir aux utilisateurs plus de choix et de contrôle sur leur expérience du Web.

Avec la protection contre le pistage au sein de la Navigation privée, Mozilla permet de garder le contrôle sur les données de navigation récoltées par les sites tiers. Aucun autre navigateur (Chrome, Safari, Microsoft Edge ou Internet Explorer) ne propose un mode de navigation privée permettant de limiter les données que les sites tiers récupèrent.

Navigation privée avec protection contre le pistage
Le mode de navigation privée a été ajouté au navigateur Firefox pour que les internautes gardent le contrôle sur leur confidentialité, en permettant de ne pas enregistrer de données de navigation à la fermeture. Cependant, lorsque vous naviguez en ligne, vous partagez souvent sans le savoir des informations vous concernant avec des sites tiers indépendants des sites que vous visitez, et ce même en utilisant la Navigation privée, quel que soit le navigateur utilisé. Jusqu’à aujourd’hui.

La navigation privée avec protection contre le pistage au sein de Firefox pour Windows, Mac, Android et Linux bloque les contenus tels que les publicités, les outils analytiques et autres boutons de partage sur les réseaux sociaux, pouvant enregistrer votre comportement en ligne à votre insu. Cette nouvelle version de Firefox inclut également un nouveau centre de contrôle rassemblant dans la barre d’adresse les paramètres de sécurité et de confidentialité. Étant donné que les pages web peuvent subir quelques dysfonctionnements lorsque vous bloquez des éléments de pistage, il est possible de désactiver facilement la protection contre le pistage dans la navigation privée pour un site particulier, en passant par le centre de contrôle.

Nouvelle version de Firefox Developer Edition
Mozilla a dévoilé également de nouvelles fonctionnalités au sein de Firefox Developer Edition, telles que des outils avancés pour l’édition d’animations. Mozilla présente DevTools Challengers, un tutoriel qui repose sur la pratique et qui aidera les designers à pleinement tirer parti de ces nouveaux outils d’édition. Grâce à ces outils, les développeurs auront moins l’impression d’écrire un script et plus de créer un film.

Cybersécurité

Les DSI se sentent plus vulnérables aujourd’hui qu’ils ne l’étaient en 2010

L’étude met en avant le sentiment de prises de risques personnels ressentis par les DSI lors d’une prise de décision.

L’étude ‘Moments that Matter’, commanditée par Colt, révèle qu’aujourd’hui en étant intégrés à une direction informatique de plus en plus stratégique, près de 76 % des responsables informatiques européens interrogés estiment se mettre plus en danger lors d’une prise de décision qu’il y a 5 ans. Elle indique également que 77 % des DSI soulignent le fait que les instants décisifs dans la vie de l’entreprise ont davantage d’impacts sur l’évolution de leur carrière que les activités du quotidien. Cela influe notamment sur le sentiment de vulnérabilité que les responsables informatiques ressentent lors de la criticité de certaines prises de décision.

Risque personnel VS risque entrepreneurial
L’étude ‘Moments that Matter’ montre également une divergence de points de vue de la part des DSI entre vie personnelle/vie professionnelle et les risques de l’entreprise. Travailler à un changement IT est plus important et impactant pour la société que pour la carrière du DSI. Le risque est estimé à hauteur de 35 % pour l’entreprise contre 28 % à titre personnel ; Sélectionner une équipe performante et des compétences est considéré comme la clé d’un succès personnel dont la hauteur du risque s’élève à 39 % pour la société contre 48 % à titre personnel ; Communiquer en interne et en externe avec les parties prenantes est sous-évaluée. Le taux de risque associé est estimé à 27 % pour la société contre 19 % pour l’individu.

Par ailleurs, 73 % des DSI consultés admettent que le risque personnel qu’ils ressentent est atténué dès lors qu’ils travaillent avec une équipe en toute confiance. Ils évoquent également l’importance de la confiance dans le cadre de leurs collaborations avec des fournisseurs extérieurs. Un partenaire comprend les impacts d’une interruption de service et va agir en conséquence, prouvant ainsi sa réelle valeur lorsque les choses tournent mal. Pour 85 % des DSI interrogés, les considérations techniques d’un prestataire sont parfois obligatoires.

« La digitalisation des entreprises et les mutations de l’informatique vont indéniablement affecter le sentiment de risque personnel éprouvé par les responsables informatiques », souligne Carl Grivner à DataSecurityBreach.fr, Carl Grivner, EVP Network services chez Colt. « Dans la mesure où ils jouent dorénavant un rôle central dans la réussite globale de l’entreprise, les DSI savent qu’ils sont attendus par le Comité de Direction lors des phases critiques et que la gestion de ces événements clés sera déterminante de leur succès. Plus de responsabilité implique également plus de vulnérabilité pour eux », ajoute Carl Grivner. « Ils doivent être en mesure d’innover et de faire face à de nouveaux défis qui peuvent impacter, positivement ou négativement, leurs carrières. La constitution d’une équipe performante et le travail avec des fournisseurs de confiance devraient leur permettre de jouer un rôle majeur avec des décisions plus importantes pour leurs carrières. »

A propos de la méthodologie
Cette étude s’appuie sur la consultation en août 2015 de 301 décisionnaires dans le secteur IT comprenant principalement des responsables informatiques en France, en Allemagne et au Royaume-Uni. Les entreprises interrogées ont un chiffre d’affaires compris entre 10 millions et 5 milliards d’euros, avec une majorité de sociétés oscillant entre 100 et 500 millions de chiffre d’affaires. Cette étude a été réalisée par Loudhouse, une agence indépendante basée à Londres (Royaume-Uni).

Argent, Banque, Cyber-attaque, Cybersécurité, escroquerie, Justice, Particuliers, Phishing, Piratage, Social engineering, Vie privée

La chasse aux phishings est ouverte

D’après le Ministère de l’Intérieur, 2 millions de Français touchés par un phishing en 2015.

Pour renforcer la lutte contre le phishing, le Ministère de l’Intérieur a signé ce jour, une convention de partenariat avec l’association Phishing Initiative, soutenue par Lexsi et Microsoft France. Cet accord vise à mutualiser les informations entre sa propre plateforme, PHAROS, et celle de Phishing Initiative qui a identifié de son côté plus de 150 000 adresses uniques de sites frauduleux visant la France depuis sa création en 2011.

Une convention commune pour renforcer la lutte contre le Phishing
En signant la convention de lutte anti-phishing, Catherine Chambon, sous-directeur de la lutte contre la cybercriminalité et Jérôme Robert, président de Phishing Initiative souhaitent renforcer la sensibilisation des internautes aux risques liés à cette malveillance majeure. « La complémentarité de nos actions rend évidente la nécessité d’un rapprochement et d’une coordination entre nos deux organisations », explique Jérôme Robert. « PHAROS et Phishing Initiative opèrent en effet tous deux des plateformes de signalement à destination du grand public. Il est par conséquent possible d’instaurer des conditions de partage de l’information de manière à optimiser d’une part, la recherche de données et d’autre part, la protection de l’internaute. »
Suite à la signature de cette convention et à l’engagement des parties prenantes, le Ministère de l’Intérieur et Phishing Initiative travailleront également à la rédaction d’un rapport commun et à l’élaboration d’un suivi des tendances au service de la protection des internautes.

Phishing Initiative et PHAROS : l’union des expertises
Elaborée et construite sous l’impulsion de Madame Catherine Chambon, Madame Valérie Maldonado, chef de l’OCLCTIC, Messieurs Jérôme Robert, Directeur Marketing, Vincent Hinderer, Expert Cybersécurité chez Lexsi, et Bernard Ourghanlian, directeur technique et sécurité de Microsoft, la convention a pour objectif d’augmenter le nombre d’URLs traitées et analysées.

Avec respectivement 60 000 et 30 000 URLs traitées depuis début 2015, Phishing Initiative et PHAROS unissent leurs forces pour protéger les internautes et rendre le web plus sûr. « L’association de nos dispositifs de lutte contre la fraude sur Internet représente une avancée majeure dans la protection des particuliers comme des entreprises » précise Bernard Ourghanlian de Microsoft France. « Face à la malveillance et à la fraude organisée, chaque citoyen et chaque entreprise est acteur d’un Internet plus sûr au bénéfice de tous. »

La Sous-Direction de la Lutte contre la Cybercriminalité (SDLC) a développé deux dispositifs destinés aux particuliers : la Plateforme d’Harmonisation d’Analyse et de Recoupement et d’Orientation des Signalements (PHAROS), lancée en janvier 2009, et Info-Escroqueries, une hotline téléphonique dédiée aux arnaques. PHAROS a notamment pour mission de recueillir et traiter les signalements de contenus et de comportements illicites détectés sur Internet.

Phishing Initiative, un programme de lutte européen
Cofinancé par le Programme de Prévention et de Lutte contre le Crime de l’Union Européenne, Phishing Initiative offre à tout internaute la possibilité de lutter contre les attaques d’hameçonnage en signalant de manière simple les liens lui paraissant suspects en un clic sur www.phishinginitiative.fr. Chaque signalement fait l’objet d’une analyse par les experts Lexsi qui, s’il se révèle frauduleux, est transmis aux partenaires de Phishing Initiative, notamment Microsoft. Ces derniers enrichissent alors leurs listes noires, de sorte que le lien frauduleux est bloqué par les principaux navigateurs Web (Edge, Internet Explorer, Chrome, Firefox et Safari).

Phishing Initiative en chiffres
A ce jour, plus de 400 000 adresses suspectes ont été signalées dans le cadre de la Phishing Initiative, dont plus de 300 000 uniques. Depuis le début de l’année 2015, 110 000 signalements ont déjà été transmis, représentant plus de 60 000 nouvelles adresses uniques. Parmi elles, plus de 35 000 URLs uniques ont été confirmées comme faisant partie d’une campagne de phishing, soit près de 120 adresses distinctes par jour. A noter que le temps médian nécessaire aux analystes pour catégoriser un nouveau cas signalé est de moins de 20 minutes. Microsoft rafraîchit sa liste noire toutes les 20 minutes au sein d’Internet Explorer et Edge, ce qui protège en moyenne les internautes en moins de 40 minutes suite à un signalement sur www.phishing-initiative.fr.

Des milliers d’internautes contribuent anonymement à ce projet chaque année et plusieurs centaines d’individus ont créé depuis la rentrée un compte personnel sur le site Phishing Initiative. Il leur permet désormais de signaler des URLs suspectes plus simplement et d’accéder à des informations, statistiques et services additionnels, relatifs notamment aux signalements effectués par leurs soins. Ces internautes peuvent, par exemple, suivre l’état du site en temps réel et demander à être prévenus du caractère frauduleux ou non d’une adresse ainsi soumise, mais surtout participer à la lutte anti-phishing et empêcher que d’autres internautes soient victimes de ce fléau.

Une idée à saluer, elle demande cependant, pour être vraiment efficace, plus de rapidité encore ! Comme peut le faire votre serviteur, alerter et montrer sur Twitter, en temps réel, une attaque phishing permet de familiariser l’internaute face à cet ennemi 2.0.

Banque, Cybersécurité, DDoS, Entreprise, Linux, Paiement en ligne, Piratage

320 heures d’attaque DDoS en continu

Un commentaire

320 heures : c’est la durée de l’attaque DDoS la plus longue enregistrée par Kaspersky Lab au troisième trimestre 2015, soit près de deux semaines.

Le rapport sur les attaques DDoS a été mené à partir de la surveillance continue des botnets et de l’observation des nouvelles techniques employées par les cybercriminels. Les victimes des attaques DDoS se répartissent dans 79 pays à travers le monde. Les 3 pays les plus touchés sont la Chine, les Etats-Unis et la Corée du Sud. Plus de 90 % des attaques ont duré moins de 24 heures mais le nombre d’attaques dépassant 150 heures est en nette progression. Le nombre le plus élevé d’attaques ciblant une même victime a été de 22, contre un serveur situé aux Pays-Bas. Les cybercriminels semblent prendre des vacances comme tout un chacun, le mois d’août ayant été le plus calme du trimestre en matière d’attaques. Les botnets sous Linux occupent une part importante, étant à l’origine de 45,6 % de toutes les attaques enregistrées, principalement pour des raisons de protection insuffisante et de capacité supérieure de bande passante.

Les banques sont des cibles fréquentes d’attaques complexes et de demandes de rançons. Les attaques moins complexes mais non moins dangereuses sont devenues moins chères à exécuter. Le rapport révèle également que des attaques DDoS visant des serveurs ont été observées dans 79 pays au total, mais, 91,6 % des victimes des attaques DDoS se trouvent dans seulement 10 pays. On notera également que les auteurs d’attaques DDoS ne peuvent pas opérer loin de leur pays de résidence contrairement à d’autres organisations cybercriminelles spécialisées dans le piratage de cartes de crédit par exemple.

De plus amples détails sur la répartition géographique et d’autres caractéristiques des attaques DDoS enregistrées par l’observatoire DDoS Intelligence de Kaspersky Lab figurent dans le rapport complet publié sur le site Viruslist. « D’après nos observations et nos mesures directes, nous ne pouvons pas prédire comment le « business » clandestin des attaques DDoS va évoluer. La menace semble se développer partout. Nous avons enregistré des attaques extrêmement complexes contre des banques, assorties d’une demande de rançon, mais aussi de nouvelles méthodes bon marché destinées à paralyser les activités d’une entreprise pendant une période prolongée. Le volume des attaques augmente, la plupart d’entre elles ayant pour but de frapper, de semer le chaos et de disparaître. Cependant, le nombre des attaques de longue durée, capables d’acculer à la faillite une grande entreprise non protégée, est également en hausse. Ces évolutions de taille obligent les entreprises à prendre des mesures préventives contre la menace bien réelle et le risque accru que représentent les attaques DDoS », commente à Data Security Breach Evgeny Vigovsky, responsable des activités de Kaspersky Lab pour la protection contre les attaques DDoS.

Pendant ce temps…
L’excellent service de chiffrement de courrier électronique ProtonMail se faisait attaquer à coup de DDoS, au début du mois de novembre. Des rançonneurs qui réclament de l’argent pour que cessent les attaques. ProtonMail a versé 6000 dollars aux assaillants. Ces derniers n’ont cependant pas attaqué l’attaque perturbant les services de l’entreprise Suisse. « En l’espace de quelques heures, les attaques ont commencé à prendre un niveau de sophistication sans précédent » confirme ProtonMail. Impressionnante attaque car l’assaut, coordonné, a visé le FAI de ProtonMail avec des données malveillantes dépassant les 100Gbps. Une attaque visant le centre de données, mais également des routeurs à Zurich, Francfort… Des centaines d’autres entreprises ont été impactées. ProtonMail a payé 6000 dollars, espérant que cesse l’attaque. Ils ont suivi la directive d’un agent spécial du FBI qui invitait les entreprises victimes à payer. Mauvaise idée ! « Cela a été clairement une mauvaise décision, confirme ProtonMail, à tous les attaquants futurs – ProtonMail ne payera plus jamais une autre rançon« . Les maîtres chanteurs, ils signent sous le pseudonyme d’Armada Collective, se sont attaqués à plusieurs autres entreprises helvétiques.

Mise à jour, Patch

Onapsis Research Labs diffuse 21 avis de sécurité pour les applications SAP HANA

Onapsis, spécialiste mondial de la sécurité des applications métiers et principal fournisseur de solutions de cybersécurité, vient de publier 21 nouveaux avis de sécurité détaillant un nombre sans précédent de failles affectant toutes les applications SAP HANA, dont les solutions SAP S/4HANA et SAP Cloud sous HANA.

Ces avis émis par le laboratoire de recherche Onapsis mettent l’accent sur huit failles critiques, dont six concernent la conception même de SAP HANA, impliquant pour les corriger de modifier la configuration du système. À défaut, des cybers attaquants non authentifiés, pourraient prendre entièrement le contrôle des applications SAP HANA vulnérables et ainsi voler, supprimer ou modifier des informations. Ils pourraient aussi déconnecter la plate-forme afin de perturber les processus clés de l’entreprise.

C’est la première fois que des avis d’un si haut niveau de criticité et portant sur un aussi grand nombre de failles sont émis pour SAP HANA.

Ces failles font courir un risque potentiel à plus de 10 000 clients SAP utilisant différentes versions de SAP HANA, parmi lesquels figurent bon nombre des 2000 plus grandes entreprises mondiales dans tous les secteurs d’activité (énergie, pharmacie, administration, etc.). Des experts estiment qu’une violation de sécurité entraînant l’arrêt d’une application SAP pourrait coûter jusqu’à 22 millions de dollars par minute à certaines entreprises, avec notamment la perturbation de la production et de la distribution de leurs produits de base ainsi que la perte de connexion Internet et de données. L’économie mondiale pourrait être considérablement affectée par l’exploitation des failles de SAP HANA, celles-ci laissant amplement le champ libre aux cyberattaques par des États-nations, à l’espionnage économique, à la fraude financière ou au sabotage des systèmes clés des entreprises.

« La nouvelle grande vague d’attaques vise les applications stratégiques sous SAP et Oracle car ce sont des cibles économiques de choix pour les cybercriminels », explique à DataSecurityBreach.fr Mariano Nunez, CEO d’Onapsis. Elles se situent aussi majoritairement dans un angle mort pour bon nombre de directeurs de la sécurité informatique. Les failles affectant les systèmes SAP font de plus en plus l’actualité à l’image de la première attaque largement relatée dont a été victime la société USIS, fournisseur de la direction des ressources humaines (OPM) du département américain de la sécurité intérieure (DHS). En tant que solide partenaire de SAP, Onapsis collabore étroitement avec cet éditeur et ses clients afin de les aider à protéger leurs actifs stratégiques et à réduire les risques pour leur entreprise. Grâce à notre recherche de pointe, SAP a publié des patchs et des directives de sécurité qui permettent aujourd’hui à ses clients de se protéger. Nous les aidons potentiellement à éviter toute violation de sécurité à grande échelle qui pourrait avoir des conséquences désastreuses et nous leur permettons ainsi de tirer pleinement parti de leur investissement dans SAP HANA.

Les nouveaux avis de sécurité pour SAP HANA émis par le laboratoire de recherche Onapsis portent notamment sur huit failles critiques, six failles à haut risque et sept failles de risque intermédiaire. Bon nombre des failles critiques concernent les interfaces TrexNet au cœur d’HANA qui orchestrent la communication entre les serveurs dans les configurations haute disponibilité des grandes entreprises. Mais comme HANA devient la technologie sous-jacente de toutes les applications SAP, y compris SAP S/4HANA et la plate-forme Cloud SAP HANA et prend en charge un vaste écosystème d’applications d’autres éditeurs, la surface d’attaque s’élargit de façon exponentielle avec des conséquences diverses d’un système à l’autre.

Les experts en sécurité du laboratoire de recherche Onapsis ont collaboré avec des centaines de grandes entreprises afin de quantifier l’impact de ces différentes failles dans le cadre d’un service intitulé Business Risk Illustration (BRI). Celui-ci analyse de manière efficace les menaces qui pèsent sur la disponibilité, l’intégrité et la confidentialité des données et processus SAP.

« Il faut impérativement que l’industrie informatique se penche sur la cybersécurité des systèmes SAP », déclare à Data Security Breach Juan Perez-Etchegoyen, directeur technique d’Onapsis. « Cet ensemble de failles critiques est un des plus sérieux que nous ayons identifiés jusqu’ici en termes de dommages qu’un attaquant non authentifié pourrait causer à une entreprise. En cas d’exploitation de ces failles, toute information stockée ou gérée par une application SAP-HANA pourrait être extraite, falsifiée et supprimée, notamment les données à propos des clients, des salariés, des fournisseurs et des prix mais aussi celles à caractère décisionnel ou celles concernant la propriété intellectuelle, les budgets, la planification et les prévisions. Pire, le système pourrait être totalement paralysé par l’attaquant. »

Principales recommandations pour les directeurs de la sécurité informatique
Certaines de ces failles ne peuvent être corrigées par l’application de patchs de sécurité et le service HANA TrexNet affecté ne peut être stoppé. La seule solution consiste à reconfigurer le système, opération qui doit être correctement effectuée. Outre la consultation des notes de sécurité SAP, le laboratoire de recherche Onapsis recommande aux clients SAP de procéder comme suit :

Étape 1. Configurer correctement les communications TrexNet. Si elles s’exécutent dans un environnement haute disponibilité, ces communications sont essentielles au fonctionnement de SAP HANA. Vérifiez que le réseau où elles s’effectuent est isolé de l’utilisateur final et n’est pas accessible via un autre réseau. Assurez-vous également qu’il y a bien cryptage et authentification au niveau de la couche transport. S’il n’y a qu’une seule instance de SAP HANA, vérifiez que toutes les interfaces TrexNet écoutent sur l’interface réseau localhost uniquement.

Étape 2. Surveiller l’activité des utilisateurs. Certaines failles critiques pourraient être exploitées par des utilisateurs légitimes et des attaquants tentant de se connecter aux composants vulnérables (SQL et HTTP). Surveillez par conséquent le trafic HTTP à la recherche de la moindre activité suspecte. Enfin, analysez les journaux HTTP et SQL afin d’y déceler des entrées douteuses.

Étape 3. Veiller à ce que les mesures de détection et de correction soient en place. Intégrez SAP à votre stratégie de sécurité de l’information afin d’assurer une surveillance en continu des systèmes SAP et SAP HANA et de délivrer en temps réel des informations de prévention, de détection et de correction aux outils existants de gestion des événements et des informations de sécurité (SIEM) et de gouvernance et de contrôle des risques (GRC)

Les autres failles critiques, non liées au protocole TrexNet, doivent être corrigées en suivant la procédure indiquée dans les notes de sécurité SAP. Plusieurs notes de sécurité ont été publiées par SAP à propos des failles décrites ici. Elles portent les numéros 2165583, 2148854, 2175928, 2197397 et 2197428. Onapsis encourage les clients SAP à en prendre connaissance et à les appliquer dès que possible.