Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

backdoor, Cyber-attaque, Cybersécurité, Leak, Mise à jour, Patch, Piratage, Propriété Industrielle

Bash Bug : mesures urgentes et nécessaires pour les entreprises

Un commentaire

Bash Bug ou ShellShock : voilà le nom de la nouvelle faille de sécurité qui vient d’être découverte au sein du programme Bash, un interpréteur en ligne de commande présent sur plusieurs systèmes Linux mais aussi Unix et OS X.

Cette vulnérabilité serait générée par l’exécution d’un code malicieux permettant de prendre le contrôle du système d’exploitation et de ce fait, d’accéder à toutes les données stockées sur les différents équipements. Des rapports avancent que de nombreux programmes exécutent le shell Bash en tâche de fond et que l’attaque est déclenchée dès que le code supplémentaire est ajouté au code Bash. Bien qu’elle vienne tout juste d’être identifiée, la faille serait du même niveau de gravité que Heartbleed révélée en avril dernier, ce qui signifie qu’un très grand nombre de systèmes et d’appareils vont très probablement être touchés.

Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, a fait les commentaires suivants : « Les entreprises vont devoir réagir et prendre les mesures nécessaires rapidement face à cette nouvelle attaque car il semblerait que de très nombreux appareils connectés soient exposés à d’importants risques. Si la faille est exploitée par les hackers, ils auront une longueur d’avance pour récupérer les données sensibles et confidentielles, mettre la main sur tout type d’information, des identifiants en passant par les mots de passe ou encore les données bancaires et personnelles. Il est clair que les conséquences d’une telle attaque peuvent être très graves et un nombre considérable d’individus et d’organisations sont susceptibles d’être touchés. »

$ env x='() { :;}; echo vulnerable’  bash -c « echo this is a test »

Alors que les antivirus et les firewalls sont les logiciels de base utilisés par les entreprises pour assurer leur sécurité informatique, ils ne suffiront pas pour arrêter les pirates et pour lutter contre cette cyberattaque. Ainsi, aujourd’hui plus que jamais, il est nécessaire que les organisations adoptent des solutions de sécurité complémentaires pour limiter des dommages qu’une telle faille peut engendrer. Une mesure efficace pour protéger ses ressources serait la mise en place d’outils permettant de fournir une visibilité complète de l’activité réseau. Non seulement les entreprises peuvent mettre ces solutions en place relativement rapidement, un enjeu majeur en raison du contexte, mais elles peuvent également bénéficier d’alertes en temps réel en cas d’activité anormale. Elles sont dès lors en mesure de réagir et de remédier aux éventuelles menaces immédiatement, avant que les conséquences ne soient trop lourdes.

Les cyberattaques contre les entreprises deviennent de plus en plus fréquentes et il n’y a aujourd’hui rien qui excuse les organisations de ne pas disposer des moyens de défense adéquats pour y faire face. Il est encore difficile de savoir si cette faille baptisée Bash Bug ou ShellShock peut être entièrement corrigée dans la mesure où de nombreux appareils considérés comme anciens ne pourront pas recevoir de patchs de sécurité. Dans ce cas, les organisations doivent se protéger du mieux qu’elles le peuvent en utilisant des outils qui leur permettront d’avoir une visibilité accrue de ce qu’il se passe sur leur réseau en temps réel. Aujourd’hui, la question n’est plus de savoir si une entreprise sera attaquée mais quand, et si les mesures nécessaires ne sont pas prises pour remédier à ce Bash Bug, cela se produira encore plus rapidement.

Argent, Cybersécurité, escroquerie, Fuite de données, Particuliers, Phishing, pourriel

Phishing : que peut bien cacher ce lien ?

2 commentaires

Proofpoint a récemment évoqué les problèmes liés à une campagne de phishing sophistiquée, qui utilisait un système de distribution de trafic et des kits d’exploitation pour diffuser différentes charges malveillantes, variant selon les attributs du terminal à l’origine du clic.

Ce genre de campagne est capable d’afficher une page Web générique de type « Quelques conseils pour perdre du poids » dès qu’un utilisateur clique sur l’URL à partir d’un Mac ou d’un système de « recherche de logiciels malveillants », ou de le rediriger vers une page de phishing d’informations d’identification. Si, en revanche, cette même URL est activée à partir d’un système Android, une page d’erreur apparaît et invite l’utilisateur à télécharger un patch de sécurité, derrière lequel se cache en réalité le logiciel malveillant « Notcom ». Cette campagne, qui continue à évoluer, est caractéristique du nouveau type de campagnes de phishing « à plusieurs variantes », synonymes de nouveaux risques de sécurité pour les entreprises.

L’analyse des données des courriers électroniques par Proofpoint révèle que les campagnes à plusieurs variantes ont permis aux courriers non sollicités d’évoluer. Ces derniers comprennent notamment les courriers indésirables, les e-mails commerciaux (newsletters et offres marketing ciblées) et les campagnes de phishing. En analysant les URL détectées dans les courriers électroniques non sollicités, nous constatons que la part des URL malveillantes y figurant atteint systématiquement plus de 15 %. Autrement dit, chaque semaine, près d’une URL sur 6 intégrée à un message non sollicité redirige vers un site malveillant.

L’étude statistique des moyennes hebdomadaires (Fig. 1) révèle que la proportion de liens malveillants dans les courriers non sollicités en 2014 est déjà supérieure à 15 % sur une période de 10 semaines et dépasse, en moyenne, le seuil de 20 % sur une période de 2 semaines entières. L’analyse des pourcentages quotidiens indique même une fréquence d’URL malveillantes supérieure dans les courriers non sollicités, comme l’illustre le graphique ci-dessous.

L’analyse, par Proofpoint, du trafic des courriers électroniques a permis de révéler qu’en 2014, le pourcentage d’URL malveillantes dans des courriers non sollicités avait déjà dépassé 15 % pendant 63 jours (Fig. 2). Par ailleurs, en 2014, le pourcentage des URL malveillantes dans des courriers indésirables a dépassé 25 % pendant 12 jours et 30 % pendant 2 jours.

En résumé, l’année 2014 est marquée par la forte présence d’URL malveillantes dans les courriers non sollicités, une menace persistante si vaste que les entreprises peuvent s’attendre à recevoir régulièrement, certains jours, des courriers non sollicités dans lesquels 1 URL sur 4 redirige vers une charge malveillante.

Il est peu probable qu’il s’agisse d’un phénomène passager, étant donné que les auteurs de spams s’apprêtent à tirer parti de la simplification de l’accès aux logiciels malveillants ainsi que de leur rentabilité. La contamination des ordinateurs représente une source de revenu non négligeable pour les personnes à l’origine des attaques de phishing, qui ont la possibilité de vendre leurs prestations à des services de génération de monnaie virtuelle, de fraude au clic, de distribution de spams et de tout autre nature. L’automatisation et l’utilisation de logiciels criminels à la demande ont plus que jamais simplifié l’accès aux programmes malveillants pour tous les spammeurs, même les moins doués. L’intégration, par les spammeurs nigérians à l’origine de la fraude « 419 », de liens malveillants dans leurs courriers électroniques frauduleux illustre l’évolution importante des programmes malveillants.

Plus de 200 milliards de spams par mois, en 2014

Enfin, la forte présence d’URL malveillantes dans des courriers électroniques non sollicités intervient dans un contexte caractérisé par l’envoi massif de spams. Au cours du premier semestre 2014, plus de 200 milliards de spams par mois ont été recensés à l’échelle internationale. Ce volume a même atteint 260 milliards en juillet, un niveau record depuis 2010, qui correspond à deux fois plus que la moyenne normale.

Les campagnes de phishing à plusieurs variantes contribuent à renforcer la présence de liens malveillants dans les courriers non sollicités. Prenons par exemple une campagne de phishing à plusieurs variantes classique : les pirates envoient aux entreprises un courrier électronique au premier abord inoffensif. Ce courrier ne contient aucune pièce jointe et redirige généralement vers un site commercial fiable bien que non sollicité, comme un site dédié à la perte de poids. Lorsqu’ils sont examinés en premier lieu par des passerelles de gestion de courriers électroniques sécurisées, le message et l’URL qu’il contient sont considérés comme inoffensifs. Le courrier électronique est donc autorisé ou, au mieux, placé en quarantaine, où les utilisateurs finaux peuvent continuer à le consulter et à cliquer sur l’URL en question. Cependant, ce genre de liens permet aux pirates d’acheminer l’URL vers un système hébergé de distribution de trafic, une ancienne technologie aujourd’hui largement utilisée dans le cadre de campagnes de courriers malveillants. Sachant qu’une attaque composée de 10 messages autorisés seulement a plus de 90 % de chance d’attirer un clic (cf Verizon 2014 DBIR, p 47), lorsqu’un utilisateur final clique dessus, il est redirigé vers la charge appropriée en fonction de l’heure, du navigateur utilisé, de son entreprise et d’autres facteurs. Par ailleurs, les pirates ont la possibilité de modifier le contenu d’une URL à tout moment, ce qui signifie qu’une URL figurant dans un courrier électronique peut régulièrement passer d’un site malveillant à un site fiable.

Les travaux de recherche menés par Proofpoint révèlent que les pirates tirent parti du manque de vigilance des contrôles dont font généralement l’objet les spams pour infiltrer les organisations. Jusqu’à présent, les spams et les campagnes de phishing ont toujours été dissociés, de par leur nature, et traités à des niveaux de sécurité différents par les systèmes de protection. En s’appuyant sur la disponibilité instantanée des kits d’exploitation, les cybercriminels n’ont plus besoin de posséder de connaissances approfondies pour lancer des attaques sophistiquées. Malgré leur formation, les professionnels en charge de la sécurité au sein des entreprises ne parviennent pas toujours à détecter les messages malveillants parmi les courriers non sollicités. Ils n’ont donc pas d’autre choix que de les considérer tous comme dangereux.

Il n’est plus possible, aujourd’hui, de se contenter de considérer les messages non sollicités comme une simple nuisance. Tous ceux qui franchissent les filtres d’une entreprise sont susceptibles de contenir un lien malveillant, d’autant plus que la technologie sur laquelle reposent les campagnes de phishing à plusieurs variantes empêche désormais de distinguer rapidement les 15 %, 20 % ou 30 % de liens malveillants du reste. Pour lutter contre cette nouvelle réalité, il est indispensable de se doter de systèmes de défense capables de distinguer plus précisément les menaces dès leur réception, voire de protéger les systèmes ultérieurement contre toutes celles qui auraient échappé aux différents contrôles et sur lesquelles les utilisateurs risquent de cliquer. (Ismet Geri, Directeur de Proofpoint France et Europe du Sud)

BYOD, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Vie privée

Le Wi-Fi peut-il garantir la sécurité de l’Internet des Objets ?

En matière d’Internet des Objets, on se satisfait souvent du fait que le système fonctionne, pourtant, la connexion physique et la sécurité inhérente sont des aspects non négligeables.  Le Wi-Fi est et restera le mécanisme de connexion prépondérant pour L’Internet des Objets, car l’infrastructure permettant de l’exploiter de façon sécurisée existe déjà. Les autres modes de connectivité, tels que le Bluetooth Low Energy, sont moins répandus, et donc plus difficiles à pirater. Chacun a son propre niveau de sécurité, mais nécessite la mise en place d’une infrastructure sous-jacente. Pour permettre le déploiement étendu de L’Internet des Objets grâce au Wi-Fi, il faut s’attaquer à d’importantes problématiques, parmi lesquelles la sécurité des réseaux.

Que ce soit à la maison ou en entreprise, tout le monde utilise un seul et même réseau sans fil et utilise la même clé pré-partagée afin de s’y connecter. Dans ce contexte, la problématique se situe dans le partage répété de cette clé, et donc dans la nécessité de définir le niveau de sécurité adéquat pour les nouveaux périphériques se connectant au réseau afin de ne pas devenir une proie facile pour les pirates.  L’important n’est pas la sécurité du réseau, mais celle des périphériques s’y connectant. Ces périphériques sont en général des appareils low cost, bien plus que les clients Wi-Fi traditionnels, et disposent de bien moins de fonctionnalités pour assurer leur protection et celle du réseau Wi-Fi auquel ils se connectent. Ces appareils doivent être facilement paramétrables, ce qui rend leur piratage plus simple, les identifiants utilisés pour accéder au réseau étant plus vulnérables.

Une équipe de chercheurs du cabinet de conseil Context Information Security a récemment pu confirmer ce risque en cherchant à démontrer la vulnérabilité des systèmes d’éclairage intelligent. En obtenant l’accès à l’ampoule principale, ils ont pu contrôler l’ensemble des ampoules connectées, et ainsi découvrir les configurations réseau des utilisateurs.

Généralement, ces ampoules et autres périphériques se connectent au réseau à l’aide d’une clé pré-partagée. Le problème au sein des réseaux sans fil traditionnels vient justement du fait qu’il n’y a qu’une seule clé : les organisations sont ainsi contraintes à créer un réseau Wi-Fi distinct pour chaque appareil à connecter à l’Internet des Objets. En outre, et comme l’ont démontré les chercheurs du cabinet Context, il est facile de découvrir une clé pré-partagée. Les identifiants étant potentiellement menacés, il apparaît donc logique qu’ils disposent de droits limités sur le réseau. Pourquoi ? La principale problématique avec l’Internet des Objets est la capacité des appareils à enregistrer des identifiants, surtout lorsque l’on considère tout ce que ces informations permettent de faire à l’arrivée, de la gestion de l’éclairage au contrôle autonome de la température par les réfrigérateurs, en passant par les équipements sportifs envoyant des informations personnelles à d’autres terminaux.

Si l’on utilise une clé pré-partagée pour se connecter au réseau, il faut alors que le réseau en question soit verrouillé et que les fonctionnalités de l’appareil soient limitées. En utilisant des clés pré-partagées privées, une organisation peut utiliser différentes clés pour ses différents appareils, et avec des droits spécifiques sur le réseau. Un groupe de clés pourrait ainsi être utilisé pour les accès en mode invité ou le BYOD, tandis qu’un autre pourrait permettre la gestion des bâtiments en s’appuyant sur une stratégie de pare-feu très contrôlée autorisant uniquement les changements effectués par les systèmes automatisés, et refusant ceux provenant de toute autre personne connectée au réseau. Les systèmes d’éclairage pourraient être contrôlés par un autre groupe de clés, avec éventuellement une stratégie de pare-feu propre permettant aux employés d’ajuster l’éclairage en salles de réunion, mais pas dans les couloirs.

Cette approche permettrait aux utilisateurs de disposer de milliers de clés pré-partagées différentes pour un seul réseau et avec différents profils de connexion, y compris via des pare-feu et des réseaux locaux virtuels. Dans ce scénario, si l’intégrité d’une ampoule venait à être compromise, la menace ne pourrait s’étendre aux autres, car la clé pré-partagée utilisée pour l’une n’aurait pas les privilèges nécessaires pour cela. La menace liée à cette compromission serait par conséquent limitée.

Il est également absolument essentiel que les informations d’identification utilisées n’aient qu’une faible utilité pour tout individu piratant le réseau. Il est donc nécessaire de disposer d’une méthode d’authentification et d’identification des appareils simple et sécurisée. En autorisant les périphériques sur le réseau et en leur fournissant un accès approprié à leur catégorie, les organisations doivent pouvoir gérer la menace une fois l’intégrité des identifiants compromise, afin de s’assurer qu’ils ne présentent qu’une valeur limitée pour toute personne s’en servant pour  découvrir et pirater le réseau.

La méthode la plus évidente pour cela serait de placer les certificats sur les appareils afin de bien les authentifier, mais il s’agit là d’une approche coûteuse et complexe. Pour éviter ces inconvénients, les entreprises devraient alors préférer l’utilisation de différents réseaux pour leurs différents types d’appareils, ce qui représenterait un gaspillage de temps et de ressources, davantage de complexité pour l’utilisateur, ainsi qu’un ralentissement des performances globales. Il faut donc pouvoir surmonter cet obstacle plus simplement afin de s’assurer que tous les périphériques soient gérés de façon sécurisée depuis un point d’accès. En matière de Wi-Fi, l’Internet des Objets est le BYOD d’aujourd’hui, et les organisations rencontrent exactement les mêmes problèmes sur le plan de  la sécurité.

À mesure que ce système s’affirmera comme la nouvelle vague en matière de réseaux, l’industrie trouvera un certain nombre de solutions afin de résoudre ces problèmes. Mais il faut cependant garder en tête que l’Internet des Objets va changer et se développer, et que dans ce contexte, il  sera difficile de s’assurer que l’infrastructure puisse faire face à différents scénarios en même temps. Bien que l’on s’intéresse aujourd’hui aux failles de sécurité de l’Internet des Objets en matière de gestion des bâtiments et d’interfaces personnelles d’accès au réseau, il reste cependant un large éventail de scénarios relevant également de l’Internet des Objets dans d’autres secteurs, tels que l’automobile et les infrastructures. Une fois que nous aurons pris en compte ces types de scénarios, les problématiques en matière de sécurité se feront plus nombreuses, et les solutions permettant d’y faire face revêtiront un caractère de plus en plus urgent. (Par Benoit Mangin, Directeur Commercial Europe du Sud, Aerohive pour datasecuritybreach.fr)

Adobe, Arnaque, backdoor, Cyber-attaque, Cybersécurité, escroquerie, Espionnae, Fuite de données, Leak, Microsoft, Phishing, Piratage, Vie privée

Google et Doubleclic exploités dans une diffusion malveillante

La méthode est connue, utilisée depuis des années : des pirates exploitent les réseaux publicitaires pour diffuser des codes malveillants dans les ordinateurs des visiteurs de site Internet. Des cyber-criminels ont exploité la puissance de deux réseaux de publicité en ligne pour infecter et infiltrer des millions de potentielles victimes.

Lors de vos visites sur le site web, des publicités peuvent s’afficher. Des pirates informatiques ont rapidement compris le potentiel intérêt de ces supports pour diffuser leurs malveillances informatiques. Il y a quelques jours, les réseaux de DoubleClick et de l’agence de publicité Zedo, affiliée à Google, ont diffusé des publicités malveillantes qui avaient pour mission d’installer un logiciel espion dans les ordinateurs des visiteurs.

Un récent rapport publié par les chercheurs de la société Malwarebytes suggère que les cybercriminels ont pu profiter d’affiches piégés sur un certain nombre de sites web, y compris le Times d’Israël, le Jérusalem Post et encore le  site de streaming musical Last.fm.

L’attaque a été détectée à la fin du mois août dernier. Depuis, des millions d’ordinateurs ont probablement été exposés au code malveillant Zemot. Un microbe que les antivirus mis à jour détectent les yeux fermés. Google a confirmé l’attaque et a fermé l’ensemble des serveurs permettant la diffusion des publicités piégées. Ce qui est intéressant, dans ce cas, est la facilité déconcertante qu’ont eu les pirates à pirater les administrations de diffusion, à installer leurs publicités et à permettre la mise en ligne sans que personne ne puisse s’en inquiéter.

Les pirates ont exploité de nombreux sites supports, les publicités renvoyaient sur ces espaces. Des sites qui déclenchaient ensuite l’installation d’un kit pirate. Beaucoup de sites étaient basés au Pays-Bas (.nl), Suisse (.ch) et quelques pays de l’Est.

Zemot a été détecté, pour la première fois, en novembre 2013. Rien qu’en juin 2014, Microsoft annonçait 45.000 machines piégées ; plus de 35.000 en juillet, 27.000 en août. Zemot se concentre sur des ordinateurs exécutant Windows XP, mais il peut aussi infecter les systèmes d’exploitation plus modernes s’exécutant sur des machines tournant en x86 et 64 bits. Zemot est conçu pour contourner la sécurité d’un système avant d’infecter les ordinateurs avec des logiciels malveillants supplémentaires.

Chiffrement, cryptage, Cybersécurité, Facebook, Fuite de données, Patch

Facebook : voler nom, mail et jeton de connexion

Deux chercheurs en sécurité informatique, evil_xorb et Michał Bentkowski, ont découvert une faille qui permettait de mettre la main sur le nom, le mail et le jeton de connexion d’un utilsateur de Facebook. Le bug partait du plugin FriendFeed. Après avoir cliqué sur le bouton « Enregistrer », une requête POST à ​​redirect_uri était délivrée. Cette requête contenait les données de l’utilisateur. Rien n’était chiffré. Nom, mail et le jeton d’accès accessibles. Une vulnérabilité sensible au Clickjacking. Le bug a été signalé à Facebook et a été corrigé assez rapidement. (Bentkowski)

Argent, Banque, Cybersécurité, Identité numérique, Paiement en ligne, Twitter

Faille pour Twitter : effacer les données bancaires

Un commentaire

Plusieurs failles permettent de faire disparaître les données bancaires enregistrées dans Twitter par les annonceurs publicitaires.

Twitter permet d’enregistrer des données bancaires dans la partie ads.twitter.com, le service publicitaire du gazouilleur 2.0. Un internaute, qui se fait appeler Security Geek, a découvert comment faire disparaître les données des cartes bleues sauvegardées dans Twitter Ads par les annonceurs. La vulnérabilité était très critique car il suffisait de posséder l’identifiant de la carte de crédit pour la supprimer. Un identifiant composé uniquement de 6 chiffres tels que « 098289 ». Il aurait suffit qu’un malveillant travaille sur un petit code en python, qui aurait utilisé une simple boucle sur 6 chiffres, pour supprimer les CB qui lui seraient passés sous la souris. Un moyen de calmer le chiffre d’affaire publicitaire de Twitter. « Le plus drôle est que la page de réponse, après la manipulation, affichait une erreur « 403 forbbiden », s’amuse l’inventeur de la faille, Ahmed Aboul-Elamais. La carte de crédit était réellement supprimée du compte« . Une seconde faille permettait de faire croire à Twitter la mauvaise utilisation d’une CB. Bilan, le piaf effacé la vraie CB du compte officiel qui l’employait.

Cybersécurité, Logiciels, Microsoft, Vie privée

Vidéo surveillance sans fil pour la Xbox de Microsoft

Lors de l’IFA, plus grand salon d’appareils électroniques grand public au monde, la société Smartvue Corporation a présenté un matériel assez étonnant pour la console de salon de Microsoft, la XBOX.

L’objet se nomme Homevue, une solution de vidéo surveillance dans le cloud conçue pour la boite verte du géant américain. Un système de caméra sans fil plug and play. Il enregistre des vidéos HD dans le cloud qui peuvent être visionnées directement à partir de la Xbox, ou à distance depuis n’importe quel ordinateur, smartphone ou tablette sans frais mensuels supplémentaires – même lorsque la Xbox est éteinte. « Les joueurs peuvent effectuer une partie tout en gardant un œil sur leur bébé endormi, ou en vérifiant qui est à la porte d’entrée » indique l’entreprise. Homevue sera disponible à partir du mois de janvier 2015. Il est possible de pré-commander via Kickstarter pour 99 $.

Cyber-attaque, Cybersécurité, Leak, Piratage, Virus

Epic Snake: la campagne de cyber-espionnage Turla se dévoile

L’opération « Epic » sert de phase de démarrage à la campagne d’infection Turla, qui comporte plusieurs étapes.

Turla, également connue sous le nom de Snake ou Uroburos, est l’une des campagnes de cyber-espionnage en cours les plus sophistiquées. Lorsque la première recherche sur Turla / Snake / Uroburos a été publiée, elle ne répondait pas à une question majeure : comment les victimes ont-elles été infectées ? Les dernières recherches de Kaspersky Lab sur cette opération révèlent qu’Epic est l’étape initiale du mécanisme d’infection de Turla.

Turla en quelques points :
Epic Turla / Tavdig : la phase initiale du mécanisme d’infection.
Cobra Carbon system / Pfinet (+ autres) : mises à niveau intermédiaires et plugins de communication.
Serpent / Uroburos : plate-forme de logiciels malveillants de haute qualité qui comprend un rootkit et des systèmes de fichiers virtuels.

Le projet « Epic » est utilisé depuis au moins 2012. Il a enregistré un pic d’activité en Janvier-Février 2014. Les cibles d’ « Epic » appartiennent aux catégories suivantes : entités gouvernementales (Ministères de l’Intérieur, Ministères du Commerce ou de l’industrie, Ministères des affaires étrangères / externes, les services de renseignement), les ambassades, les organisations militaires, les organisations de recherche et d’enseignement et les entreprises pharmaceutiques.

La plupart des victimes sont situées au Moyen-Orient et en Europe. Cependant, des victimes ont été identifiées dans d’autres régions, y compris les Etats-Unis. Au total, plusieurs centaines d’adresses IP de victimes réparties dans plus de 45 pays, la France arrivant en tête de liste.

L’attaque
Les chercheurs ont découvert que les attaquants derrière Epic Turla utilisent des exploits zero-day, de l’ingénierie sociale et des techniques de watering hole pour infecter les victimes. Par le passé, ils ont utilisé au moins deux exploits zero-day : l’un pour l’Elévation des Privilèges (EoP) dans Windows XP et Windows Server 2003 (CVE-2013-5065), qui permet au backdoor Epic d’obtenir les droits administrateurs d’un système et de l’utiliser sans restriction ; et un exploit dans Adobe Reader (CVE-2013-3346) utilisé comme pièce jointe malicieuse.

Chaque fois qu’un utilisateur non averti ouvre un fichier PDF malveillant sur un système vulnérable, la machine sera automatiquement infectée, permettant à l’attaquant de prendre le contrôle immédiat et total du système ciblé. Les hackers utilisent des e-mails de phishing ainsi que des attaques watering hole pour infecter leurs victimes. Les attaques détectées dans le cadre de cette opération sont différentes, en fonction du vecteur de l’infection initiale utilisé pour compromettre la victime :

-E-mails de spear-phishing avec des exploits Adobe PDF (CVE-2013-3346 + CVE-2013-5065)
-Ingénierie sociale pour tromper l’utilisateur et le forcer à lancer un programme d’installation de malware avec une extension « .SCR », parfois compressé en RAR
-Attaques watering hole utilisant des exploits Java (CVE-2012-1723), des exploits Adobe Flash (inconnu) ou des exploits Internet Explorer 6, 7, 8 (inconnu)
-Attaques watering hole reposant sur de l’ingénierie sociale pour forcer les utilisateurs à lancer des malwares de faux programmes d’installation « Flash Player »

Les attaques watering holes sont des sites Web fréquemment visités par les victimes potentielles. Ces sites sont compromis à l’avance par les hackers grâce à l’injection de codes malveillants. Selon l’adresse IP du visiteur (par exemple, les IP d’un organisme gouvernemental), les hackers utilisent des exploits Java ou des exploits de navigateurs, une fausse version signée du logiciel Adobe Flash Player ou une fausse version de Microsoft Security Essentials. Au total, nous avons observé plus de 100 sites injectés. Le choix des sites reflète l’intérêt spécifique des hackers. Par exemple, beaucoup de sites espagnols infectés appartiennent aux collectivités locales.

Une fois l’utilisateur infecté, Epic se connecte immédiatement au serveur de commande et de contrôle (C&C) pour envoyer un pack avec les informations du système de la victime. Epic est également connu sous les noms de « WorldCupSec », « TadjMakhal », « Wipbot » ou « Tadvig ». Une fois qu’un système est compromis, les attaquants reçoivent de brèves informations sur la victime et peuvent ainsi implanter des fichiers pré-configurés contenant une série de commandes pour exécution. En plus de cela, les hackers téléchargent des outils personnalisés de « lateral movement ». Parmi eux, on trouve un keylogger spécifique, un archiveur RAR et des services standards comme un outil de requêtes DNS Microsoft.

Phase initiale de Turla :
Lors de l’analyse, les chercheurs ont noté que les hackers utilisant Epic déployaient un backdoor plus sophistiqué appelé « Cobra / Carbon system »  ou « Pfinet » par certains produits anti-virus. Après un certain temps, les hackeurs sont allés plus loin et ont utilisé Epic afin de mettre à jour le fichier de configuration « Carbon » avec un ensemble différent de serveurs C & C. Le savoir-faire unique requis pour faire fonctionner ces deux backdoors met en évidence un lien clair et direct entre eux. « Les mises à jour de configuration pour le malware « Carbon system » sont intéressantes car c’est un autre projet de la campagne Turla. Cela indique que nous avons affaire à une infection en plusieurs étapes, qui commence par Epic Turla. Epic Turla est utilisé pour toucher les victimes dont le profil est critique. Si la victime est intéressante, il se met à niveau pour devenir le système « Turla Carbon », explique à Data Security Breach Costin Raiu, directeur de l’équipe de recherche et de l’analyse globale de Kaspersky Lab.

Les pirates derrière Turla ne sont clairement pas des anglais natifs. Ils orthographient souvent mal des mots ou des expressions, comme « Password it´s wrong! » ; « File is not exists » ; « File is exists for edit ». D’autres indications peuvent aider à supposer l’origine des criminels. Par exemple, certaines des backdoors ont été compilées sur un système en langage russe. En outre, le nom interne de l’un des backdoors Epic est « Zagruzchik.dll», qui signifie « bootloader » ou « programme de charge » en russe.  Enfin, le panneau de commande du « vaisseau-mère » Epic définit la page de code en 1251, utilisé pour les caractères cyrilliques. Fait intéressant, les connexions possibles avec différentes campagnes de cyber-espionnage ont été observées. En Février 2014, les experts ont constaté que les auteurs de menaces connues comme Miniduke utilisaient les mêmes web-shells pour gérer les serveurs Web infectés, ce qui est également le cas de l’équipe derrière Epic.

Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Leak, Linkedin, Vie privée

Réseaux sociaux : la nouvelle porte d’entrée des cybercriminels dans les entreprises ?

Aujourd’hui, la cybercriminalité est de plus en plus importante et organisée. Nous sommes loin de l’époque du pirate solitaire qui envoyait des malware du fond de sa chambre. Le phishing, par exemple, a prospéré au cours des dernières années.

Les cybercriminels utilisent des méthodes de plus en plus sophistiquées de phishing pour cibler les entr eprises, ce qui entraîne non seulement une perte de crédibilité des entreprises mais aussi et par conséquent une perte de clients et de bénéfices. La priorité première pour entreprise, cible d’une attaque via le phishing devrait être la protection de ses clients. Mais de nos jours, ce n’est pas aussi facile qu’il y paraît. La disponibilité des informations personnelles via les réseaux sociaux a rendu la tâche plus facile pour les cybercriminels. Il est maintenant aisé pour eux de produire des messages de phishing de plus en plus convaincants avec les informations qu’ils arrivent à trouver sur Internet. Des informations mises en ligne par des utilisateurs qui deviennent des proies faciles. Dans le même temps, les entreprises de toutes tailles ne parviennent pas à éduquer leurs utilisateurs sur le fait d’être constamment vigilants, en particulier dans leurs activités personnelles en ligne.

L’exemple de LinkedIn
Au cours de ces derniers mois, plusieurs articles ont mentionné un nouveau mode d’attaque phishing via LinkedIn. En fait, l’une des meilleures méthodes pour toucher une entreprise avec une attaque ciblée consiste à envoyer un simple email LinkedIn. Une enquête récemment réalisée a révélé que les attaques dissimulées dans les invitations LinkedIn avaient un taux de clics deux fois plus élevé. Il y a un nombre toujours croissant de faux profils sur LinkedIn, et c’est l’un des plus gros problèmes de ce réseau social. Ces comptes peuvent être utilisés pour espionner les entreprises, phénomène que nous appelons le « Social Klepto ». D’après une enquête menée récemment : par rapport à des sites tels que Facebook ou Twitter, LinkedIn est le réseau social le moins bloqué (20%); et c’est aussi le réseau social qui comprend le moins d’utilisateurs se sentant en danger sur le site (14%). Ces chiffres nous montrent que la population a plus confiance en LinkedIn qu’en d’autres medias sociaux.  Il n’est donc pas surprenant que les invitations LinkedIn aient un taux de clics plus important que les demandes d’ajout en ami de Facebook ou les invitations aux cercles de Google+. Afin de vous assurer que vous utilisez LinkedIn de la manière la plus sûre possible, lisez bien les points suivants.

Vérifiez vos paramètres de confidentialité LinkedIn
Tout comme la plupart des services gratuits, le site LinkedIn peut utiliser les informations de votre profil pour des recherches ou à des fins marketing à savoir pour de la publicité ciblée (comme Gmail et Facebook). Plusieurs paramètres par défaut et concernant la confidentialité du compte ont été choisis de sorte à ce que les utilisateurs reçoivent des emails marketing de la part de LinkedIn. La plupart des utilisateurs ne pensent pas à vérifier ces paramètres. Cependant, c’est en ne contrôlant pas ces paramètres qu’ils peuvent recevoir des courriers indésirables (spam). Il est donc essentiel pour les utilisateurs de vérifier leur profil, leurs paramètres de confidentialité et d’envoi d’emails sur leur compte LinkedIn afin de s’assurer que leurs données ne soient pas partagées avec des tierces personnes ou que leurs informations ne soient pas trop publiques. Globalement, décocher toutes les cases de la page ‘Préférences & Confidentialité’ est la meilleure des solutions, à moins de vouloir recevoir les emails de certains groupes LinkedIn spécifiques.

Prenez garde aux emails suspicieux d’invitation LinkedIn
Étant donné la nature de l’utilisation des réseaux sociaux dans un contexte professionnel et le fait que la population ait pris confiance en des noms tels que LinkedIn, cette méthode d’attaque est de plus en plus utilisée ces derniers temps. Comme toujours donc, évitez de cliquer sur les liens à l’intérieur de vos emails. Si vous recevez un email envoyé par LinkedIn, le mieux est d’aller visiter le site directement pour confirmer ces demandes plutôt que de cliquer sur le lien de l’email, et ce, même si vous connaissez la personne émettrice de la prétendue invitation. En suivant ces instructions, il y a de grandes chances pour que vous ne deveniez pas la dernière victime d’une fausse invitation LinkedIn. (Wieland Alge, vice-président et directeur général EMEA chez Barracuda Networks pour DataSecurityBreach.fr)

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données

Google va mettre en avant les pages web chiffrées

Un commentaire

Google l’a confirmé : son algorithme de ranking attribue désormais des “points bonus” de référencement aux pages web chiffrées.

Cette initiative vise à encourager les développeurs de sites web à adopter des technologies de chiffrement (via l’utilisation du protocole HTTPS), qui empêchent les hackers de pirater leurs sites web et voler des informations clients. C’est très bien de voir une initiative de la part de Google pour augmenter l’utilisation du chiffrement. C’est une démarche intelligente et susceptible d’avoir un impact significatif sur la façon dont les organisations sécurisent leurs sites web. Toutes les entreprises veulent un bon Google PageRank, il est donc dans leur meilleur intérêt de s’assurer que leurs pages web sont chiffrées.

A la suite d’HeartBleed nous préconisons aussi de conserver les clés racines en dur dans des modules cryptographiques. Il faut dire aussi que les données texte en clair sont faciles à lire. Donc tout site web qui stocke ou transmet des logins, mots de passe ou toutes autres données de clients en clair met ces données clients et la réputation de son entreprise en danger.

Par le passé les entreprises ont pu ignorer le chiffrement pour des contraintes de coûts ou la peur de ralentir le temps de réponse de leur site web. « Mais des technologies de chiffrement à haute vitesse sont désormais disponibles qui éliminent ces problèmes de coût et de vitesse. Ceux qui transmettent ou stockent des données texte en clair n’ont donc vraiment plus d’excuse. » confirme à Data Security Breach Julien Champagne, Directeur Commercial France et Maghreb de SafeNet.

Argent, Arnaque, Cyber-attaque, Cybersécurité, DDoS, escroquerie, Fuite de données, Leak, Paiement en ligne, Vie privée, Virus

Un 2nd trimestre marqué par la découverte de menaces de plus en plus sophistiquées

Ce trimestre a été marqué par la découverte d’un « crypteur » mobile en libre circulation, vendu 5 000 dollars sur le marché noir, qui a déjà infecté 2 000 terminaux dans 13 pays en moins d’un mois.

Les autres faits marquants à retenir sont l’apparition d’un trojan prenant le contrôle à distance des mobiles Android et iOS via un outil d’espionnage « légal », et la découverte de la campagne MiniDuke APT, réplique de celle du début 2013, qui cible les entités gouvernementales, le secteur de l’énergie, les organisations militaires et les télécoms, et même les trafiquants de stéroïdes et d’hormones illicites.

Attaques sur le Web
·        354,5 millions d’attaques ont été lancées depuis des ressources en ligne disséminées dans le monde entier, soit 1,3 million de plus qu’au premier trimestre. Des chiffres à relativiser, ils ne concernent que les sondes de l’éditeur. Des changements ont eu lieu dans le classement des cinq premières sources d’attaques Web, puisque l’Allemagne est passée de la quatrième à la première place – ses parts augmentant de 12 points. Les États-Unis (22 %) ne sont plus premiers mais seconds après une chute de 6 points. 44 % des attaques Web neutralisées ont été perpétrées à l’aide de ressources Web malveillantes basées dans ces deux pays. Ils sont suivis par les Pays-Bas (+ 3 points au 2ème trimestre) qui se maintient à la troisième place, la Fédération de Russie (- 2,5 points) et le Canada (+ 6,3 points).

Menace mobile
·        À la fin du 1er trimestre 2014, la base de malwares mobiles comptait près de 300.000 échantillons. Au deuxième trimestre, cette base en compte 65 000 de plus. Android n’est plus désormais la seule cible des développeurs de malwares mobiles. En effet, les cybercriminels ont exploité les fonctions d’iOS, avec l’attaque sur Apple ID, qui bloque complètement le terminal. Les pirates demandent ensuite une « rançon » pour le déblocage de l’appareil. Ces nouveaux faits ont révélé les activités de HackingTeam, une société italienne qui vend un logiciel « légal » nommé Remote Control System (RCS). La dernière recherche montre qu’un certain nombre de modules malveillants ciblant les terminaux Android, iOS, Windows Mobile et BlackBerry proviennent de HackingTeam. Le module iOS permet à un assaillant d’accéder aux données stockées sur l’appareil, d’activer secrètement le microphone et de prendre des photos.

En mai, le premier « crypteur » mobile en circulation était mis à jour publiquement. Nommé Pletor, il bloque le téléphone sur la « visualisation de contenus pornographiques interdits », chiffre la carte mémoire du smartphone et affiche une demande de rançon. Le ransomware évolue. Au début du mois de juin, une nouvelle modification de Svpeng visait principalement les utilisateurs des États-Unis. Le trojan bloque le téléphone et demande 200 dollars pour le débloquer.

Menaces financières sur le Web
·        Les malwares ayant pour but de dérober de l’argent ont attaqué 927 568 ordinateurs au 2ème trimestre. Le chiffre de mai indique une hausse de 36,6 % par rapport au mois d’avril.
·        La plupart des attaques ont été enregistrées au Brésil, en Russie, en Italie, en Allemagne et aux États-Unis.
·        2 033 trojans bancaires mobiles ont été détectés au cours des trois derniers mois. Leur nombre a quadruplé depuis le début de 2014, et sur un an (depuis juillet 2013), ce chiffre a augmenté de 1450%.
·        Neuf familles de malwares financiers sur dix agissent en injectant un code HTML aléatoire dans la page Web affichée par le navigateur et en interceptant ensuite chaque donnée de paiement saisie par l’utilisateur dans les formulaires Web originaux ou insérés.

Contenus malveillants
·        60 millions de contenus malveillants uniques (scripts, pages web, exploits, fichiers exécutables, etc.) ont été détectés, soit le double du chiffre du 1er trimestre 2014.
·        Deux nouveaux programmes SWF à la mi-avril, confirmés ensuite par Adobe en tant que nouveaux Zero-day.
·        145,3 millions d’URL uniques ont été reconnues comme malveillants par les antivirus, soit 63,5 millions de plus qu’au trimestre précédent.

« Les six premiers mois de l’année ont montré, comme on le pressentait, une évolution du chiffrement des données des utilisateurs sur les smartphones. Les criminels font des profits en utilisant des méthodes qui se sont avérées efficaces sur les utilisateurs de PC. Il est évident que les individus derrière ces attaques sont motivés par l’appart du gain – comme le montre une forte hausse (14,5 fois) du nombre de trojans financiers au cours de l’année écoulée. Outre le profit, la course à la technologie de surveillance se poursuit sans relâche. Les modules mobiles d’HackingTeam ont montré qu’un terminal mobile pouvait être utilisé pour exercer un contrôle total sur tout l’environnement de l’appareil d’une victime, interne et externe » explique à DataSecurityBreach.fr Alexander Gostev, Chief Security Expert, Global Research and Analysis Team chez Kaspersky Lab.

Contrefaçon, Cybersécurité, Fuite de données, Microsoft, Mise à jour, Propriété Industrielle, Smartphone, Windows phone

Microsoft a décidé de faire la guerre aux applications malveillantes

Pour faire face à la concurrence d’iTunes et PlayStore, qui proposent des centaines de milliers d’applications, Microsoft a décidé de proposer du qualitatif dans sa propre boutique d’APP (400.000 logiciels) en contrôlant toutes les applications proposées à utilisateurs d’un Windows Phone/Tablette.

Parmi les obligations mises en place par le géant américain, imposer une explication claire et précise des actions du logiciel proposé dans le store de Microsoft. Les catégories utilisées devront être celles dédiées et l’icône ne devra plus reprendre une marque ou un logo d’une entreprise connue (Twitter, Facebook, …). La société de Redmond a déjà banni 1.500 applis. A noter que seule Microsoft propose une application Facebook pour ses téléphones, autant dire que les petits malins se sont empressés de viser le portail communautaire.

Cyber-attaque, Cybersécurité, Piratage, Virus

L’aéroport de Charleroi touché par un code malveillant

Voici venir le virus dans l’avion, du moins aux portes de ce dernier. L’agence Belga indique qu’un logiciel malveillant a contaminé plusieurs ordinateurs du réseau informatique de l’aéroport de Charleroi. Heureusement, on voit mal le gouvernement Belge dire le contraire, le trafic aérien n’a pas été perturbé par cette intrusion. Les machines ont été utilisées comme zombies pour lancer d’autres attaques. Heureusement que les pirates n’analysent pas tant que ça les machines malmenées. Bref, pas rassurant ! Les ordinateurs en question n’étaient pas mis à jour.

Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Virus

One-Day Wonders : les risques que représentent les sites Web d’un jour pour la sécurité

Une étude montre que 470 millions de sites Web ont une durée de vie inférieure à 24 heures, et que 22 % de ces sites sont utilisés pour faciliter des attaques.

Blue Coat Systems, Inc., leader sur le marché de la Business Assurance Technology, révèle que 71 % des noms de serveurs sur Internet ont une durée de vie inférieure à 24 heures. Bien que la majorité de ces merveilles éphémères  « One-Day Wonders » soit essentielles au partage et à la diffusion de contenu sur Internet, leur quantité phénoménale sert également de couverture aux activités malveillantes, y compris à des communications vers des systèmes infectés. Le nouveau rapport « Merveilles éphémères : comment du code malveillant se dissimule derrière des sites Internet temporaires » détaille la nature et les activités de ces adresses apparaissant et disparaissant rapidement du Web, permettant ainsi de mieux comprendre les problématiques de sécurité qu’ils représentent pour les entreprises.

Parmi les plus grands générateurs de « merveilles éphémères » figurent des organisations ayant une forte présence sur Internet, comme Google, Amazon et Yahoo, ainsi que des sociétés d’optimisation Web aidant à accélérer la diffusion de contenu. Blue Coat a également découvert que l’un des dix créateurs de ces sites web éphémères le plus prolifiques se trouve être le site de pornographie le plus fréquenté sur Internet.

Enfin, 22 % des 50 domaines utilisant le plus fréquemment des sites temporaires hébergent du code malveillant. Ces domaines utilisent ce type de sites afin de faciliter leurs attaques et de gérer des botnets (réseaux de machines zombies), en s’appuyant sur le statut « nouveau et inconnu » du site pour échapper aux radars des solutions de sécurité. Ainsi, ces sites éphémères peuvent être utilisés pour créer des architectures dynamiques de commande et de contrôle évolutives, difficiles à tracer et simples à mettre en place. Ils peuvent également servir à créer un sous-domaine unique pour chaque e-mail de spam afin d’éviter d’être détecté par les filtres anti-spam et les filtres Web.

« Bien que la plupart de ces sites éphémères soient inoffensifs et indispensables à des activités légitimes sur Internet, leur quantité faramineuse crée un environnement parfait pour des activités malveillantes, » explique à DataSecurityBreach.fr Tim van der Horst, chercheur en chef spécialisé dans les menaces chez Blue Coat Systems. « La création et la suppression rapides de nouveaux sites inconnus déstabilise beaucoup de systèmes de sécurité actuels. Il est essentiel de comprendre ce que sont ces sites et comment ils sont utilisés afin de mieux assurer la sécurité des systèmes d’information. »

Les cybercriminels apprécient particulièrement les sites éphémères car : ils créent un état de perplexité : en effet, les domaines dynamiques sont plus difficiles à bloquer pour les solutions de sécurité que les domaines statiques. Ils submergent les solutions de sécurité : en générant un volume de domaines important, les cybercriminels augmentent leurs chances d’en voir un pourcentage conséquent passer au travers des systèmes de sécurité. Ils passent sous les radars : en associant les sites éphémères au chiffrement et à l’exécution de code malveillant entrant, et/ou au vol de données sortantes sécurisées à l’aide du protocole SSL, les cybercriminels peuvent rendre leurs attaques invisibles des solutions de sécurité des organisations, incapables d’empêcher, de détecter et de réagir face à ces menaces.

Sans cesse confrontées aux cyber-attaques, les organisations peuvent tirer des enseignements importants des résultats de cette étude afin d’être mieux informé et de renforcer leur sécurité : les systèmes de sécurité doivent être informés en temps réel de la part de systèmes automatisés capables d’identifier et d’attribuer des niveaux de risques à ces sites éphémères ; les systèmes de défense statiques ou non réactifs ne suffisent pas à protéger les utilisateurs et les données d’une entreprise ; les systèmes de sécurité s’appuyant sur des politiques de sécurité doivent pouvoir agir à partir d’informations en temps réel afin de bloquer les attaques menées à l’aide de codes malveillants.

Les chercheurs de Blue Coat ont analysé plus de 660 millions noms de serveurs uniques ayant fait l’objet de requêtes de la part de 75 millions d’utilisateurs dans le monde sur une période de 90 jours. Ils ont découvert que 71 % de ces serveurs, soit 470 millions, étaient en réalité des « merveilles éphémères », des sites n’existant que pour un jour.

Banque, BYOD, Chiffrement, Cloud, cryptage, Entreprise, Fuite de données, Paiement en ligne, Propriété Industrielle

Un livre blanc sur les risques associés aux certificats numériques

À chaque fois que des transactions ou accès au réseau sécurisés sont requis, la personne demandant l’accès doit d’abord prouver son identité. L’une des méthodes d’identification de l’utilisateur est l’emploi de certificats numériques qui sont semblables à des cartes d’identité numériques. Cette procédure fait l’objet d’un examen dans un nouveau livre blanc publié par les spécialistes de la sécurité informatique de SecurEnvoy, intitulé « Les Risques de l’authentification à l’aide des certificats numériques ». Vous pouvez le télécharger gratuitement sur le site Web de la société [Lien ci-dessous, ndlr DataSecurityBreach.fr].

Un certificat numérique est en réalité une clé privée stockée sur une carte à puce ou un dispositif mobile, que l’utilisateur porte toujours sur lui. Toutefois, dans ce cas le problème des identités distribuées représente un désavantage important. Étant donné que pour chaque dispositif (final) qu’un utilisateur veut utiliser pour son travail, qu’il s’agisse d’un PC, d’un smartphone ou d’une tablette, un certificat séparé est requis. Ceci entraîne un travail d’installation pénible, ainsi qu’une véritable « jungle de certificats » en fonction du nombre de périphériques impliqués.

En outre, les certificats demeurent sur les appareils finaux et peuvent tomber aux mains de criminels s’ils sont perdus ou vendus, ce qui pose un problème pour les données sensibles. Une alternative plus simple, mais doublement sécurisée est l’authentification forte sans jeton, qui est également décrite dans le livre blanc [En Anglais].

Banque, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Leak, Piratage

La lutte contre la cybercriminalité est-elle perdue ?

Les gros titres du dernier Verizon Data Breach Investigation Report semblent sous-entendre que la lutte contre la cybercriminalité pourrait être perdue.

Verizon a précisé, après avoir analysé les données de plus de 100 000 incidents de sécurité sur 10 ans, que 92 % des attaques peuvent être réparties en 9 types de menaces* – ce qui signifie que les entreprises font toujours face aux mêmes risques et aux mêmes attaques, depuis tout ce temps, et à plusieurs reprises. Pour certains, les « méchants sont en train de gagner » et les entreprises doivent en prendre conscience et savoir qu’aucune d’entre elles n’est à l’abri d’une attaque.

Effectivement, aucune entreprise ne sera surprise par ces résultats et en particulier les infrastructures critiques, qui ont pleinement conscience d’être sous la menace quotidienne d’une attaque. Mais cela ne signifie pas que l’industrie est en train de perdre pied face aux cybercriminels. La prise de conscience de la menace signifie que la plupart des équipes de sécurité adoptent une approche plus réaliste de leur sécurité.

De nombreux RSSI, et leurs équipes reconnaissent qu’ils sont sous la menace régulière d’une attaque et, qui plus est, savent malheureusement que le plus souvent la sécurité est compromise par une personne dans l’entreprise qui a fait ce qu’elle n’aurait pas dû faire, comme cliquer sur un lien dans un email. Les menaces les plus courantes auxquelles les RSSI sont confrontés au quotidien ne font plus les gros titres des journaux mais ces anciennes techniques demeurent et représentent de sérieux enjeux pour les équipes de sécurité, et non des moindres.

Le RSSI d’une banque majeure a par exemple, récemment confié, être encore confronté à des ordinateurs de son réseau infectés par Conficker – alors qu’il s’agit d’une menace vieille de plusieurs années. Il a également précisé que son plus grand risque pour la sécurité sont les employés eux-mêmes, qui font des choses alors qu’ils savent qu’ils ne devraient pas les faire, et compromettent ainsi leur PC et par conséquence le réseau.

* Les attaques de malwares, la perte ou le vol d’appareils, les attaques DDoS, les arnaques à la carte bancaire, les attaques d’applications web, le cyber-espionnage, les intrusions, le vol interne et les erreurs humaines, telles que l’envoi d’emails avec des données sensibles à la mauvaise personne.

Il est donc impératif que les RSSI et leurs équipes soient en mesure d’identifier et de traiter une menace rapidement et de voir quelle est son interaction dans leurs réseaux par les machines compromises.

Aujourd’hui, les RSSI reconnaissent qu’il est impossible d’assurer une cybersécurité à 100%, c’est-à-dire que le risque d’attaque et de compromission doit être accepté par l’entreprise. Par contre, lorsqu’on les interroge sur la suite à donner en cas d’attaque en cours : est-ce qu’ils doivent bloquer immédiatement l’attaque au risque d’être repéré par le hacker, ou est-ce qu’ils doivent laisser l’attaque se poursuivre pour apprendre comment les hackers s’y prennent et quel est leur objectif ? La réponse varie : les fonctions orientées « métier » veulent bloquer l’attaque afin que l’entreprise puisse poursuivre son activité, les fonctions orientées « sécurité », préfèrent surveiller l’attaque et en tirer des leçons afin de mettre en œuvre des défenses solides.

Le rapport Verizon indique également que cela prend encore plus de temps d’identifier les compromissions dans une entreprise – souvent des semaines ou des mois – alors que pénétrer une entreprise ne prend que quelques minutes ou quelques heures.

Cependant, il n’y a vraiment aucune excuse qui justifie l’augmentation de la cybercriminalité car à ce jour, les entreprises peuvent utiliser une protection contre les malwares avancés qui peut identifier, contenir et remédier aux malwares identifiés en quelques clics de souris. Plus nous utiliserons ces solutions, plus nous pouvons espérer voir une diminution des violations de sécurité dans le rapport 2015.

Bien qu’une sécurité à 100 % n’existe pas, si vous abordez le problème de la cybermenace avec une approche globale – avant, pendant et après une attaque – vous serez dans une meilleure position pour identifier et faire face à la menace rapidement puis limiter les dommages causés dans la mesure du possible.

Ignorer le risque n’est tout simplement pas une option envisageable. Mettre la tête dans le sable et refuser de reconnaître le défi conduira les entreprises au désastre. Mieux vaut se préparer à l’inévitable et être sûr quand cela arrive – vous le savez alors le plus tôt possible et vous pouvez prendre les mesures appropriées pour minimiser l’impact.

Ainsi, plutôt que de déclarer que la lutte contre la cybercriminalité est perdue – il existe une prise de conscience croissante des risques et un sentiment croissant de réalisme quant à la nature du paysage de la menace cyber. Il y a aussi aujourd’hui, de meilleurs outils disponibles pour identifier et faire face aux menaces. L’industrie de la cybersécurité est dans la meilleure position possible pour vaincre les cybercriminels. Il incombe cependant aux entreprises d’acquérir les meilleures pratiques cyber et de déployer des outils de protection contre les malwares avancés. (Cyrille Badeau, Directeur Europe du Sud Cyber Security Group de Cisco Systems.)

Banque, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Paiement en ligne

Traitement des paiements conformes à PCI

Les sociétés de service en particulier détiennent de grandes quantités de données clients qui nécessitent un niveau élevé de protection. Lors du tri des informations pour le traitement des paiements, les sociétés doivent également satisfaire aux exigences de conformité PCI DSS (normes de sécurité des données des cartes de paiement).

Ces exigences stipulent, entre autre, que la connexion au système interne d’une société ne peut pas être simplement protégée par un mot de passe. Dans cette situation, l’authentification forte sans jeton de SecurEnvoy offre la solution idéale. Les employés reçoivent un code numérique par SMS sur leur téléphone mobile, qu’ils peuvent saisir en plus de leur mot de passe.

Lors du traitement des paiements, les sociétés sont soumises à plusieurs règlements de conformité. Par exemple, les règlements PCI DSS stipulent la nécessité d’un accès hautement sécurisé aux réseaux contenant des informations sensibles à propos des paiements par carte de crédit. Les employés accédant à distance à ces réseaux sont particulièrement affectés par ces exigences spécifiques : conformément à PCI DSS, se connecter en utilisant uniquement un mot de passe n’est pas autorisée.

Sécurité supplémentaire au moment de la connexion
Les sociétés doivent répondre à cette exigence et établir une sécurité supplémentaire pour la connexion au réseau. L’authentification forte est idéale pour cette situation. De nombreuses sociétés ne sont pas satisfaites de devoir acquérir des cartes à puce coûteuses ou d’autres jetons pour l’authentification du personnel. Mais il existe une alternative moins onéreuse et sécurisée : l’authentification forte sans jeton telle que SecurAccess.Avec cette solution, les téléphones mobiles sont utilisés à la place des jetons physiques traditionnels. Lorsqu’un utilisateur souhaite se connecter au réseau, un code numérique à six chiffres est envoyé par SMS ou e-mail. Des applications à jeton virtuel sont également proposées pour toutes les plateformes mobiles principales sans frais supplémentaires. Le mot de passe est saisi avec les identifiants de connexion personnels de l’utilisateur, afin d’assurer une identification sans ambigüité. Le numéro d’identification n’est valide qu’une fois et expire immédiatement après avoir été saisi. Pour la connexion au réseau suivante, SecurAccess envoie une nouvelle combinaison de chiffres à l’utilisateur.

« SecurAccess utilise les téléphones mobiles en tant que jetons pour plusieurs bonnes raisons, » explique Steve Watts, directeur des ventes et du marketing à SecurEnvoy. « Tout d’abord, presque tout le monde possède un téléphone mobile ou un smartphone et deuxièmement, tout le monde porte son téléphone sur soi. Les jetons physiques sont souvent perdus ou les employés les oublient accidentellement chez eux. Ceci entraîne non seulement des coûts de remplacement, mais cela ralentit le travail car pendant une certaine période de temps, les employés ne peuvent pas s’authentifier et ne peuvent donc pas accéder au réseau. Par conséquent, pour les sociétés de service, la transmission d’un numéro d’identification par SMS est le moyen le plus efficace et le moins coûteux d’assurer la conformité PCI DSS ».

Cybersécurité, Entreprise, Fuite de données, Virus

Icoscript, le code malveillant qui communique par webmail

2 commentaires

Voici une nouveauté intéressante dans le petit monde des codes malveillants. L’éditeur d’antivirus G Data vient de mettre la main sur Icoscript, un code pirate qui passe par webmail pour lancer ses actions malfaisantes.

Ce nouvel espion utilise n’importe quel webmail (Yahoo!, gMail, …) pour recevoir des commandes de son serveur de contrôle (C&C). Pourquoi une telle idée ? G Data explique que les accès aux services de webmail sont rarement bloqués dans les entreprises, le cheval de Troie peut recevoir et exécuter des commandes sans être remarqué. CQFD !

L’analyse détaillée de Icoscript a été publiée dans le Magazine Virus Bulletin, on y découvre que lLe code étant modulaire, il peut aussi à tout moment changer de moyen de communication et passer, par exemple,  par LinkedIn, Facebook tout autre réseau social dans un futur proche !

Bitcoin, BYOD, Chiffrement, Cloud, cryptage, Entreprise, Sauvegarde

Attaque à l’encontre de NAS de la marque Synology

2 commentaires

Depuis quelques semaines, des utilisateurs de NAS de la marque Synology, des boitiers de stockages, ont été visés par un logiciel malveillant qui chiffre le contenu des disques durs du produit de la société américaine.

Baptisé Synolocker, le code malveillant est injecté de différente manière, dont une technique toute simple, retrouver l’ip du boitier et de s’y connecter pour bloquer la lecture des contenus.

Une technique qui vise de vieux NAS, du moins dont les mises à jour n’ont pas été effectuées.  Le pirate réclame entre 250 et 300 euros, en bitcoin (0.6 bitcoin). L’entreprise a mis à jour son firmware pour contrer plusieurs failles qui ont pu être exploitées par le malveillant. Une technique, pour bloquer l’attaque, du moins la freiner, fermer le NAS. Cela provoquera un arrêt du chiffrement en cours.

Preuve, aussi, qu’une sauvegarde parallèle et hors connexion est loin d’être négligeable.

Message d’alerte du NAS

Dear user,
The IP address [211.228.238.239] experienced 5 failed attempts when attempting to log into DSM running on SYN1 within 5 minutes, and was blocked at Thu Jul 31 22:41:50 2014.

Sincerely,
Synology DiskStation

Argent, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Leak, Vie privée

L’impact des failles de données sur la fidélité des clients

65 % des consommateurs adultes se déclarent peu enclins à poursuivre leurs relations commerciales avec des entreprises ayant subi une faille touchant aux données financières.

Selon une nouvelle étude de SafeNet, Inc., un des leaders mondiaux de la protection des données, les failles de données ont un impact significatif sur les relations commerciales qu’une marque peut entretenir avec ses clients. Il ressort en effet de cette étude réalisée auprès de plus de 4 500 consommateurs adultes dans cinq des plus grandes économies du monde (États-Unis, Royaume-Uni, Allemagne, Japon et Australie) que près des deux tiers (65 %) des personnes interrogées envisagent de ne plus jamais – ou très peu – entretenir de relations commerciales avec une enseigne ayant subi une faille de données doublée d’un vol de données financières (numéros de cartes bancaires, numéros de comptes bancaires et autres informations de connexion).

En parallèle, SafeNet annonce également aujourd’hui les résultats de l’étude Breach Level Index (BLI) du deuxième trimestre qui précise que 237 failles ont été recensées d’avril à juin 2014, impactant plus de 175 millions d’enregistrements à travers le monde. Les résultats de cette étude soulignent donc l’impact que les failles de données peuvent avoir sur la fidélité des clients et le business des entreprises. Les failles de données impliquant des informations personnelles identifiables sont considérées comme légèrement moins nocives pour les entreprises que les failles impliquant des données financières : seulement un peu plus de la moitié des personnes interrogées (57 %) indiquant ne plus jamais – ou très peu – entretenir de relations commerciales avec une entreprise ayant subi une faille de données de cette nature.

« Les failles de données ne sont pas seulement des failles de sécurité. Ce sont également des violations de la confiance entre les entreprises et leurs clients, qui peuvent écorner l’image de marque, entraîner un manque à gagner, des poursuites juridiques et des amendes potentiellement menaçantes pour la viabilité des entreprises. Pour les sociétés qui ne sont pas capables de gérer leur vulnérabilité en matière de sécurité, le problème ne fera qu’empirer : en effet, à mesure que les réglementations concernant la déclaration des failles de données deviendront plus strictes à travers le monde, les failles gagneront en visibilité auprès du grand public. C’est pourquoi les entreprises doivent tout faire pour protéger les données de leurs clients », a déclaré Tsion Gonen, directeur de la stratégie de SafeNet.

Dans les cinq pays concernés par l’enquête de fidélisation client, la répartition des personnes qui envisagent de ne plus jamais – ou très peu – entretenir des relations commerciales avec une enseigne ayant subi une faille de données, est la suivante :

États-Unis : 54 %
Royaume-Uni : 68 %
Allemagne : 53 %
Japon : 82 %
Australie : 72 %

Seulement la moitié des consommateurs estiment que les entreprises prennent la sécurité des données au sérieux. Selon les résultats de cette enquête, seulement la moitié des adultes interrogés estiment que les entreprises prennent la protection et la sécurité des données suffisamment au sérieux. Ce sentiment est susceptible d’avoir été influencé par le volume élevé de failles de données enregistré en 2014. Au cours du seul deuxième trimestre, les failles de données ont frappé de nombreuses entreprises renommées dont AOL, Dominos, eBay, Office et Spotify. Plus de 175 millions de dossiers clients renfermant des informations personnelles et financières ont été impactés à travers le monde.

« Face à l’augmentation de la fréquence et de l’ampleur des failles de données, il ne fait aucun doute que toutes les entreprises sont exposées à plus ou moins longue échéance. Les cybercriminels visent les cibles les plus faciles, et dans de nombreux cas, les données personnelles ne sont pas chiffrées. Les conséquences sont limpides : il est temps que les entreprises pensent à protéger davantage leurs données au moyen d’une solution de chiffrement forte et d’authentification multi-facteurs. Seules les entreprises ayant adopté une approche basée sur les « failles sécurisées » et ayant chiffré la totalité des données seront en mesure de conserver leurs clients en cas de faille de données », a conclu Tsion Gonen.

Chiffrement, cryptage, Cybersécurité, Espionnae, Facebook, Identité numérique, Vie privée

Piratage facile des données utilisateurs Instagram

2 commentaires

Une nouvelle vulnérabité, considérée comme critique, touche le jouet de Facebook, Instagram.

La faille permet à un internaute malveillant de mettre la main sur les informations des utilisateurs, dont le cookies de connexion. L’attaque peut se faire via les applications (sauf mobile, ndlr) du portail communautaire. Des logiciels qui n’utilisent pas les connexions chiffrées. Bref, via un hotspot wifi, une connexion d’entreprise (coucou admin, ndlr), les données transitent en clair. Un « homme du milieu », n’a plus qu’à se servir.

Mazin Ahmed, qui a découvert le probléme a contacté facebook qui lui a confirmé connaitre le probléme depuis 2012. Facebook travaille à réfléchir quand la version HTTPS sera mise en place pour Instagram. A noter qu’en France Facebook et Instagram sont donc dans l’illégalité la plus totale et pourrait être poursuivit. La loi Française impose aux entreprises de sécuriser au mieux les données que les utilisateurs peuvent lui laisser.

Data Security Breach rappelle à Facebook et Instagram que la communication d’informations à des personnes non-autorisées est punie de 5 ans d’emprisonnement et de 300 000 € d’amende. Que la divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende. Article 226-22 du code pénal. A cela, DataSecurityBreach.fr rajoute que le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende. Article 226-17 du code pénal. Seule la version mobile d’Instagram chiffre les informations.

Chiffrement, cryptage, Entreprise, Fuite de données, Paiement en ligne, Propriété Industrielle

Galileo communique en mode chiffré

Le Satelitte commercial Galileo vient de conclure ses premiers tests de diffusion en mode chiffré.

La démonstration a permis de diffuser des signaux à la fois chiffrés et non chiffrés. Au cours d’une période d’essai de 10 jours, les récepteurs situés à Tres Cantos (Espagne) et Poing (Allemagne) ont pu emettre et recvoir des informations protégées. Les essais ont confirmé le chiffrement, contenant l’authentification et l’assurance de données non altérées. Les signaux chiffrés ont été diffusés sur les « signaux » E6-B et E6-C des satelittes Galileo. Une démonstration pour ce concurrent du service américain (GPS, …). Une fois opérationnel, deux autres signaux cryptés sur la bande E6 seront proposés. Il reste encore pas mal de travail avant une mise en action définitive des services de Galileo qui devraient débuter en 2016.

Android, Argent, Arnaque, Cybersécurité, escroquerie, ios, Sécurité, Smartphone

Piège autour de Clash of Clans

Clash of Clans, Bubble Witch, Boom Beach… des applications vidéo ludiques qui font un carton sur les smartphones et autres tablettes. Des jeux qui, mais ce n’est pas obligé, proposent de payer pour passer des niveaux, gagner de l’énergie, des bonus, … Bref, des jeux qui rapportent des centaines de milliers d’euros aux éditeurs. Les joueurs peuvent dépenser beaucoup, du moins pour les plus impatients. Des pirates ont trouvé le moyen de piéger ses joueurs impétueux en leur proposant de tricher, du moins les « gamerz » le pensent. Plusieurs sites, installés en Iran, tentent d’inciter les joueurs à télécharger des applications ayant pour mission de gagner plus, en jouant moins. « Clash-of-Clans Hack illimit gemmes » ; « BubbleWitch2 illimit bonus » ; … promettent les pirates. Derrière ces faux logiciels, de vrais pièges qui n’ont qu’une seule finalité, infiltrer les appareils des propriétaires. A noter que DataSecuityBreach.fr a repéré aussi des applis, toujours sur des sites Iraniens, proposant de télécharger des « followers-Instagram ».

Banque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage

Piratage à la Banque Centrale Européenne

Quelques semaines après la chaîne de livraison de pizza Domino’s Pizza, ou encore de plusieurs journaux, c’est aujourd’hui la Banque Centrale Européenne d’annoncer avoir été victime d’un vol de données personnelles de certains de ses clients.

Un piratage qui s’est suivi, comme en Belgique, d’un chantage exercé par les cybercriminels responsables de l’intrusion et du vol des données. « De plus en plus de cybercriminels volent des données non cryptées dans le but de les revendre sur le marché noir ou de les utiliser dans des actions de cyber-chantage, explique Jason Hart, vice-président Solutions Cloud de SafeNet.Toutes les données stockées sous forme de texte brut peuvent être lues sans la moindre difficulté, et sont par conséquent à la merci des cybercriminels. Face à de telles menaces, il est indispensable que les entreprises pensent à chiffrer toutes les données de leurs clients – et ce, qu’elles soient stockées ou en transit dans leur réseau. » Dans le cas de la Banque Centrale, l’atatque peut être considérée comme « modérée ».

Dans ce cas précis, la gravité a été minimisée par le fait que les mots de passe et les informations financières étaient chiffrées. Néanmoins, le fait que des pirates aient pu mettre la main sur des adresses électroniques et des numéros de téléphone peut à court terme avoir des répercussions significatives sur le niveau de confiance des clients.

Argent, Arnaque, Banque, Cybersécurité, escroquerie, Fuite de données

Opération Silver Spaniel

Dans son nouveau rapport intitulé 419 Evolution (Version évoluée de la fraude 419), l’équipe d’analyse des menaces chez Palo Alto Networks — aussi appelée « Unité 42 » — explique que les responsables d’escroqueries opérant depuis le Nigeria utilisent désormais les outils souvent déployés par des groupements criminels et des spécialistes de l’espionnage au mode opératoire plus complexe pour subtiliser les données métier essentielles des entreprises.

Loin d’être une nouveauté, voilà plusieurs années que Data Security Breach vous explique que certains de ces escrocs utilisent skype, TeamViewer and co pour agir. Ces délinquants avaient à leur actif des arnaques peu subtiles visant à recueillir par hameçonnage les données bancaires ou les renseignements personnels des particuliers. Ces dernières années, ils ont acquis de nouvelles compétences leur permettant d’exploiter des méthodes plus perfectionnées dirigées contre les entreprises.

Palo Alto Networks a donc découvert que les pirates amateurs des arnaques nigérians exploitent des outils d’administration à distance accessibles par l’intermédiaire de forums clandestins (y compris certains logiciels commerciaux comme NetWire) qui permettent d’obtenir un contrôle total sur les systèmes infectés. Bref, ils utilisent des chevaux de Troie.

« Les activités malveillantes Silver Spaniel sont menées depuis le Nigeria et emploient toutes des tactiques, des techniques et des modes opératoires similaires. Ces pirates ne possèdent pas des connaissances techniques pointues, mais représentent une menace croissante pour les entreprises alors même que ces dernières ne constituaient pas jusqu’alors leurs cibles principales », précise Ryan Olson, directeur de la recherche au sein de l’Unité 42 chez Palo Alto Networks. À titre de protection contre l’outil d’administration à distance NetWire, Palo Alto Networks propose un logiciel gratuit capable de décrypter les commandes, de contrôler le trafic et de révéler les données volées par les pirates Silver Spaniel. Le rapport (accessible après inscription)

Cyber-attaque, Cybersécurité, Leak, Piratage, Virus

La guerre est ouverte contre ShyLock

Un commentaire

Un consortium composé d’éditeur d’antivirus, d’agences de répression, dot la police Française, et de plusieurs entreprises du secteur bancaire a choisi de renforcer la lutte contre les cyber-attaques utilisant le trojan Shylock en s’attaquant directement aux serveurs et domaines utilisés par les criminels. L’éditeur de solution de sécurité informatique Kaspersky Lab a fourni son service d’intelligence informatique pour traquer les menaces et les logiciels malveillants.

Les 8 et 9 juillet 2014, les agences de répression ont pris des mesures pour désorganiser le système dont dépend Shylock pour fonctionner efficacement. Elles ont agi notamment pour saisir des serveurs qui forment le système de commande et de contrôle du trojan, et prendre le contrôle des domaines qu’utilise Shylock pour la communication entre les ordinateurs infectés.

L’opération, coordonnée par l’Agence nationale contre le crime (NCA) du Royaume-Uni, a rassemblé des partenaires des agences de répression et des secteurs privés, y compris Europol, le FBI, BAE Systems Applied Intelligence, Dell SecureWorks et l’agence de renseignement et de sécurité du Royaume-Uni (GCHQ), afin de combattre ensemble la menace.

Des enquêtes ont été lancées depuis le Centre européen de lutte contre la cybercriminalité (EC3) d’Europol à La Haye. Des enquêteurs du Royaume-Uni (NCA), des États-Unis (FBI), d’Italie, des Pays-Bas et de Turquie ont uni leurs forces pour coordonner l’opération dans leurs pays, de concert avec des homologues en Allemagne, en France et en Pologne. La coordination assurée par Europol a joué un rôle essentiel pour stopper les serveurs constituant le cœur des botnets, des logiciels malveillants et de l’architecture Shylock. Le CERT de l’UE a participé à l’action et diffusé des informations sur les domaines malveillants à ses confrères.

Lors de cette opération, des parties jusque-là inconnues de l’architecture de Shylock ont été découvertes, ce qui a permis de lancer immédiatement des actions de suivi et de les coordonner depuis le centre opérationnel de La Haye.

Shylock – nommé ainsi parce que son code contient des extraits du Marchand de Venise de Shakespeare – a infecté au moins 30 000 ordinateurs dans le monde exécutant Microsoft Windows. Des renseignements suggèrent que Shylock vise le Royaume-Uni plus que tout autre pays ; cependant, les États-Unis, l’Italie et la Turquie sont également dans le collimateur du code malveillant. On estime que les développeurs suspects sont basés dans d’autres pays.

Les victimes sont généralement infectées en cliquant sur des liens malveillants, puis amenées à leur insu à télécharger et exécuter le logiciel malveillant. Shylock cherche ensuite à accéder à des fonds détenus sur des comptes commerciaux ou de particuliers, et à les transférer aux contrôleurs criminels. Une opération qui a pu aider les cyber-investigateurs de première ligne, coordonnés par l’agence NCA du Royaume-Uni, et en présence sur place du FBI et de collègues d’Italie, de Turquie et des Pays-Bas, tout en établissant des liens virtuels vers des cyber-unités en Allemagne, en France et en Pologne.

« La NCA prend les devants en s’attaquant à une cyber-menace ciblant les entreprises et les particuliers dans le monde entier. Le but est de porter un coup violant à l’infrastructure de Shylock, et elle démontre comment nous utilisons des partenariats entre les divers secteurs, et outre les barrières nationales pour réduire la cybercriminalité » explique Andy Archibald, Deputy Director of the NCA’s National Cyber Crime Unit au Royaume-Uni.

Les campagnes de fraude bancaire ne sont plus des cas isolés. Nous avons assisté à une hausse considérable de ces types d’opérations malveillantes. Rien qu’en 2013, le nombre de cyber-attaques basées sur des logiciels malveillants conçus pour dérober des données financières a augmenté de 27,6 % pour atteindre les 28,4 millions.

BYOD, Chiffrement, Cloud, cryptage, Entreprise, Fuite de données

Le phénomène shadow IT : un cauchemar pour les entreprises

Une meilleure coopération avec les employés, de nouveaux outils et de nouveaux processus d’obtention de services informatiques pour contrer le phénomène du Shadow IT.

Dans beaucoup d’entreprises, les administrateurs informatiques font de plus en plus face à une nouvelle source de contraintes : le Shadow IT. Beaucoup de départements et d’employés se procurent et utilisent des applications sans que le département informatique ne soit mis au courant ou n’ait donné son accord. Une enquête [1] réalisée par PricewaterhouseCoopers (PwC) indique que 15 à 30% des dépenses informatiques des entreprises sondées se font hors budget officiel.

Le BYOD légitime la prolifération
Pour tous les administrateurs informatiques, cette prolifération rapide de l’utilisation de telles applications est devenue un réel problème qui s’est développé dans l’ombre. Ce phénomène a été appelé le ‘Shadow IT’, un terme qui décrit l’utilisation de ‘services et produits informatiques n’ayant pas d’approbation’ ou comme l’a expliqué Christopher Rentrop, professeur d’informatique à l’Université de Constance au département des sciences appliquées : « Le Shadow IT, c’est l’ensemble des applications acquises sans que le département informatique ne soit impliqué et pour lesquelles l’ITSM (la gestion des services informatiques) ne gère pas l’utilisation. » Ce phénomène ne date pas d’hier : le BYOD n’a fait qu’encourager sa diffusion et, dans une certaine mesure, le légitimer dans beaucoup d’entreprises. Mais le réel problème ne vient pas des appareils personnels des employés puisqu’ils peuvent être identifiés par des outils de gestion réseau. Il provient de la difficulté à surveiller les plateformes des réseaux sociaux et les applications Cloud. Par exemple, les collaborateurs utilisent Facebook ou Dropbox pour envoyer ou publier des documents sans se faire remarquer.

Ces logiciels et services non-approuvés et impossibles à surveiller, gérer et supprimer engendrent une consommation de la bande passante, un ralentissement des réseaux, posent des problèmes de conformité, ajoutent de la charge de travail aux départements informatiques et leur infligent un plus gros coût financier. La moitié des administrateurs informatiques interrogés pour l’enquête PwC pensent que la gestion du Shadow IT représente 50% de leur budget et luttent pour plus de transparence. Une enquête effectuée par des spécialistes réseaux d’Ipswitch auprès de 400 administrateurs informatiques révèle que 12% d’entre eux souhaiteraient en premier lieu pouvoir éclaircir cette zone d’ombre que demeure le Shadow IT. Ils pensent que leur travail au quotidien serait bien plus simple si les utilisateurs signalaient les applications installées sur leur ordinateur professionnel.

L’une des raisons principales du développement du Shadow IT est que les processus d’obtention de services informatiques sont obsolètes dans la plupart des entreprises. Ce sont ces lourds processus mis en place et utilisés depuis plus de 25 ans qui créaient cette zone d’ombre. Ils doivent être repensés et restructurés. Les entreprises doivent se focaliser sur les besoins de leur personnel et tenir compte des procédures et obtentions nécessaires pour rendre les employés plus efficaces, plus productifs et en fin de compte, plus satisfaits.

Être à l’écoute du personnel
Les risques ne peuvent être contrôlés que si la ‘consumérisation’ de l’informatique est considérée comme une opportunité. Globalement, les employés ne souhaitent pas délibérément contourner les procédures informatiques. Ils ont généralement un problème spécifique et important pour lequel ils ont besoin d’une solution rapidement. Bien sûr, il est bien plus facile pour le personnel d’une entreprise d’utiliser des solutions Cloud bon marché online plutôt que d’engager de long processus d’obtention auprès des services informatiques qui pourraient au final ne servir à rien ou ne pas résoudre le cœur de leur problème. Au quotidien, ces personnes sont habituées à pouvoir utiliser les applications normales ou Cloud qu’elles souhaitent et qui leur facilitent la vie. Pourquoi ne feraient-elles pas pareil sur leur lieu de travail ? C’est ce qui explique les phénomènes tels que la grande popularité de Dropbox dans les entreprises. Puisqu’il n’est pas possible d’envoyer des emails avec des pièces jointes trop lourdes, les employés règlent rapidement le problème en créant des liens Dropbox.

Il est temps que les départements informatiques essaient de coopérer. Cinq étapes peuvent atténuer les impacts du Shadow IT et encourager la coopération avec les employés :

·        Une solution de gestion réseau est nécessaire pour identifier les applications non-autorisées avant qu’elles ne posent problème. Un système de surveillance du trafic réseau pourrait être une solution.
·        L’utilisation de la bande passante du réseau doit être transparente. L’administrateur informatique doit savoir quels sont les utilisateurs, les appareils et les applications qui obligent à repousser les limites des capacités du réseau.
·        Un système de surveillance qui identifie immédiatement les appareils posant problème est également nécessaire. Quel utilisateur a accès à quel appareil et via quel appareil ?
·        Les problèmes qui causent un ralentissement ou une panne du réseau doivent être identifiés et résolus plus rapidement.
·        Pour prévenir l’utilisation de systèmes Cloud qui ne peuvent pas être surveillés et qui exposent les données à des risques, les départements informatiques doivent mettre en place des outils d’échange de données simples et efficaces.

Les départements informatiques devraient se concentrer sur la mise en place d’outils et de solutions permettant une bonne gestion des résultats. En d’autres termes, le problème n’est pas d’éradiquer le Shadow IT mais d’en tirer avantage au maximum. Essayer d’éliminer le Shadow IT ou nier son existence ne serait que fermer les yeux devant une réalité.

Afin de créer la transparence nécessaire, il est important de coopérer avec les employés. Les outils de surveillance peuvent aider à sauvegarder les performances du réseau, à surveiller la disponibilité des applications et à prévenir un usage abusif. Cependant, il est surtout essentiel de soumettre les processus d’obtention de services informatiques établis à un examen approfondi rigoureux et de les rendre plus simples et plus rapides. (Par Yannick Hello, Responsable S-EMEA chez Ipswitch, Inc.)

Cybersécurité, Virus

Avira ouvre un laboratoire de sécurité numérique

L’expert en sécurité Avira a annoncé aujourd’hui l’ouverture d’un nouveau laboratoire de Recherche et Développement sur la sécurité numérique à son siège américain de Burlingame.

Le nouveau R&D Digital Security Lab concevra et mettra au point les produits de sécurité de nouvelle génération de la société, et s’intéressera plus particulièrement aux questions de sécurité relatives au marché mobile à l’horizon 2-5 ans.

L’un des grands enjeux pour l’avenir de la sécurité sera la protection de l’utilisateur, quelle que soit la façon dont il choisira de se connecter à Internet. Nous continuerons d’assister au développement d’un paysage multi-support et multiplateforme vers « l’Internet du tout » qui est déjà en train de s’installer.

« Avira vit une époque palpitante, car nous sommes chargés d’imaginer ce que le monde du logiciel sera pour les consommateurs dans deux à cinq ans, et quelles seront les menaces pour la sécurité en ligne », a déclaré Leon Crutchley, directeur du R&D Digital Security Lab d’Avira. « Notre équipe mettra au point les concepts des logiciels de sécurité du futur, présentera les prototypes à l’équipe de direction pour qu’elle les évalue, puis travaillera en collaboration avec nos équipes de produit pour transformer les prototypes les mieux adaptés en produits de consommation et les lancer sur le marché. »

Le R&D Digital Security Lab d’Avira travaille actuellement sur des questions telles que l’identification et l’authentification des personnes, les communications et transactions en ligne, et la définition de la confidentialité en ligne. La fonction Identity Safeguard mise au point pour les applications mobiles iOS et Android destinées aux consommateurs, annoncée en avril, est le premier exemple du travail réalisé par le laboratoire.

Cybersécurité, Mise à jour, Patch, Wordpress

Faille pour le plugin WPtouch

Des chercheurs de chez Securir, qui avaient déjà mis la main sur plusieurs autres failles visant des applications WordPress, viennent de tirer la sonnette d’alarme à l’intention des administrateurs de sites web sous WordPress, et plus précisément aux utilisateurs du plugin WPTouch.

Cette application permet aux sites web de proposer une version pour mobile. La faille permet à n’importe quel internaute inscrit et enregistré sur le WordPress faillible d’injecter une backdoor, un shell, qui permet ensuite de manipuler le site et le serveur (selon les autorisations, NDLR) au bon vouloir du pirate. Sur les 73 millions de sites web sous WordPress dans le monde, 5,7 millions utilisent WPtouch. Autant dire un sacré vivier pour les pirates. Securir indique qu’une mise à jour du Plugin est plus que conseillé.

Cyber-attaque, Cybersécurité, DDoS, Piratage

Nombre record d’attaques DDoS au 1er semestre 2014

Le premier semestre 2014 a connu plus de 100 attaques supérieures à 100 Gbit/s, c’est le chiffre étonnant qui ressort du dernier rapport de la société Arbort Network.

Deux fois plus d’attaques dépassant 20 Gbit/s ont été enregistrées durant les six premiers mois de 2014 que dans l’ensemble de l’année 2013. Les attaques par réflexion NTP représentent près de 50 % de celles de plus de 100 Gbit/s. Arbor Networks Inc., société de fourniture de solutions de sécurité et de gestion de réseaux d’entreprises et d’opérateurs, a publié dans ses statistiques mondiales relatives aux attaques DDoS un retour sur expérience qui laisse présager des mois encore plus difficile. Son étude est issue de son observatoire des menaces ATLAS. ATLAS s’appuie sur une collaboration avec près de 300 opérateurs qui partagent des données anonymes de trafic avec Arbor Networks afin d’offrir une vue globale complète du trafic et des menaces.

ATLAS collecte des statistiques représentant 90 Tbit/s de trafic Internet et fournit les données de Digital Attack Map, un site créé en coopération avec Google Ideas dans le but de cartographier les attaques au niveau mondial.

Principales observations d’ATLAS au premier semestre 2014
Le premier semestre 2014 a connu un nombre record d’attaques DDoS volumétriques, avec plus de 100 d’entre elles supérieures à 100 Gbit/s.
En juin 2014, le nombre d’attaques dépassant 20 Gbit/s était deux fois supérieur à celui relevé sur l’ensemble de l’année 2013.
L’attaque de plus grande ampleur enregistrée au 2ème trimestre 2014 a été mesurée à 154,69 Gbit/s, soit une baisse de 101 % par rapport au 1er trimestre. Il s’agissait d’une attaque par réflexion NTP dirigée contre une cible en Espagne.
Si les attaques par réflexion NTP demeurent importantes, leur taille et leur étendue sont en recul par rapport au 1er trimestre 2014. Les volumes moyens de trafic NTP sont en baisse au niveau mondial, mais sans revenir aux niveaux de novembre 2013 (avant le début de la prolifération des attaques NTP).

Au 2ème trimestre 2014, les attaques de très grande envergure ont été moins nombreuses, avec une taille moyenne inférieure de 47 % comparée au 1er trimestre. « Dans le sillage de la tempête d’attaques par réflexion NTP observée au 1er trimestre, les attaques DDoS volumétriques ont continué d’être un problème durant une bonne partie du 2ème trimestre, avec un chiffre sans précédent d’une centaine d’attaques dépassant 100 Gbit/s depuis le début de l’année. Par ailleurs, nous avons déjà enregistré au moins deux fois plus d’attaques supérieures à 20 Gbit/s que le total relevé sur l’ensemble de l’an passé », commente Darren Anstee, responsable de l’équipe d’architectes en solutions d’Arbor Networks. « La fréquence des attaques de très grande ampleur demeure préoccupante et les entreprises doivent donc adopter une solution de protection intégrée sur plusieurs niveaux. Même celles disposant d’une capacité élevée d’accès à Internet peuvent désormais la voir saturée assez facilement par les attaques qui font rage sur le réseau. »