Archives de catégorie : Patch

61 Vulnérabilités corrigées en septembre

Le Patch Tuesday de ce mois corrige 61 vulnérabilités dont 20 classées comme critiques. Parmi ces dernières, la plupart sont liées aux navigateurs tandis que les autres concernent Windows, Hyper-V et l’infrastructure .Net. Une vulnérabilité (CVE-2018-8475) d’exécution de code à distance divulguée publiquement. Elle peut apparaître sous la forme d’un fichier image compromis. En outre une vulnérabilité (CVE-2018-8457) dans le moteur de script.

Correctifs pour les postes de travail

Les patches destinés aux navigateurs et au moteur de script doivent être déployés en priorité sur tous les systèmes bureautiques qui utilisent un navigateur pour accéder à la messagerie et à Internet. La visionneuse PDF, le système d’analyse des images de Windows, l’infrastructure .Net et la bibliothèque de polices Windows bénéficient aussi de patches pour des vulnérabilités basées sur l’interaction de l’utilisateur avec un site ou un fichier malveillant. Deux de ces vulnérabilités étant divulguées publiquement, il est important de définir les priorités pour le déploiement des correctifs sur les postes de travail Windows.

Attaque Escape dans l’hyperviseur Hyper-V

Deux vulnérabilités avec exécution de code à distance (RCE) sont corrigées dans l’Hyper-V. Elles permettaient à un utilisateur authentifié sur un système invité d’exécuter du code arbitraire sur le système hôte. Microsoft signale que l’exploitation de cette vulnérabilité est moins probable, mais ces patches restent tout de même une priorité pour les systèmes Hyper-V.

FragmentSmack

Même si cette vulnérabilité n’a pas été corrigée, Microsoft a publié des recommandations pour la vulnérabilité FragmentSmack qui est un déni de service contre la pile IP.

Vulnérabilité 0-Day ALPC

La menace 0-Day mentionnée hier dans le billet de blog a été corrigée dans la publication de ce mois-ci. Cette vulnérabilité entraînait une élévation de privilèges locaux, des attaques actives ont été lancées à l’aveugle en s’appuyant sur cette vulnérabilité.

Adobe

Adobe publie des correctifs pour Flash et Coldfusion. Tandis qu’Adobe classe la CVE-2018-15967 comme une élévation de privilèges « importante » contre Flash, Microsoft indique cette vulnérabilité comme critique, elle est identifiée comme exécution de code à distance (RCE). Concernant les patches Coldfusion, 9 vulnérabilités CVE sont traitées dont 6 classées critiques. Fin août, Adobe a également publié des patches en urgence pour Adobe Photoshop CC et Creative Cloud. Deux vulnérabilités CVE dans Photoshop sont classées critiques et une vulnérabilité dans Creative Cloud est classée comme importante. (Par Jimmy Graham dans The Laws of Vulnerabilities pour DataSecurityBreach.fr)

Menace : les documents Office peuvent être dangereux

Nous utilisons quasiment tous des documents Microsoft Office. Qu’il s’agisse de documents de travail, de reçus électroniques ou du bail d’un nouvel appartement, les documents Office sont utiles à chacun d’entre nous et c’est en partie la raison pour laquelle nous sommes susceptibles de les ouvrir lorsque nous en recevons en pièce jointe d’un e-mail. Connaissant la propension de nombreux utilisateurs à ouvrir la quasi-totalité des documents, même ceux provenant d’une source non fiable, des individus malintentionnés choisissent couramment ces fichiers pour attaquer et infecter un système.

Nous allons ici passer en revue cinq techniques différentes permettant de détourner les documents Office pour en faire des armes d’attaque et d’infection des postes de travail Windows. Nous en avons déjà évoqué certaines précédemment, tandis que d’autres sont nouvelles.

Macros

Les macros sont le moyen le plus simple pour un assaillant d’infecter des documents Office. Les applications Office intègrent un moteur de scripts capable d’exécuter le langage VBA (Visual Basic for Applications). Du code malveillant contenu dans ces scripts peut ainsi s’exécuter sur le système dès l’ouverture du document, sans aucune intervention de l’utilisateur (à condition toutefois que ce dernier ait au préalable activé les macros). Si l’utilisateur n’a pas activé les macros, un message apparaît pour lui demander s’il souhaite le faire. Il s’agit de l’un des divers mécanismes de sécurité mis en place par Microsoft afin d’atténuer le risque présenté par les macros. Microsoft impose également une autre extension de nom de fichier (.docm au lieu de .docx pour les nouveaux documents contenant des macros). En dépit de ces mesures de sécurité, des utilisateurs décident néanmoins d’ouvrir ces fichiers et d’activer leur contenu, de sorte que les macros demeurent un vecteur courant, aussi bien pour des attaques vastes et simples destinées à propager un ransomware, telles que Emotet, que pour des campagnes élaborées, à l’image de Sofacy.

Comme l’illustre cet exemple, les auteurs des attaques tentent de convaincre les utilisateurs de désactiver les mécanismes de sécurité mis en place par Microsoft. Ils usent, pour ce faire, de techniques d’ingénierie sociale, persuadant l’utilisateur d’activer le contenu afin de pouvoir consulter l’intégralité du document. Dans l’exemple Sofacy, les assaillants ont simplement coloré le texte en blanc, de sorte que celui-ci était bien présent avant que l’utilisateur n’active les macros, mais invisible.

Fichiers Flash incorporés

En dehors des fonctionnalités intégrées telles que les macros, les documents Office peuvent aussi incorporer des objets externes, par exemple des fichiers Adobe Flash. Ces objets étant transmis au logiciel approprié pour leur traitement, toute vulnérabilité éventuellement présente dans ce logiciel peut également être exploitée par son incorporation dans le contenu Adobe Flash à l’intérieur du document Office. Un exemple de ce vecteur d’attaque est la faille Zero Day CVE-2018-4878dans Adobe Flash Player, exploitée par l’incorporation de fichiers SWF malveillants dans des documents Excel. Dans les attaques de ce type, le document Excel infecté incorpore un contenu Adobe Flash capable de déclencher la vulnérabilité Flash et d’exécuter du code shell intégré.

Editeur d’équations Microsoft

Comme pour les fichiers Adobe Flash incorporés dans un document Office, il est également possible d’insérer dans des documents des équations mathématiques qui seront interprétées par l’Editeur d’équations Microsoft, un outil ayant pour vocation de faciliter leur écriture :

Comme dans notre exemple précédent, des vulnérabilités dans l’éditeur d’équations s’exploitent par l’intermédiaire de documents Office malveillants. Nous en avons observé des cas tout récemment lorsque la faille CVE-2017-11882 a été exploitée, ouvrant la voie à d’autres, telles que CVE-2018-0802. Toutes deux touchent l’éditeur d’équations, ce qui permet d’amener l’utilisateur à ouvrir un document Office pour l’exécution de code à distance. Des vulnérabilités similaires dans l’Editeur d’équations Microsoft, telles que CVE-2018-0807 et CVE-2018-0798, identifiées par les chercheurs de l’Unité 42.

Il est à noter que, l’Editeur d’équations Microsoft s’exécutant sous la forme d’un processus distinct (eqnedt32.exe), les protections spécifiques à Microsoft Office, telles que EMET et Windows Defender Exploit Guard ne sont pas efficaces par défaut, car elles protègent uniquement les processus Microsoft Office (par exemple winword.exe).

Objets OLE et handlers HTA

Les objets OLE et les handlers HTA sont des mécanismes pour les documents Office. Ils font référence à d’autres documents inclus dans leur contenu. Ils peuvent servir à infecter un poste de travail de la manière suivante :

Un objet OLE2 (lien) s’incorpore dans un document Microsoft Word. Une fois le document ouvert, le processus Word (winword.exe) envoie une requête HTTP à un serveur distant afin de télécharger un fichier HTA contenant un script malveillant. Winword.exe recherche alors dans le handler le type « application/hta » via un objet COM, ce qui entraîne le chargement et l’exécution du script malveillant par l’application Microsoft HTA (mshta.exe).

Cette fonctionnalité a été exploitée dans la vulnérabilité CVE-2017-0199, permettant l’exécution de code à distance dans Microsoft Office/WordPad et corrigée par Microsoft en septembre 2017. Diverses campagnes y ont eu recours, par exemple OilRig.

Aux côtés des vulnérabilités OLE et HTA décrites plus haut, les auteurs des attaques ont découvert que des fichiers RTF peuvent également exécuter des objets OLE de type mime « text/html », au moyen de MSHTML. Cela signifie que les documents RTF présentent la même vulnérabilité aux attaques qu’Internet Explorer.

CVE-2018-8174

L’exploitation de cette vulnérabilité logique, nommée CVE-2018-8174, permet aux auteurs d’attaques d’exécuter du code HTML/JavaScript/VBScript arbitraire. Tandis que le code exécuté de cette façon se place dans une « sandbox » (où il ne peut lancer de nouveaux processus, écrire dans le système de fichiers ou effectuer d’autres opérations) à l’instar de tout autre code exécuté à partir d’Internet Explorer. Cette faille peut servir à en exploiter d’autres, par exemple une vulnérabilité UAF de corruption de mémoire dans le moteur VBScript, pour permettre l’exécution de code arbitraire dans le cadre de l’application Word (winword.exe) et la prise de contrôle du système.

Tandis que les attaques utilisant des documents comme vecteur sont courantes depuis plus d’une dizaine d’années, nous observons une augmentation récente de leur fréquence et de leur complexité. Cette tendance pourrait s’expliquer par la difficulté croissante d’exploiter les vulnérabilités des navigateurs, en raison du renforcement de leur protection par leurs développeurs. Quoi qu’il en soit, il est important pour les entreprises de savoir comment se défendre.

OpenSSH faillible depuis 20 ans ?

Toutes les versions d’OpenSSH, publiées au cours des 20 dernières années, sont soumises à une vulnérabilité dangereuse. Compte tenu de la large diffusion d’OpenSSH, cela peut représenter des milliards de périphériques vulnérables.

Les chercheurs en sécurité de la société Qualys ont remarqué une vulnérabilité dans OpenSSH. La faille permettrait à un pirate de deviner les connexions enregistrées sur les serveurs OpenSSH. Une action possible à distance.

Le problème (CVE-2018-15473) touche toutes les versions du client OpenSSH publiées au cours des 20 dernières années. Compte tenu de la large diffusion d’OpenSSH, cela peut représenter des milliards de périphériques vulnérables – des serveurs cloud aux équipements IoT -. La correction du problème risque de prendre du temps. Le correctif correspondant est cependant disponible.

Mode d’attaque

Pour attaquer avec succès, un pirate qui tente de s’authentifier sur un serveur vulnérable, va communiquer une demande d’authentification spécialement conçue. Le serveur peut répondre à la requête de deux manières différentes: la connexion n’existe pas, le serveur répondra par un message d’erreur. Si un nom d’utilisateur existe, la connexion quitte sans réponse. C’est ce dernier comportement qui permet à un malveillant de deviner les connexions valides enregistrées sur le serveur SSH. Il n’a plus qu’à sortir le dictionnaire de mots de passe.

Correctif

La vulnérabilité corrigée avec la sortie de versions stables d’OpenSSH. Les experts publient un code PoC pour vérifier la présence de vulnérabilités sur les serveurs (ici et ). Les chercheurs ont notamment présenté des instructions détaillées sur la manière de tester la présence d’un problème sur les serveurs.

Malware Zacinlo : outil pour fraude publicitaire

Un nouveau malware appelé Zacinlo, spécialisé dans la fraude publicitaire découvert. Il infecte le PC de l’utilisateur pour ensuite ouvrir des sessions de navigateur invisibles dans le but de charger des bannières publicitaires et de simuler des clics sur ces dernières, ou encore remplacer les publicités naturelles dans le navigateur par celles du pirate pour détourner les revenus publicitaires générés.

Cet adware a plusieurs caractéristiques qui ont attiré l’attention  :

  • Zacinlo contient un driver de type rootkit, qui se protège lui-même ainsi que ses autres composants. Celui-ci peut stopper des processus jugés dangereux pour le fonctionnement de l’adware, tout en empêchant son arrêt ou sa suppression. Les chercheurs ont également relevé la présence de fonctionnalités « man-in-the-browser » qui interceptent et déchiffrent les communications SSL. Cela permet à l’adware d’injecter du code JavaScript personnalisé dans les pages Internet visitées par l’utilisateur. Les malwares basés sur des rootkits sont EXTRÊMEMENT rares, et constituent généralement moins de 1% des menaces habituelles. Ils sont également très difficiles à éliminer car ils s’intègrent profondément au système d’exploitation.
  • Zacinlo inclut un programme de nettoyage d’adware, utilisé pour éliminer la « concurrence » potentielle pour l’espace publicitaire. Il est plutôt générique et ne cible pas de famille ou de type d’adware en particulier.
  • Il collecte des informations à propos de l’ordinateur infecté. Par exemple, si un logiciel antivirus est installé ou non (et si oui, lequel), quelles applications se lancent au démarrage, etc.
  • Il prend des captures d’écran et les envoie au serveur de commande et contrôle pour analyse. Cette fonctionnalité menace la vie privée des victimes car les captures d’écran peuvent contenir des informations sensibles telles que des e-mails, des conversations privées, des identifiants ou des coordonnées bancaires.
  • Il peut faciliter l’installation de quasiment n’importe quel nouveau logiciel de manière transparente, sans arrêter de fonctionner et ainsi étendre ses fonctionnalités.
  • Il ajoute ou remplace des publicités lors de la navigation en cherchant des objets de type « DOM » par taille, par style, par classe ou expressions régulières spécifiques.
  • Il extrait des publicités de plusieurs plateformes, dont Google AdSense.
  • Il ouvre des pages Internet en arrière-plan dans des fenêtres cachées, et interagit avec elles comme un utilisateur normal : en les faisant défiler, en cliquant et en utilisant le clavier. Il s’agit d’un comportement typique des fraudes publicitaires, qui inflige d’importants dommages financiers aux plateformes publicitaires en ligne.
  • Zacinlo utilise énormément de projets et de bibliothèques Open-Source (ex : chromium, cryptopop, jsoncpp, libcef, libcurl, zlib).
  • Il utilise des scripts Lua pour télécharger différents composants (très certainement afin de passer inaperçu aux yeux de certains programmes antivirus qui détectent les téléchargements suspects et les bloquent).
  • Il dispose d’un design extrêmement paramétrable et hautement modulaire, ce qui lui permet d’étendre ses fonctionnalités grâce à des scripts et des fichiers de configuration disponibles via les infrastructures de commande et contrôle.

Ce malware est présent principalement aux États-Unis et semble avoir une certaine affinité pour Windows 10. La France et l’Allemagne font également partie des pays qui en sont victimes, bien que le nombre d’infections soit un peu plus bas qu’aux États-Unis jusqu’ici.  Un livre blanc édité par BitDefender détaille ce nouveau malware ICI .

Patch Tuesday : 51 nouveaux correctifs pour juin

Le Patch Tuesday de juin est plus léger que ceux des mois précédents, avec 51 CVE uniques résolues dont 11 classées comme critiques. Adobe a également publié la semaine dernière une mise à jour urgente pour une vulnérabilité qui affecte Flash Player, qui est activement exploitée.

Speculative Store Bypass Microsoft a publié des correctifs pour Speculative Store Bypass lors de son patch Tuesday, une vulnérabilité également dénommée Variante 4 de Spectre. Ces patches déploient une protection Speculative Store Bypass Disable (SSBD) pour les processeurs Intel. Le nouveau microcode Intel devra être pleinement protégé contre la Variante 4. Microsoft a publié un article contenant des actions recommandées.

Windows DNSAPI Des patches ont été publiés pour des vulnérabilités détectées dans la bibliothèque DLL DNSAPI de Windows. Ces dernières peuvent permettre à un attaquant de compromettre un système via un serveur DNS malveillant. Les postes de travail mobiles se connectant à des points wifi non fiables sont à risque. Ce patch est donc une priorité pour eux.

Protocole HTTP Une faille critique dans le fichier HTTP.sys de Microsoft est également corrigée dans le Patch Tuesday de juin. HTTP.sys « écouteur en mode noyau » utilisé par IIS et différents services Windows. Un attaquant qui exploite cette vulnérabilité peut prendre le plein contrôle de la machine ciblée. Ce patch doit être déployé de manière prioritaire sur tous les systèmes, serveurs et postes de travail Windows.

Navigateurs et moteur de script Les autres patches Microsoft critiques de ce mois-ci sont destinés principalement aux navigateurs, au moteur de script Windows et à Windows Media Foundation. Ces correctifs doivent être déployés en priorité sur les équipements de type poste de travail.

Adobe Adobe a donc publié la semaine dernière une mise à jour non programmée pour une vulnérabilité découverte dans son module Flash Player. Selon Adobe, cette vulnérabilité est exploitée activement et doit être corrigée en priorité sur les équipements de type postes de travail. En mai dernier, une autre mise à jour en urgence avait déjà été publiée pour Adobe Reader qui faisait aussi l’objet d’un exploit disponible publiquement. Ce patch est également une priorité pour les postes de travail impactés. (Par Jimmy GrahamThe Laws of Vulnerabilities)

14 failles de sécurité pour des modèles BMW

Des chercheurs en cybersécurité découvrent 14 failles de sécurité dans des modèles de la marque automobile BMW. Ces vulnérabilités permettraient d’intervenir à distance sur le fonctionnement interne d’une voiture ciblée.

Depuis plusieurs années déjà, de nombreux chercheurs ont mis en garde les constructeurs automobiles contre leurs systèmes électroniques qui sont souvent conçus sans qu’une profonde attention ne soit portée à la sécurité. On se rappelle notamment de Charlie Miller et Chris Valasek qui avaient montré en 2015 comment ils parvenaient à prendre le contrôle d’une Jeep alors que le véhicule roulait sur l’autoroute.

L’intérêt de telles démonstrations basé sur un scénario catastrophe a permis aux grand public mais surtout aux constructeurs, de prendre conscience du risque qui n’est plus du tout hypothétique. Dans le cas présent, BMW a travaillé conjointement avec ce groupe de chercheurs chinois et a reconnu leur effort pour, au final, améliorer la sécurité de ses voitures. « Il ne reste plus qu’à espérer que cette démonstration incite d’autres marques à faire de même. » confirme Jérôme Ségura, de chez Malwarebytes.

Les chercheurs ne sont pas à leur coup d’essai. Ils avaient déjà trouvé plusieurs vulnérabilités dans divers modules embarqués utilisés par Tesla. La société Allemande a confirmé les problèmes et leurs corrections en cours.

Cosiloon : les appareils Android livrés avec des malwares pré-installés

Cosiloon – Des chercheurs découvrent un adware pré-installé sur plusieurs centaines de modèles et de versions d’appareils Android différents, y compris ceux fabriqués par ZTE, Archos ou encore myPhone. La majorité de ces appareils ne sont pas certifiés par Google.

Le logiciel publicitaire en question porte le nom de « Cosiloon », et crée une superposition pour afficher une annonce sur une page web dans le navigateur de l’utilisateur. Des milliers d’individus sont touchés, et le mois dernier, Avast a identifié la dernière version de l’adware sur environ 18 000 appareils appartenant aux utilisateurs situés dans plus de 100 pays, dont la France, l’Italie, le Royaume-Uni, l’Allemagne ou encore la Russie parmi d’autres, ainsi que quelques cas aux États-Unis.

L’adware est actif depuis au moins trois ans, et s’avère difficile à supprimer. Il est en effet installé au niveau du firmware (ou micrologiciel) et utilise un code rendu impénétrable par procédé d’offuscation. Le géant du Web a ainsi pris des mesures pour atténuer les capacités malveillantes de nombreuses variantes d’applications sur plusieurs modèles d’appareils, en exploitant des techniques développées en interne.

Google Play Protect a été mis à jour pour garantir la protection de ces applications à l’avenir. Néanmoins, étant donné qu’elles sont pré-installées avec le firmware, le problème reste donc difficile à résoudre. Google a contacté les développeurs de micrologiciels pour les sensibiliser et les encourager à prendre des mesures pour y remédier.

Identifier Cosiloon

Au cours des dernières années, le Threat Labs d’Avast a régulièrement observé des échantillons Android à caractère étrange, dans sa base de données. Ils ressemblaient à n’importe quel autre échantillon, à l’exception que l’adware semblait pas disposer de point d’infection et présentait plusieurs noms de packages similaires, les plus communs étant :

  • com.google.eMediaService
  • com.google.eMusic1Service
  • com.google.ePlay3Service
  • com.google.eVideo2Service

La façon dont le logiciel publicitaire est arrivé sur les appareils n’est pas claire. Le serveur de contrôle était en service jusqu’en avril 2018, et les auteurs ont continué de le mettre à jour avec de nouvelles charges utiles. Les fabricants ont également continué d’expédier de nouveaux appareils avec l’injecteur (ou dropper, en anglais), également appelé « programme seringue » ou « virus compte-gouttes » qui est un programme informatique créé pour installer un logiciel malveillant sur un système cible.

Certaines applications antivirus signalent les charges utiles, mais l’injecteur les ré-installe et ne peut pas lui-même être supprimé. Ce qui signifie que le terminal aura toujours un dispositif permettant à un inconnu d’installer n’importe quelle application. Les chercheurs ont par ailleurs noté que l’adware permet d’installer le dropper sur les appareils, mais il est également en mesure de télécharger facilement un logiciel espion, un ransomware ou tout autre type de menace.

Avast a tenté de désactiver le serveur C&C (Command and Control) de Cosiloon en envoyant des demandes de retrait au registraire de noms de domaines et aux fournisseurs de serveurs. Le premier fournisseur, ZenLayer, a rapidement répondu et désactivé le serveur, mais il a été restauré après un certain temps par le biais d’un autre fournisseur. Le registraire n’a lui pas donné suite, ce qui signifie que le serveur fonctionne toujours.

Désactiver Cosiloon

Les utilisateurs peuvent trouver le dropper dans leurs paramètres (intitulé « CrashService », « meMess » ou « Terminal » avec l‘icône d’Android), et cliquer sur le bouton « désactiver » sur la page des applications, si disponible (selon la version Android). Cela désactivera l’injecteur qui ne reviendra pas.

Une exploit 0-Day pour Internet Explorer utilisée in the wild

Fin avril 2018, un exploit inconnu jusqu’alors détécté. Après analyse, il s’avère que cet exploit utilise une vulnérabilité zero-day CVE-2018-8174 pour Internet Explorer. L’exploit a été utilisé dans des attaques ciblées. Depuis le 8 mai, Microsoft propose la contre-mesure de sécurité.

Il est intéressant de noter que l’exploit Internet Explorer a été téléchargé au sein d’un document Microsoft Word. C’est la première fois que l’on note l’utilisation d’une telle technique. A noter également qu’une version de Microsoft Word entièrement patchée a été exploitée avec succès. Après cette découverte, Microsoft diffuse un patch disponible ici, depuis mardi 8 mai.

Un exploit est une forme de logiciel qui se sert des bugs ou des vulnérabilités d’autres logiciels pour infecter des victimes avec un code malveillant. Les exploits sont utilisés très largement par les cybercriminels à la recherche de profits mais aussi par des acteurs plus sophistiqués, qui disposent de soutiens étatiques, dans un but malveillant.

Dans ce cas particulier, l’exploit identifié se base sur le code malveillant exploitant la vulnérabilité zero-day – un bug typique « use-after-free » quand un code exécutable légitime, comme celui d’Internet Explorer, comporte une logique de traitement de la mémoire incorrecte. Cela conduit à la communication d’un code avec de la mémoire disponible. Alors que dans la plupart des cas, cela débouche sur un simple crash du navigateur, l’exploit permet aux attaquants de prendre le contrôle de l’appareil.

Des analyses approfondies de l’exploit ont permis de mieux comprendre la chaine d’infection :

  • La victime reçoit un document Microsoft Office RTF malveillant
  • Après avoir ouvert le document malveillant, la seconde phase de l’exploit est téléchargée – une page HTML avec un code malveillant
  • Le code déclenche un bug UAF de corruption de la mémoire
  • Le shellcode qui télécharge la charge malveillante est alors exécuté.

« Cette technique, jusqu’à ce qu’elle soit corrigée, permettait aux criminels de forcer le chargement d’Internet Explorer, peu importe le navigateur habituellement utilisé par la victime. Cela démultiplie le potentiel de l’attaque, pourtant déjà énorme. Heureusement, la découverte proactive de la menace a permis à Microsoft de sortir un patch correctif dans les temps. Nous invitons les organisations et utilisateurs à installer les patchs les plus récents immédiatement après leur disponibilité, car il ne faudra pas beaucoup de temps avant que les exploits de cette vulnérabilité ne trouvent leur place dans des kits d’exploits populaires et soient utilisés non seulement par les acteurs de menaces sophistiqués, mais également par des cybercriminels de plus petit calibre », explique Anton Ivanov, Security Researcher, Kaspersky Lab

Nouvelle vague de phishing détectée. 550 millions de mails bloqués

Grâce à sa technologie prédictive basée sur une intelligence artificielle, Vade Secure a découvert début janvier une vague d’attaque de phishing d’un nouveau genre. Habituée à des mails usurpant l’identité de banques, de fournisseurs d’accès internet ou de grands noms de la grande distribution en ligne, dans le but de voler les identifiants de connexion de la victime, la société  a détecté en janvier une nouvelle vague de phishing frappant la France.

Représentant un volume mondial cumulé de 550 millions de mails sur le premier trimestre 2018, cette nouvelle vague d’arnaque se présente sous la forme d’un mail marketing proposant un coupon de réduction ou la participation à un concours en ligne. Cet mail usurpant des marques de la grande distribution, de services de streaming en ligne ou bien encore d’opérateurs télécoms géolocalise la victime et adapte son discours en fonction de la langue. Cf. les captures d’écran ci-dessous.

Sébastien Gest, Tech Evangéliste de Vade Secure explique : « La finalité de cette attaque réside dans le fait de voler les coordonnées bancaires de la victime à la suite d’un quizz dans le but de gagner le fameux coupon réduction ». 

Quelle est la nouveauté dans cette attaque ? 

Habituellement les pages de phishing sont hébergées sur des sites internet piratés. Ce n’est pas ici le cas, les adresses IP, les serveurs et les noms de domaines semblent loués et donc légitimes. Après analyse, le coût de l’infrastructure engagée par les pirates semble très important, pouvant se chiffrer à plusieurs dizaines de milliers d’euros. Afin de brouiller les outils de détection, les pirates ont utilisé en série des outils permettant de raccourcir les URL dans le but de masquer l’adresse de destination du lien. Cette technique a été utilisée en chainant plusieurs centaines d’URL entre elles.

Du fait de ces différentes techniques de nombreuses solutions basées sur des technologies de réputation ne détectent pas cette nouvelle vague, qui nécessite des techniques avancées d’analyse des liens et du contexte de la menace pour être bloquée.

Quelques conseils à destination des particuliers :

o    Ne jamais cliquer sur un lien si la sollicitation vous semble suspecte.

o    Si vous avez un doute allez sur isitphishing.ai et entrez l’adresse pour valider si la page est une page légitime ou une page de phishing.

o    Toujours être vigilant devant un mail même si la marque vous semble familière.

o    Une entreprise ne demandera jamais vos identifiants par mail. ​

Pour un cyberespace plus sûr

Pour un cyberespace plus sûr : Microsoft signe un accord mondial aux côtés d’une trentaine d’entreprises internationales pour une meilleure protection des citoyens

Au cœur de notre société, le cyberespace fait désormais partie de notre quotidien. Protéger de tout risque potentiel la confidentialité et l’intégrité de nos données, les services et objets connectés, l’accès et l’utilisation des réseaux… constitue une priorité, et cela, quel que soit le secteur concerné. C’est en ce sens que 30 des plus importants acteurs de l’IT et de la Sécurité, dont Microsoft, ont signé un Cybersecurity Tech Accord à l’occasion de la conférence RSA qui se déroule actuellement à San Francisco. Cet accord a pour objectif de renforcer la cybersécurité à travers le monde afin de protéger les organisations, entreprises et particuliers contre les attaques malveillantes quelle qu’en soit l’origine. Parmi les signataires de ce texte figurent les principaux acteurs du secteur, qu’ils soient experts en cybersécurité comme Cisco, Symantec, CA Technologies, FireEye, F-Secure, TrendMicro, ou acteurs majeurs des technologies tels que Facebook, HP, Microsoft, Nokia, Oracle ou encore SAP.

Les principaux engagements de cet accord

Assurer la protection de toutes les organisations et de tous les individus

Qu’il s’agisse d’un individu, d’une organisation ou d’un état, les signataires s’engagent à les protéger de la même manière dans le monde entier, et ce, quelles que soient la nature et l’origine de la menace.

Renforcer la sécurité et la protection des utilisateurs et des clients face aux cyberattaques criminelles et gouvernementales

Aucune des entreprises engagées n’apportera son soutien à un état qui souhaiterait lancer une cyberattaque contre un autre état, une entreprise ou un individu. De même, elles lutteront contre le détournement et la falsification de leurs services et solutions à des fins malveillantes.

Proposer aux utilisateurs, clients et développeurs des outils et des solutions fiables

Chacun des signataires s’engage à accroitre la protection des développeurs comme des utilisateurs de leurs services contre toute attaque. Une collaboration active pour le déploiement de nouvelles pratiques et de nouvelles fonctionnalités au profit d’une sécurisation renforcée est également prévue.

Agir conjointement en faveur d’une cybersécurité renforcée

Les signataires s’engagent à collaborer plus étroitement avec l’ensemble des parties prenantes pour coordonner la publication de failles, partager les menaces, lutter contre les codes malveillants introduits dans le cyberespace… tout en améliorant la collaboration sur un plan technique.

Cet accord reste ouvert aux partenaires de confiance qui souhaiteraient s’engager en faveur de ces principes et contribuer à renforcer la sécurité du cyberespace.

La signature de ce Cybersecurity Tech Accord s’inscrit dans le cadre des engagements de Microsoft en matière de cybersécurité prônant une coopération renforcée entre les États et les acteurs privés de l’IT. Cette accord fait également écho aux déclarations de Brad Smith, Président et Directeur juridique de Microsoft, qui appelait les États, en février dernier, à créer une convention de Genève du numérique destinée à inciter les gouvernements à adopter les normes internationales nécessaires à la protection des citoyens dans le cyberespace.

Pas (encore) de normes de sécurité pour les objets connectés

De nombreux objets connectés iot pour la maison et le bureau ne sont tout simplement pas sécurisés. On ne compte plus les histoires sur les vulnérabilités des objets connectés – particulièrement ceux utilisés à domicile. Bien que certaines aient l’air « tirées par les cheveux » – comme celle de la caméra pour bébé piratée qui répondait à sa mère – d’autres, comme le botnet Mirai, montrent que les problèmes de sécurité liés aux petits objets peuvent rapidement prendre de l’ampleur. Bref, difficile d’oublier que nombre d’objets connectés ne sont pas très sécurisés.

Camouflés derrière le plastique lustré de ces appareils connectés iot tout neufs pour la maison, de nombreux facteurs contribuent pourtant à créer cet environnement à risque. Voici les trois facteurs principaux, mais il en existe d’autres :
1.Les mots de passe codés en dur
2.Les mots de passe par défaut difficiles à changer
3.Les vulnérabilités non corrigées

La balle n’est PAS dans votre camp (mais vous êtes quand même coupable)
Avec un ordinateur à la maison, vous pouvez suivre de bonnes mesures de sécurité. Cela signifie entre autres, avoir installé un antivirus et faire en sorte que toutes vos applications et pilotes soient à jour (voire même utiliser un programme qui s’en charge tout seul). Et puis il y a cet élément important du piratage psychologique, vous en tant qu’utilisateur, ne cliquez pas sur des offres trop alléchantes sur Internet sans en être sûr.

Mais avec les objets connectés, impossible de suivre ce genre de précautions. Dans le meilleur des cas, vous pouvez modifier le mot de passe par défaut, mais ça s’arrête là. Le plus souvent, vous ne saurez même pas avec qui votre télé connectée communique et de quoi elle parle. Et ces appareils recueillent un tas de données potentiellement compromettantes sur vous et vos activités. En fait, même si votre caméra de surveillance faisait partie d’une armée internationale de botnets par DDoS, vous ne le sauriez pas.

SOS, mais qui pouvez-vous appeler ?
Les failles de sécurité de nombreux objets connectés ont lancé le débat sur les moyens des autorités ou des instances de réglementation pour remédier au problème. Aux États-Unis, une loi a été proposée qui obligerait les objets connectés achetés par le gouvernement fédéral à répondre à certaines normes. L’entrée en vigueur de cette loi aurait des répercussions sur la sécurité, car les fabricants devraient faire en sorte que leurs appareils soient plus sécurisés pour les clients du secteur public. Puis, cette certification pourrait également être utilisée pour d’autres types de clients.

Dans l’Union européenne, la Commission européenne dispose de l’AIOTI, l’Alliance for Internet of Things Innovation, un groupe de travail qui souhaiterait que les labels sur les produits – comme ceux utilisés pour présenter les données sur la consommation d’énergie – s’étendent aussi aux objets connectés.

Toutefois, cet autre concept d’auto réglementation ferait encore appel à des organismes de tests indépendants comme l’American Underwriters Laboratories, le German Stiftung Warentest ou l’AFNOR en France.

Il est temps de faire vos propres recherches sur la sécurité
Cependant, toutes ces options n’en sont encore qu’à leurs balbutiements et au moment d’acheter un objet connecté sécurisé, vous êtes encore livré à vous-même. La seule option pratique qui vous soit disponible pour le moment est de faire des recherches pour écarter toute marque ou modèle lié(e) à un problème de sécurité. Vous pouvez également jeter un œil à la liste de Krebsonsecurity des objets considérés comme problématiques. Cependant, cette approche en mode « système D » ne mettra pas au jour les composants génériques d’objets connectés, qui ont été intégrés à un système.

Il existe aussi des solutions qui peuvent vous aider à sécuriser vos connexions telle que Avira Home Guard. Il s’agit d’une application gratuite pour Windows qui scanne les objets intelligents connectés au réseau, identifie les vulnérabilités de sécurité, suggère des solutions et conserve un inventaire des appareils connectés. Cette solution vous donne une vue complète des appareils connectés à votre réseau et de leurs failles potentielles. Avira Home Guard est inclue dans le tableau de bord Avira pour Windows.

L’outil gratuit G DATA Scanner détecte les failles de sécurité Meltdown et Spectre

L’éditeur de solutions de sécurité propose un scanner gratuit qui détecte les failles de sécurité Meltdown et Spectre dans le système. Quand une faille est trouvée, des astuces de défense contre les attaques sont proposées à l’utilisateur.   

Scanner votre machine ! Les failles Meltdown et Spectre découvertes il y a quelques semaines seront-elles exploitées à grande échelle dans des codes malveillants ? Sur ce sujet les avis des experts divergent et se positionner aujourd’hui clairement relève de la divination. Pour autant, mieux vaut être préparé à cette éventualité.

C’est dans ce but que G DATA met gratuitement à disposition un scanneur qui détecte les vulnérabilités face aux failles Meltdown et Spectre dans le système d’exploitation. Que fait exactement ce programme ?

Le scanneur interroge les paramètres et configurations importants du système, par exemple :

  • si des mises à jour Microsoft récentes sont installées ;
  • quel processeur est installé et s’il est affecté par les failles de sécurité ;
  • quel système d’exploitation est utilisé ;
  • si des configurations BIOS critiques ont été faites ;
  • si un produit antivirus vérifié compatible avec le correctif Microsoft est installé ;

Après avoir fait cette analyse, G DATA Scanner donne des conseils pour des améliorations possibles. Les internautes doivent appliquer les conseils sans attendre pour s’assurer que le système continue à jouir d’une protection efficace.

Prérequis système :

Windows 10, Windows 8.1, Windows 8, Windows 7 SP1, Windows Server 2016, Windows Server 2012 R2, ou Windows Server 2012.

G DATA Meltdown & Spectre Scanner requiert .NET Framework 4 ou plus récent, qui est préinstallé sur Windows 8 ou Windows Server 2012. Si Windows 7 SP1 est utilisé, alors  .NET Framework 4.7.1. doit être installé précédemment.

Hide’N Seek : botnet à la sauce brute force

Détection d’un nouveau botnet IoT baptisé Hide ‘N Seek, utilisant son propre système de communication peer-to-peer.

Les chercheurs des Bitdefender Labs ont détecté l’émergence d’un botnet qui utilise des techniques de communication avancées pour infecter les victimes et créer son infrastructure. Le botnet, baptisé HNS (Hide ‘N Seek), a été intercepté par notre système d’honeypots d’objets connectés suite à une attaque par force brute via le service Telnet.

Le bot a été détecté pour la première fois le 10 janvier, puis a disparu quelques jours après, avant de réapparaitre le 20 janvier sous une forme nettement améliorée.

Impact

Le botnet HNS communique d’une manière complexe et décentralisée et utilise de multiples techniques contre l’altération pour empêcher qu’un tiers puisse le détourner. Le botnet peut procéder à l’exploitation web de toute une série d’appareils via le même exploit que Reaper (CVE-2016-10401 et d’autres vulnérabilités des équipements réseau). Le botnet embarque une multitude de commandes permettant l’exfiltration des données, l’exécution de code et la perturbation du fonctionnement d’un appareil.

Fonctionnement Hide ‘N Seek

Le botnet intègre un mécanisme d’autoréplication qui génère de manière aléatoire une liste d’adresses IP pour obtenir des cibles potentielles. Il initie ensuite une connexion raw socket avec flag SYN avec chaque hôte de la liste et continue à communiquer avec ceux ayant répondu à la requête sur des ports de destination spécifiques (23 2323, 80, 8080). Une fois la connexion établie, le botnet recherche si une bannière spécifique (« buildroot login: ») est présente chez la victime. S’il détecte cette bannière de connexion, il tente de se connecter à l’aide d’un ensemble d’identifiants prédéfinis. En cas d’échec, le botnet tente une attaque par force brute en utilisant une liste codée en dur.

Une fois qu’une session est établie avec une nouvelle victime, l’échantillon exécute un automate pour identifier correctement l’appareil ciblé et sélectionne la méthode de compromission la plus adaptée. Par exemple, si la victime a le même LAN que le botnet, celui-ci crée un serveur TFTP pour permettre à la victime de télécharger le code malveillant depuis le bot. Si la victime est connectée à Internet, le bot tente d’utiliser une méthode spécifique d’installation de charge active à distance, pour que la victime télécharge et exécute l’échantillon du malware. Ces techniques d’exploitation sont préconfigurées et stockées dans une adresse mémoire signée numériquement pour empêcher les modifications. Cette liste peut être mise à jour à distance et diffusée parmi les hôtes infectés.

Les échantillons identifiés par nos honeypots le 10 janvier s’attaquent à des caméras IP fabriquées par une entreprise coréenne. Ces appareils semblent jouer un rôle majeur sur le fonctionnement du botnet, car sur les 12 adresses codées en dur dans l’échantillon, 10 appartiennent à des appareils de la marque Focus H&S. La nouvelle version, détectée le 20 janvier, n’utilise plus d’IP codées en dur.

Comme d’autres botnet, HNS n’est pas persistant, et un simple redémarrage permet de nettoyer les appareils infectés. Il s’agit du second botnet connu à ce jour, après le célèbre botnet Hajime, qui utilisait lui aussi une architecture peer-to-peer décentralisée. Néanmoins, dans le cas de Hajime, la fonctionnalité p2p était basée sur le protocole BitTorrent, tandis qu’il s’agit ici d’un système p2p conçu sur mesure.

Hide ‘N Seek : Mécanisme de communication UDP

Le botnet ouvre un port aléatoire sur la victime et ajoute des règles de pare-feu pour permettre le trafic entrant sur ce port. Il reste ensuite en écoute sur ce port ouvert et n’accepte que les commandes décrites ci-dessous. Notre analyse initiale de l’échantillon a révélé la présence d’une clé basée sur les courbes elliptiques à l’intérieur du fichier utilisé pour authentifier la commande de mise à jour de la zone mémoire où sont stockées les options de configuration afin d’empêcher les tentatives d’infiltration ou d’infection du botnet.

Une fois exécuté, le botnet reste à l’écoute des commandes transmises soit sur le port indiqué à l’exécution soit, le cas contraire, sur un port généré aléatoirement. S’il reçoit une commande, le bot répond habituellement à l’expéditeur avec un paquet qui respecte le protocole de communication pré-établi. Comme l’analyse et le traitement des données sont exactement les mêmes en mode récepteur et émetteur, nous pouvons en conclure que la communication du botnet est basée sur une architecture peer-to-peer.

Outre leurs capacités de bot, les codes analysés intègrent également un composant de serveur web qui héberge et sert des fichiers binaires à d’autres victimes potentielles.

Jugement de la FTC : Lenovo doit demander l’accord de ses clients pour les espionner

La Federal Trade Commission, la FTC, a donné son accord final à un règlement avec Lenovo Inc. Le constructeur d’ordinateurs avait été accusé de modifier les navigateurs. Des logiciels installés dans ses machines afin d’engranger les bénéficies des publicités qui s’y affichaient.

Dans sa plainte, la Federal Trade Commission ( FTC – Commission fédérale du commerce ) a déclaré qu’à partir d’août 2014, Lenovo a commencé à vendre aux États-Unis des ordinateurs portables grand public équipés d’un logiciel de publicité préinstallé. Appelé VisualDiscovery, cet outil interférait avec la façon dont le navigateur interagissait avec les sites Web. Il affichait de la publicité au profit de Lenovo. A cela s’est ajoutait de graves failles de sécurité. Dans le cadre du règlement avec la FTC, Lenovo à interdiction de modifier les fonctionnalités des logiciels préchargés sur ses ordinateurs portables.

Il est interdit à la marque d’injecter de la publicité dans les sessions de navigation Internet des consommateurs. Ensuite, interdit aussi de transmettre des informations sensibles des consommateurs à des tiers. Si la société préinstallé ce type de logiciel, la FTC exige que l’entreprise obtienne le consentement des consommateurs avant que le logiciel puisse fonctionner sur leurs ordinateurs portables. En outre, la société est tenue de mettre en œuvre un programme complet de sécurité. Sécurisation pour la plupart des logiciels grand public préchargés sur ses portables. Et cela durant les 20 prochaines années ! Enfin, ce programme de sécurité fera également l’objet d’audits par des tiers.

Pour conclure, VisualDiscovery est un adware développé par la société américaine Superfish, Inc. VisualDiscovery diffuse des annonces sous forme de pop-up dès qu’un internaute passait sa souris sur une image d’un produit vendu dans une boutique numérique.

Identité à vendre : le marché de l’occasion petit bonheur des voleurs de données

Marché de l’occasion : une récente étude de sécurité montre que trop souvent les gens ne parviennent pas à effacer correctement leurs données personnelles sur les disques usagés, mettant ainsi en péril leur identité et leur vie privée.

Une récente étude mondiale sur la sécurité révèle que vous mettez trop facilement vos informations personnelles en danger. La société de récupération de données Kroll Ontracka analysé des disques durs d’occasion achetés en ligne pour voir s’ils contenaient des traces de données après avoir été vendu par les propriétaires précédents. Parmi les disques examinés par Kroll Ontrack, des traces de données ont été trouvées sur près de la moitié. Malgré les efforts d’un utilisateur pour effacer ses données, la récupération reste simple. Surtout si un effacement n’est pas correctement effectué.

Pour cette étude, 64 disques durs d’occasion de diverses marques ont été achetées sur eBay (vendeurs privés). Les disques avaient été effacés avec succès ou contenaient encore des traces de données. L’étude a révélé qu’il restait des traces de données sur 30 disques (47%). Les 34 disques restants avaient été nettoyés avec succès (53%).

Données sensibles à vendre sur les sites de petites annonces !

La probabilité de trouver des données personnelles n’est pas le résultat le plus inquiétant de l’étude. La sensibilité de cette information l’est plus encore. Pour les utilisateurs imprudents, la vente d’appareils contenant des données personnelles s’apparente à la vente de leur identité.

C’est le cas d’un HD qui appartenait à une entreprise. Elle utilisait un fournisseur de services pour effacer et revendre ses anciens disques. Ce média contenait une mine d’informations très sensibles. Les noms d’utilisateur, adresses de domicile, numéros de téléphone et les détails de carte de crédit ont été retrouvés. Il contenait une liste d’environ 100 noms. Des informations sur leur expérience professionnelle, leur fonction, les téléphones et un carnet d’adresses de 1 Mo sortis du HD.

Marché de l’occasion : le diable est dans les détails

18 des 64 disques examinés contenaient des informations personnelles critiques ou très critiques. Près d’un tiers (21 disques) contenait des photos personnelles, des documents privés, des courriels, des vidéos … Des informations de compte utilisateur ont été découvertes sur huit lecteurs. La récupération de données transactionnelles a été possible sur sept disques durs. Cela incluait les noms de sociétés, les bulletins de salaire, les numéros de cartes de crédit, les coordonnées bancaires, les détails d’investissement et les déclarations de revenus.

Un média contenait toujours l’historique de navigation, tandis que des données explicites étaient présentes sur un autre.

Le risque s’étend au monde des affaires

Le domaine personnel n’est pas le seul à être touché. Des informations de nature professionnelle se retrouvent très souvent sur des appareils privés, comme par exemple les données commerciales. Six disques contenaient des données commerciales critiques telles que les fichiers CAO, PDF, jpgs, clés et mots de passe. Des paramétrages complets de boutiques en ligne, des fichiers de configuration et des vidéos de formation. Cinq autres contenaient d’autres données liées au travail : les factures et les bons de commande, dont une grande partie comprenant des renseignements personnels sensibles ont aussi été découverts.

Kingston Technology, fabricant et expert dans le domaine des disques SSD, souligne que les disques SSD se comportent très différemment des disques durs lorsqu’ils enregistrent ou effacent des données. Ces différences technologiques présentent leurs propres défis techniques lorsqu’il s’agit de supprimer de manière sécurisée les données des supports de stockage Flash. Les disques SSD ont plusieurs fonctions qui affectent l’état des données stockées, comme la fonction FTL (Flash Translation Layer), qui contrôle le mappage des fichiers, ainsi que le niveau d’usure, Trim, Garbage Collection et le chiffrement permanent. Tous ont un impact sur la récupération des données supprimées.

L’informatique et l’occasion, fuite possible

Attention, Data Security Breach rappelle que les données sont aussi récupérables sur les smartphones, consoles, TV connectées ou encore l’ordinateur de bord de votre voiture (GPS, …). La revente doit se faire dans les règles de l’art en vous assurant une destruction totale des données. Enfin, je vais être honnête, il est de plus en plus difficile sans passer par le marteau ou des outils puissants et couteux pour détruire le contenu.

Java est dangereux selon une nouvelle étude

Chaque jour, des millions d’utilisateurs ont recours aux applications Java sans être conscients que 88% d’entre elles sont vulnérables aux cyberattaques !

Vous utilisez java ? Êtes-vous comme 28% des entreprises qui ont mis en place une stratégie de supervision des failles de sécurité efficace pour faire face à des attaques de grande ampleur ? CA Technologies a présenté les résultats de sa derniére étude baptisée « Rapport sur la Sécurité des Logiciels en 2017 ». Une étude réalisée par Veracode, sa filiale spécialisée dans la sécurisation des logiciels.

Ce rapport est une analyse complète de données collectées auprès de plus de 1 400 entreprises en matière de sécurité des applications. Les conclusions de l’étude sont inquiétantes en ce qui concerne les délais de correction des vulnérabilités, les pourcentages d’applications présentant des failles et les risques mniprésents liés à l’utilisation de composants open source vulnérables.

A une époque où les cyberattaques sont devenues monnaie courante (vol de données sensibles, piratage industriel, ransomware, … etc.), l’analyse fournie par Veracode démontre que, sur le terrain, les principes basiques de sécurité ne sont pas respectés. Il est donc urgent que les entreprises aient consciences des mesures nécessaires pour hausser leur niveau de sécurité, face à des hackers dont la force de frappe n’est plus à démontrer.

88% des applications Java seraient dangereuses

Chris Wysopal, Directeur Technique de CA Veracode, explique : « En raison de l’utilisation généralisée de composants exogènes par les développeurs pour coder, une seule vulnérabilité peut suffire pour mettre en danger des milliers d’applications différentes. » 88% des applications Java contiendraient au moins un composant les exposant à des attaques de grande ampleur. Tout ceci est en partie dû au fait que moins de 28% des entreprises mènent régulièrement des analyses pour analyser la fiabilité des composants d’une application.

Outre des informations concernant la menace posée par l’utilisation de composants à risque, ce rapport met également en lumière d’autres enseignements comme le fait que 77% des applications présentent au moins une faille dès la première analyse. Ce nombre progresse à un rythme alarmant pour les applications qui échappent à un test avant leur mise en production. Les institutions gouvernementales continuent à se montrer les moins performantes. Seules 24,7% d’entre elles réussissent tous les scans de sécurité applicative. Par ailleurs, elles présentent le plus de failles exploitables, par exemple par cross-site scripting (49%) ou encore par injection SQL (32%). Deux secteurs enregistrent de légères progressions entre la première et la dernière analyse des vulnérabilités de leurs applications : la santé affiche un taux de réussite au scan de sécurité de 27,6%, puis de 30,2 % ; et la grande distribution : 26,2 % puis 28,5 %.

Les raisons de ces failles majeures

Au cours des 12 derniers mois, plusieurs failles majeures au sein des applications Java ont été provoquées par des vulnérabilités de composants logiciels, qu’ils soient d’origine open source ou de suites commerciales. « Struts-Shock », une faille révélée en mars 2017, en est une illustration. Selon les résultats des analyses, plusieurs semaines après l’attaque initiale, 68% des applications Java s’appuyant sur la bibliothèque Apache Struts 2 utilisaient toujours une version à risque du composant.

Cette vulnérabilité permettait d’exécuter du code à distance grâce à l’injection de commandes, et quelque 35 millions de sites étaient concernés. En exploitant cette faille, les cybercriminels ont pu pirater les applications de nombreuses victimes, dont l’Agence du Revenu du Canada et l’Université du Delaware.

Le rapport révèle également qu’environ 53,3 % des applications Java s’appuient sur une version vulnérable de la bibliothèque Commons Collections ; un chiffre identique aux résultats trouvés en 2016. L’utilisation de composants tiers pour le développement d’applications est courant, car il permet aux développeurs de réutiliser du code fonctionnel et d’accélérer la conception de logiciels. Des études ont montré que les composants open source pouvaient même constituer jusqu’à 75% du code d’un logiciel.

Industrialisation des cyberattaques : une réalité méconnue

Pour Chris Wysopal, les équipes de développement ne cesseront pas d’utiliser de tels composants, et il n’y a pas de raison qu’elles le fassent. Cependant, en cas de vulnérabilités, le temps presse. Les composants tiers et open source ne sont pas forcément moins sécurisés que du code développé en interne. Il est donc important de conserver un inventaire de leurs versions à jour. En effet, un grand nombre de failles sont le résultat de composants vulnérables. Et à moins que les entreprises ne prennent cette menace plus sérieusement et s’appuient sur des outils adaptés pour superviser leur utilisation, le problème ne peut qu’empirer.

L’utilisation de composants à risque fait partie des tendances les plus marquantes de ce rapport. L’ambiguïté réside dans le fait que bon nombre d’entreprises donnent la priorité à la gestion des vulnérabilités les plus dangereuses sans pour autant résoudre les problèmes au niveau du développement de leurs applications de façon efficace. Même les failles les plus graves nécessitent un temps considérable pour être corrigées. Seules 22 % des failles les plus sévères sont corrigées sous 30 jours et la plupart des criminels en profitent dès leur identification. Les pirates ont donc largement assez de temps pour infiltrer un réseau donné et occasionner des dégâts parfois irréversibles.

Le rapport donne 5 conseils à suivre

Tester le plus tôt possible dans le cycle de développement et le plus souvent possible ;
Donner aux développeurs les informations et les ressources dont ils ont besoin, notamment pour leur formation continue et les procédures de remédiation ;
Respecter les procédures de remédiations scrupuleusement et immédiatement après avoir découvert les vulnérabilités ;
Identifier et documenter les versions de vos composants logiciels, en limitant l’utilisation de composants à risques ;
Cibler en priorité les applications critiques et les vulnérabilités les plus virulentes lors des mesures de remédiation. Dans ces phases de crises, c’est souvent la seule possibilité en fonction de vos ressources.

En conclusion, il est urgent de réagir et d’agir rapidement, faute de quoi les entreprises, tout comme les organismes publics, verront leur notoriété mise à mal et perdront la confiance de leurs clients et utilisateurs. En laissant la porte ouverte à la cybercriminalité, elles ne feront qu’encourager des pratiques aussi nuisibles que dangereuses, aujourd’hui le danger ne vient plus de pirates isolés mais de réseaux organisés à l’échelle mondiale, à l’affût de la moindre faille de sécurité.

Facebook collecte-t-il des données étatiques ?

Pour récupérer un compte Facebook, un espace Instagram piraté, le géant de l’Internet réclame une photo de votre visage et une copie de votre carte d’identité. Facebook collecte-t-il des données étatiques sous couvert de cybersécurité ?

Facebook serait-il en train de se constituer une base de données contenant des informations étatiques sous le couvert de ses opérations de cybersécurité ? Voilà la question qui est posée. De nombreux lecteurs de Data Security Breach ont reçu un message de Facebook après le blocage de leur compte sur le réseau social. un piratage, un message douteux, … Facebook exige la photographie du propriétaire et sa pièce d’identité. Un scan de la carte d’identité. Facebook explique qu’il s’agit de s’assurer que le propriétaire légitime pourra récupérer son espace. Cela démontre surtout que les algorithmes biométriques sont efficaces. Facebook compare avec les photos présentes sur le compte. Mais n’est-ce-pas aussi et surtout un moyen de fichier plus efficacement encore les utilisateurs.

Cette « récupération » de données (carte d’identité) permet de prouver aux actionnaires que les comptes sont bien associés à des personnes physiques.

Des majeures et solvables si possible.

Bref, voilà le questionnement sur cette « demande » d’informations. Facebook affirme ne rien sauvegarder sur ses serveurs : « Merci d’envoyer une photo de vous montrant clairement votre visage. Nous la vérifierons puis la supprimerons définitivement de nos serveurs ».

Valider son compte Facebook avec sa carte d’identité

Facebook a annoncé il y a peu vouloir utiliser cette méthode pour valider un nouveau compte ouvert sur sa plateforme. Le nouvel abonné, explique Wired, aura l’obligation de se prendre en photo pour ouvrir un profil. Facebook indique que ce projet de sécurisation sera opérationnel sous peu. Le système est testé depuis avril 2017. Facebook parle d’un système de sécurité. Système qui doit permettre de « détecter les activités suspectes » lors d’une demande d’ami ou pour créer une publicité.

Des algorithmes Facebook qui ne sont pas tous à mettre dans la case « espionnage » (quoique) ! A l’image de son détecteur de suicide. Un code qui apprend par lui même et qui serait capable d’alerter en cas de messages considérés comme « annonçant » un passage à l’acte suicidaire en cours. Un système de détection qui ne sera pas mis en place en Europe en raison des règles en matière de respect de la vie privée (RGPD). Une technologie testée depuis mars 2017.

Pour détecter ce genre de cri de détresse, Facebook a introduit en mars 2017 une technologie apprenant par elle-même.

Un algorithme autodidacte. Il a appris à identifier des modèles dans des données existantes : messages, photos … Il peut être utilisé pour détecter ces modèles dans de nouvelles données. Ces données peuvent être des messages inquiétants, des réactions soucieuses à ceux-ci, voire des appels à l’aide sous la forme de vidéos en direct. Plus l’algorithme de détection s’appliquera, plus il deviendra intelligent. « L’intelligence artificielle nous aidera à reconnaître également les nuances linguistiques plus subtiles et à identifier les tendances suicidaires, le harcèlement« , indique Mark Zuckerberg.

Les équipements médicaux seront-ils la prochaine cible des cybercriminels ?

Equipements médicaux et les pirates ! Le thème de l’édition 2017 du Cyber Security Weekend européen était “Next” – the near future and threats we will face ». A cette occasion, des experts de Kaspersky Lab, de KPN et d’EUMETSAT se sont réunis pour évoquer leurs prévisions et études respectives. Les participants ont ainsi pu écouter les prévisions sur ce que réservent les cybercriminels aux hôpitaux et aux patients en 2018.

Les données médicales contenus dans les équipements médicaux ont une très grande valeur sur le marché noir et les systèmes médicaux revêtent une importance vitale. Dès lors, les organisations de santé sont une proie de choix pour les tentatives d’extorsion. Il est donc essentiel que la communauté des spécialistes de la sécurité travaille en étroite collaboration avec le monde de la santé et ses fournisseurs dans le but de renforcer la protection des appareils utilisés, de veiller à ce que les nouveaux systèmes soient sécurisés et sûrs d’entrée de jeu, et pour que les équipes médicales soient bien formées aux questions de cybersécurité.

Le paysage en 2017

En 2017, les recherches ont montré à quel point les informations médicales et les données des patients stockées au sein d’une infrastructure de santé connectée étaient peu protégées et donc, accessibles en ligne par n’importe quel cybercriminel motivé. Les experts ont par exemple découvert que près de 1500 appareils utilisés pour le traitement des imageries médicales étaient accessibles au public. En outre, les recherches ont démontré qu’un nombre non négligeable de logiciels et d’applications en ligne de nature médicale, renferment des vulnérabilités pour lesquelles il existe des exploits publics. Ce risque se voit accru par la valeur des informations médicales, dont comptent bien profiter les cybercriminels pour leur bénéfice personnel. Ils savent en effet pertinemment qu’elles sont faciles d’accès et que les organismes médicaux seront toujours prêts à payer pour les récupérer.

A quoi faut-il s’attendre pour 2018 ?

Le secteur médical va être de plus en plus menacé, étant donné le nombre croissant d’appareils connectés et d’applications vulnérables déployés par les services de santé. Le monde de la santé est soumis à différents facteurs qui influent sur son fonctionnement : la nécessité d’en faire plus, à moindre coût, avec les ressources existantes ; le besoin croissant des soins à domicile pour les populations vieillissantes et les pathologies chroniques telles que le diabète ; l’aspiration du grand public à adopter un mode de vie plus sain ; et la prise de conscience que le partage de données et le suivi croisé des patients par différentes organisations sont la clé pour améliorer la qualité et l’efficacité des soins médicaux.

9 grandes menaces dans les 12 prochains mois

Les attaques ciblant les équipements médicaux avec un objectif d’enrichissement personnel, de malveillance pure, ou pour des motivations pire encore, seront en recrudescence. Les équipements médicaux spécialisés sont de plus à en plus nombreux à être connectés à des réseaux informatiques. Si ces derniers sont pour la plupart privés, une seule connexion peut suffire pour permettre à des attaquants de s’engouffrer dans la brèche et de diffuser des programmes malveillants à l’aide de ce réseau « pourtant fermé ». Or s’en prendre à des équipements peut perturber l’administration de soins, voire être fatal, ce qui augmente grandement les probabilités de versement de rançons en cas de tentative d’extorsion.

Il faut s’attendre à une hausse du nombre d’attaques ciblées visant à dérober des données. Le volume d’informations médicales et de données patients stockées et traitées par les systèmes de santé connectés, augmente tous les jours. Ce type de données est très coté sur le marché noir et peut servir à des fins de chantage et de tentative d’extorsion. D’autant que les criminels ne sont pas les seuls intéressés : l’employeur ou l’assureur d’une victime peuvent être intéressés de connaitre ce qui peut impacter les primes d’une personne ou son emploi.

Équipements médicaux dans la ligne de mire

Le nombre de cas d’attaques avec ransomware, visant les organismes médicaux, va augmenter. Ces tentatives s’appuieront sur le chiffrement de données et le blocage des appareils : les coûts exorbitants des équipements médicaux connectés et leur caractère souvent vital en feront des cibles de choix pour des attaques et tentatives de racket.

Le concept de périmètre professionnel clairement défini va continuer de s’effriter au sein des institutions médicales, dans la mesure où un nombre croissant d’appareils sont connectés à Internet – stations de travail, serveurs, appareils mobiles et équipements divers. Les criminels ont un choix toujours plus large pour tenter d’accéder à des informations médicales et à des réseaux. Mettre en place des systèmes de protection et sécuriser les utilisateurs finaux ou points de terminaison, va devenir le nouveau défi des équipes chargées de la sécurité dans les structures médicales. En effet, tous les nouveaux appareils créent autant de points d’accès à l’infrastructure.

Les données sensibles et confidentielles transmises aux professionnels de la santé par les appareils portables connectés, les implants notamment, vont être de plus en plus pris pour cible par des attaquants. En effet, ces appareils sont de plus en plus utilisés pour les diagnostics médicaux, les traitements et les soins préventifs. Les pacemakers et les pompes à insuline en sont de bons exemples.

Les systèmes d’information médicaux nationaux et régionaux qui échangent des données patients non-chiffrées, ou non sécurisées, avec des praticiens, des hôpitaux, des cliniques et autres établissements, vont être de plus en plus ciblés. Les attaquants vont chercher à intercepter les données lorsqu’elles se trouvent en dehors du pare-feu des réseaux. Il en sera de même pour les données échangées par les établissements médicaux et les compagnies d’assurance santé.

Équipements médicaux, mais pas que…

Le succès des petits appareils de santé et de fitness connectés est une aubaine pour les attaquants, car ils livrent de gros volumes de données personnelles généralement peu protégées. Avec l’engouement pour l’amélioration du bien-être, les bracelets, systèmes de suivi et autres montres connectées vont héberger et transmettre des grandes quantités de données personnelles, protégées à minima. Les cybercriminels n’hésiteront pas à profiter de cette véritable mine d’or.

Les attaques paralysantes – de type DDoS (avec refus de service) ou ransomware qui détruit les données (à l’instar de WannaCry) – posent un problème croissant pour les organismes de soins de santé de plus en plus digitalisés. Le nombre de stations de travail, processus informatisés de traitement des archives médicales et des données commerciales, qui sont le quotidien de toute organisation à la page, élargissent la surface d’attaque possible pour les cybercriminels. La situation est d’autant plus critique pour le monde de la santé dans les cas d’urgences avec pronostic vital engagé.

Enfin, et surtout, les technologies émergentes telles que les membres artificiels connectés, les implants destinés à apporter des améliorations physiologiques, la réalité augmentée embarquée conçues pour résoudre des problèmes de handicap et rendre l’être humain plus fort et en meilleure forme, constituent, elles aussi de nouvelles opportunités pour les attaquants imaginatifs armés d’intentions malveillantes. Ces nouvelles technologies médicales doivent donc être sécurisées dès le stade de leur conception.

Ce document est le premier d’une série publiée par Kaspersky Lab, consacrée aux prévisions annuelles de ses experts. Les autres annonces concerneront les domaines de l’automobile, des services financiers et de la fraude, de la sécurité industrielle et des crypto-monnaies. Tous seront accompagnés des traditionnelles prévisions de menaces ciblées. L’intégralité des Kaspersky Lab Threat Predictions for 2018 sera disponible sur Securelist dans la semaine.

La sécurité des objets connectés dans une motion aux Pays-Bas

Les Pays-Bas viennent d’adopter une motion imposant aux fabricants d’ objets connectés (IoT) des tests de sécurité informatique.

Voilà une loi traitant de la sécurité des objets connectés qui fait tendre l’oreille. Les Pays-Bas viennent de valider une motion qui impose des tests de piratage à l’encontre des objets connectés vendu dans le pays. Bref, l’Internet of Things (IoT) pris au sérieux et d’une maniérè sécuritaire. C’est l’idée du sénateur Maarten Hijink qui demande au gouvernement et aux entreprises d’organiser des « pentests », des tests de sécurité, afin de tester les appareils connectés. Il y a quelques mois, la Chambre des députés avait réclamé au gouvernement d’agir sur ce même thème, la sécurité des objets connectés. Dans cette nouvelle motion, l’état est inviter à des actions proactives, comme le « hack éthique » dont la mission est d’améliorer la sécurité des objets, donc des utilisateurs.

Quand votre entreprise mine de la crypto-monnaie… pour les pirates

Votre ordinateur consomment-ils de l’énergie pour vos uniques intérêts ? L’extraction de cryptomonnaie présente une nouvelle menace pour les entreprises. Le tout dernier Threat Index de Check Point révèle une augmentation des extractions de cryptomonnaie en octobre, avec CoinHive en sixième place des logiciels les plus utilisés au monde.

Non, CoinHive ou les crypto-monnaies (cryptomonnaie) ne sont pas malveillantes. Leurs utilisations inapropriées par des malveillants transforment ces beaux projets en merdier sans nom. C’est un peu comme dire que la voiture est illégale car des chauffards roulent à 230kms heures et tuent des gens. Que des braqueurs se servent d’une automobile pour attaquer une banque. Toujours est-il que l’ambiance autour des monnaies démateriealisées ne va pas s’arranger dans les semaines à venir.

Suite à la récente étude de Check Point démontrant que les extracteurs de cryptomonnaie peuvent frauduleusement utiliser jusqu’à 65 % des ressources totales en CPU d’un utilisateur final, sans son approbation, la variante CoinHive a fait son apparition dans le Threat Index d’octobre en 6e position. Ce logiciel malveillant est conçu pour extraire la cryptomonnaie Monero lorsqu’un utilisateur consulte une page web, sans l’approbation de l’utilisateur. CoinHive implante du code JavaScript, qui utilise ensuite le CPU de l’utilisateur final, impactant gravement les performances de sa machine.

Comme en septembre, RoughTed et Locky sont les deux menaces les plus répandues. Cependant, le logiciel malveillant Seamless, un redirecteur transparent de trafic, a fait son entrée parmi les trois premiers. Ce logiciel malveillant redirige silencieusement ses victimes vers une page web pirate. Elle infecte à l’aide d’un kit d’exploitation de vulnérabilités. L’infection réussie permet au pirate de télécharger d’autres logiciels malveillants.

Maya Horowitz, Threat Intelligence Group Manager chez Check Point, précise : « L’émergence de Seamless et de CoinHive souligne une fois de plus le besoin en technologies avancées de prévention des menaces pour sécuriser les réseaux contre les cybercriminels. L’extraction de cryptomonnaie est un nouvel acteur silencieux et pourtant significatif dans le paysage des menaces. Elle permet à des pirates de générer d’importants revenus tandis que les postes et les réseaux des victimes souffrent de latence et d’une baisse de performance. »

Top 3 des logiciels malveillants en octobre 2017

RoughTed est un logiciel de publicité malveillante. Contournement les bloqueurs de publicités. RT déclenche une série d’escroqueries, d’exploitations de vulnérabilités et de logiciels malveillants. Il est en mesure d’attaquer n’importe quel type de plate-forme et de système d’exploitation. Il utilise des techniques de prise d’empreintes pour délivrer l’attaque la plus pertinente.

Locky est connu. Un ransomware diffusé en février 2016. Il se propage principalement via des mails et des pièces jointes au format Word ou Zip. Il télécharge et installe un logiciel qui chiffre les fichiers des utilisateurs.

Seamless est un système de répartition de trafic. Il redirige silencieusement ses victimes vers une page web malveillante. Elle infecte les machines à l’aide d’un kit d’exploitation de vulnérabilités. L’infection permet au pirate de télécharger d’autres logiciels malveillants.

La liste des logiciels malveillants les plus couramment utilisés pour attaquer les actifs mobiles des entreprises a connu un changement par rapport à septembre, avec le logiciel rançonneur LeakerLocker pour Android apparaissant en seconde position.

Top 3 des logiciels malveillants mobiles

Triada – Une porte dérobée modulaire pour Android accordant des privilèges super-utilisateur aux logiciels malveillants téléchargés pour mieux les intégrer dans les processus système. Triada charge également de fausses URL dans le navigateur. LeakerLocker – Un logiciel rançonneur sur Android accédant aux données personnelles de l’utilisateur, puis les lui présentant en le menaçant de les divulguer en ligne en cas de non-paiement d’une rançon. Lootor – Outil de piratage ciblant des vulnérabilités du système d’exploitation Android afin d’obtenir des privilèges root sur les appareils mobiles compromis.

L’indice Check Point des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud comprend plus de 250 millions d’adresses analysées pour découvrir des bots, plus de 11 millions de signatures de logiciels malveillants et plus de 5,5 millions de sites web infectés. Elle identifie des millions de types de logiciels malveillants quotidiennement. La liste complète des 10 principales familles de logiciels malveillants en octobre est disponible sur le Blog Check Point.

Pour la France, le top 5 comprend : Roughted, Locky, Pushdo, Seamless ou encore Conficker. CoinHive s’affiche à la 6ème position.

Trafic des Code Signing Certificates

Sur le dark web, le trafic illicite des « Code Signing Certificates » se révèle plus lucratif que le trafic de passeports et d’armes. Une étude révèle le commerce florissant des certificats de signature de code.

Le business des Code Signing Certificates prend de l’ampleur. C’est du moins ce qu’a constaté Venafi, éditeur de solutions axées sur la protection des identités machines. La société annonce les conclusions d’une enquête menée pendant six mois, sur les ventes de certificats numériques de signature de code réalisées sur le darkweb.

Menée par le CSRI (Cyber Security Research Institute), cette enquête a mis en évidence l’abondance de certificats de signature de code sur le darkweb, qui peuvent se négocier jusqu’à 1 200 dollars – rendant ces articles plus onéreux que des passeports contrefaits, des cartes bancaires dérobées et même des armes de poing aux États-Unis.

« Nous savons depuis plusieurs années que les cybercriminels recherchent activement des certificats de signature de code pour diffuser des logiciels malveillants sur ordinateurs », indique Peter Warren, président du CSRI. « La preuve de l’existence d’un marché de la criminalité aussi conséquent pour les certificats remet en question l’ensemble de notre système d’authentification sur Internet et témoigne de l’urgente nécessité de déployer des systèmes technologiques capables de faire obstacle à l’utilisation abusive des certificats numériques. »

Les certificats de signature de code servent à vérifier l’authenticité et l’intégrité des logiciels et applications informatiques, et constituent un élément essentiel de la sécurité sur Internet et en entreprise. Néanmoins, les cybercriminels peuvent mettre à profit des certificats de signature de code compromis pour introduire des malwares sur des réseaux d’entreprise et équipements grand public.

« Notre étude révèle que les certificats de signature de code constituent des cibles lucratives pour les cybercriminels », souligne Kevin Bocek, stratège sécurité chez Venafi.

Les certificats de signature de code dérobés rendent la détection de logiciels malveillants quasiment impossible pour les entreprises. N’importe quel cybercriminel peut s’en servir pour fiabiliser et mener à bien des attaques de malwares, de ransomware et aussi des attaques cinétiques.

De plus, les certificats de signature de code pouvant être revendus plusieurs fois avant que leur valeur ne commence à décroître, ils s’avèrent très profitables aux pirates et aux négociants présents sur le darkweb. Autant de facteurs qui alimentent la demande en leur faveur.

« Bien que notre enquête ait mis au jour un trafic florissant au niveau des certificats de signature de code, nous avons uniquement fait apparaître la partie émergée de l’iceberg. Ironie du sort, nos chercheurs n’ont pu, bien souvent, approfondir leurs investigations, les opérateurs du darkweb se montrant méfiants à leur égard. Nous soupçonnons un négoce de certificats et de clés TLS, VPN et SSH tout aussi prospère, en marge du trafic de certificats de signature de code que nous avons mis au jour », conclut Peter Warren.

Global Transparency Initiative

Global Transparency Initiative : alors qu’il ne reste que quelques jours à l’administration américain pour effacer les outils Kaspersky de leurs postes informatiques, le géant de la sécurité informatique Russe lance son programme transparence !

Kaspersky Lab a présenté son « Global Transparency Initiative ». Mission, la société russe fournira un accès au code source – y compris des mises à jour – pour une évaluation par un tiers de confiance. Kaspersky explique qu’il ouvrira aussi trois centres de transparence dans le monde entier. Un peu comme l’annonçait, il y a quelques années, Microsoft. La Global Transparency Initiative s’inscrit dans le cadre de l’engagement à garantir l’intégrité et la fiabilité de des solutions logiciels, afin de protéger les clients contre les cyber-menaces.

Grâce à cette initiative, Kaspersky Lab incitera la communauté de la cyber sécurité dans sa globalité et d’autres parties prenantes à valider et vérifier la fiabilité de ses solutions, de ses processus internes et de ses opérations commerciales. Le Russe entend également favoriser la mise en place de mécanismes de responsabilisation supplémentaires, qui permettront à l’entreprise de démontrer qu’elle s’attaque rapidement et en profondeur à tous les problèmes de cybersécurité. Dans le cadre de cette initiative, la société a l’intention de fournir à un tiers de confiance, et sous condition, l’accès au code source de ses logiciels – y compris les mises à jour des logiciels et des règles de détection des menaces – à des fins d’examen et d’évaluation indépendants. « La balkanisation de l’Internet ne profite à personne, explique Eugene Kaspersky, PDG de Kaspersky Lab. Sauf aux cybercriminels. Une coopération réduite entre les pays favorise l’action des cybercriminels et les partenariats public-privé ne fonctionnent pas comme ils le devraient.« .

Kaspersky a été accusé par la Maison Blanche d’avoir participé (directement ou indirectement) à des fuites de données concernant le renseignement américain. A regardé de plus prêt, le protectionnisme de l’Oncle Sam a trouvé un moyen de couper l’herbe sous le pied d’une entreprise concurrente aux structures locales. A voir si l’examen indépendant du code source de la société, réalisé par un tiers de confiance et qui débutera d’ici le 1er trimestre 2018, avec des examens similaires des mises à jour logicielles de la société et des règles de détection des menaces à suivre sera suffisent pour faire reculer l’administration Trump.

A noter que Kaspersky vient de signer un nouvel accord de partenariat avec Europol. Tout comme Trend Micro qui vient d’unir son expertise avec les policiers d’Europol pour protéger le secteur financier face aux attaques ciblant les Distributeurs Automatiques de Billets.

Krack ou l’hypocrisie mondiale des maîtres du monde

L’annonce de la faille de sécurité baptisée Krack mettant en suspend toute la confiance du monde sur les réseaux Wifi domestiques et professionnels fait la une de la presse générale. Il s’agit de la fameuse clé WAP2, norme barbare améliorée du protocole de chiffrement Wifi WAP.

On découvre que plus aucun terminal connecté à un réseau Wifi n’est protégé, mieux on en devient tous vulnérable. Une partie de nos échanges chiffrés peuvent être captés par un tiers malveillant – comprenez un hacker – et que désormais, nous ne devrions plus utiliser nos Wifi. Il faut comprendre que si un hacker sait lire une “partie“ de vos fichiers, il sait en vérité tout lire. Il n’y pas de demie mesure sur ce point. Mais ne cédons pas à la panique d’autant que curieusement les agences de sécurité reconnaissent avoir identifié cette faille depuis des semaines et les éditeurs sont déjà en train de proposer des mises à jour de sécurité. Cela avant même la communication sur cette faille qui n’est finalement pas une trouvaille.

La bonne idée c’est que Mathy Vanhoef, chercheur à l’Université de Leuven en Belgique a trouvé un moyen de rejouer la faille par un programme automatisé. En clair, il est capable d’industrialiser l’attaque.

Mais nous savons, parce que c’est notre métier, que jamais aucun réseau Wifi n’est sécurisé. En 2008, les civils Martin Beck et Erik Tews avaient découvert une faille sur le format WAP. Né alors le WAP2 censé corriger l’algorithme du chiffrement, c’est de lui qu’il s’agit aujourd’hui.

L’avez-vous remarqué, je parle des chercheurs comme des civils ? En effet, il est salutaire de noter que sans ces femmes et ces hommes, notre résistance aux attaques cybernétique serait tout bonnement nulle. Et les États alors ? Et bien sachez que tous les États gardent pour eux les failles de sécurités qu’ils détectent par hasard ou non, et ceux pour tous les systèmes quels qu’ils soient. La raison est simple. Elle tend à renforcer les systèmes de défense et d’attaque du pays. L’atout et de savoir ce que l’autre ignore.

L’attaque de masse nommée Wannacry s’appuyait sur une faille Windows de Microsoft que la NSA avait gardé pour elle jusqu’à ce qu’un lanceur d’alerte la publie sur Wikileaks. Les mafias ou états étrangers n’avaient plus qu’à en prendre connaissance pour construire une attaque de masse. Comme quoi, avoir le savoir d’une attaque cybernétique d’ampleur vous met en situation temporaire de Maître du monde.

L’enjeu quand il n’est ni stratégique ni politique et simplement cupide. Et cette attaque extrêmement bien relayée par les médias pourrait changer l’internet de demain. La force du réseau internet est de laisser le maximum d’échange possible en clair. Si cette attaque invite tous les consommateurs d’internet à utiliser un VPN de trafic internet souverain, alors le Ad Marketing est mort entraînant dans sa chute Google en premier, les autres ensuite. Sans captation du trafic, le vôtre en l’occurrence, on ne peut pas savoir qui vous êtes, ce que vous faites et ce que vous consommez.

Criteo et consort disparaissent, Google ne sait plus positionner la pub au bon moment et sur la bonne page ! La rémunération disparaît alors. Fini Google, adieu Gmail, bye bye Facebook (tous gratuit), bref une nouvelle aire et un nouveau business model peut naître.

Peu probable car le consommateur est très attaché à ses habitudes et les changer est le dernier des efforts que l’homme apprécie faire, même si intrinsèquement c’est cette faculté qui lui a permis de construire l’internet et pas les ratons laveurs.

Qu’est-ce qu’un VPN de trafic souverain ? C’est une solution qui chiffre le trafic établi entre votre terminal et la borne Wifi ou 3G/4G et votre connexion à l’internet se fait depuis une adresse IP virtuelle dans un pays asservi par l’éditeur du logiciel. Les Finlandais sont les meilleurs pour cela d’autant que leur constitution politique est très attachée au secret de la vie privé. C’est ce qui rend la solution souveraine. On retrouve ces mêmes constitutions en Suisse, en Islande ou en Norvège. Les États-Unis comme Israël sont très rigides. Il suffit d’ailleurs de lire les Conditions Générale de Google pour comprendre combien vaut votre libre arbitre sur Internet. Avec un peu de recul vous comprendrez vite qu’il vaut une partie du revenu du GAFA.

Le Ad Marketing devra donc revoir le modèle si nous devenions tous consommateurs de ce chiffrement qui limite considérablement notre exposition face aux pirates. Seule l’histoire très prochaine nous donnera la tendance de cette attaque qui porte bien son nom. (par Frans Imbert-Vier PDG d’UBCOM pour DataSecurityBreach.fr)

Correctifs : Microsoft corrige 28 vulnérabilités critiques sur 62 patchées

Correctifs massifs ! Le Patch Tuesday d’octobre est pour Microsoft l’occasion de publier des correctifs pour résoudre 62 vulnérabilités dont 30 affectent Windows. Les correctifs traitant 28 de ces vulnérabilités sont définis comme critiques. 33 vulnérabilités peuvent entraîner l’exécution de code malveillant à distance (RCE). Selon Microsoft, une vulnérabilité dans Microsoft Office est actuellement exploitée de manière active en mode aveugle.

Priorité absolue pour des correctifs massifs donc à cette vulnérabilité CVE-2017-11826 dans Microsoft Office qui est classée comme « Importante » par Microsoft. Autre priorité, la résolution de CVE-2017-11771, une vulnérabilité au sein du service de recherche Windows. Depuis début 2017, c’est le quatrième Patch Tuesday qui traite une vulnérabilité dans ce service.

Comme les fois précédentes, cette vulnérabilité peut être exploitée à distance via le protocole SMB. Il facilite la prise de contrôle total d’un système. Elle peut impacter aussi bien des serveurs que des postes de travail. Même si un exploit lancé contre cette vulnérabilité peut s’appuyer sur SMB comme vecteur d’attaque, il ne s’agit pas d’une vulnérabilité au sein de ce protocole. SMB lui-même. Aucun rapport donc avec les vulnérabilités SMB récemment exploitées par EternalBlue, WannaCry et Petya.

À noter aussi deux vulnérabilités dans la bibliothèque de polices Windows, CVE-2017-11762 et CVE-2017-11763, pouvant être exploitées via un navigateur ou un fichier malveillant, ainsi qu’une vulnérabilité dans DNSAPI, CVE-2017-11779, grâce à laquelle un serveur DNS malveillant peut exécuter du code sur un système client.
Une vulnérabilité sur certaines puces TPM est résolue grâce à l’avis de sécurité ADV170012.

Localisée dans la puce TPM elle-même, et non pas dans Windows, cette vulnérabilité peut entraîner la génération de clés cryptographiques faibles. Ces clés sont utilisées pour BitLocker, l’authentification biométrique et d’autres domaines de Windows.

Les mises à jour fournissent une solution de contournement pour les clés faibles. Une option permettant d’utiliser des clés générées par le logiciel. Une remédiation complète exige une mise à jour du firmware fournie par le fabricant de l’équipement.

La majorité des vulnérabilités traitées ce mois-ci concernent le moteur de script qui peut impacter à la fois les navigateurs et Microsoft Office.

Corriger cette vulnérabilité est une priorité sur les systèmes de type bureautique qui utilisent un navigateur pour la messagerie et pour accéder à Internet.

Mercredi 18 octobre, les chercheurs de Proofpoint ont détecté une pièce jointe Microsoft Word malveillante. Elle exploitait une vulnérabilité récemment corrigée d’Adobe Flash [CVE-2017-11292].

Pour finir, cette attaque serait l’œuvre d’APT28 (également connu sous le nom de Sofacy), un groupe parrainé par l’État russe.  Plusieurs cyberattaques leurs ont été attribuées, notamment contre TV5 Monde en 2015.

Les données de ciblage pour cette campagne sont limitées. Certains emails ont été envoyés à des entités gouvernementales et à des entreprises du secteur privé dans l’industrie aérospatiale.

Le ciblage géographique connu semble large, y compris en Europe et aux États-Unis. Vous trouverez plus de détails sur ce sujet sur le blog anglais Threat Insight de Proofpoint. Les informations seront mises à jour quotidiennement en fonction de l’évolution de la menace. (Avec Jimmy Graham dans The Laws of Vulnerabilities Qualys)

Combattre le « credential stuffing » avec l’introduction de Bot Manager Premier

Credential stuffing, une technologie puissante d’analyse des comportements suspects capable de détecter des bots hyper sophistiqués mise en place par Akamai.

La société Akamai Technologies vient d’annoncer Bot Manager Premier et son credential stuffing. Dernière nouveauté de sa gamme de produits de sécurité dans le cloud, Bot Manager Premier. Il est conçu pour aider les entreprises à gérer l’impact des bots sur leur environnement numérique dans son ensemble. Première défense sur les sites et API Web et applications pour mobile.

Selon une étude récente menée par le Ponemon Institute pour le compte d’Akamai, 54 % des répondants indiquent que les attaques de type « credential stuffing » se multiplient. Ils sont de plus en plus graves. 68 % des personnes interrogées estiment avoir peu de visibilité sur les attaques de type « credential stuffing ». 70 % d’entre elles jugent que les solutions existantes ne permettent pas de prévenir et de contenir ces attaques. Dans ce contexte difficile, Bot Manager Premier a été spécialement conçu pour aider les commerces en ligne à résoudre plusieurs cas d’utilisation de bots sophistiqués. Ces situations incluent le vol d’identifiants, la consultation du solde des cartes-cadeaux/cartes de crédit. Des attaques à l’encontre des programmes de fidélité, l’achat automatisé de voyages…

Credential stuffing

Bot Manager Premier offre de nouvelles fonctionnalités d’analyse des comportements suspects qui ont démontré leur capacité à détecter une grande partie des bots sophistiqués connus. Intégrant la technologie issue de l’acquisition de Cyberfend, Bot Manager Premier est capable de détecter l’activité de bots tentant de simuler une interaction humaine, même si ces bots changent en permanence de comportement afin d’échapper à la détection tout en ciblant des pages de connexion ou de transaction. De plus, Bot Manager Premier gère avec efficacité d’autres types d’activités générées par les bots. Le scraping ou l’agrégation du contenu, y compris les activités de bots « bienveillants » susceptibles d’affecter d’autres aspects du site Web.

Chasse aux bots !

Parmi les entreprises qui bénéficient déjà des avantages des solutions de gestion des bots d’Akamai, la U.S. News & World Report, éditeur d’actualités et d’informations multi plates-formes. D’après Matt Kupferman, directeur principal de l’ingénierie, « Il est extrêmement bénéfique pour une entreprise comme la nôtre de savoir qui interagit avec notre site. Avoir une plus grande visibilité sur le trafic des bots. Avec Bot Manager, nous n’avions qu’à « appuyer sur un bouton » pour obtenir une visibilité immédiate. Pour une véritable intégration à la périphérie, c’est la seule chose qui ait fonctionné. »

Bot Manager Premier d’Akamai est destiné à répondre aux besoins du commerce en ligne en proposant :

La détection avancée des bots incluant l’analyse des comportements suspects dans le but de contrecarrer le vol d’identité, la consultation du solde des cartes-cadeaux et autres types d’actes frauduleux en ligne visant les pages de connexion et de transaction.

Un SDK mobile pour mieux protéger les API et applications pour mobile de l’activité des bots.

Des actions avancées et conditionnelles afin de fournir aux entreprises les outils pour gérer différents types de bots. Des bots scrapers, agrégateurs de contenu…

« Pour réussir aujourd’hui, une entreprise doit interagir avec ses clients en ligne. Explique Josh Shaul, Vice Président, Web Security, Akamai.

« Mais pour ce faire, elle est obligée d’exposer des pages de connexion et diverses pages de transaction susceptibles d’être détournées.« .

Mobile X-Ray, service gratuit pour tester la sécurité des applications mobiles

High-Tech Bridge, une société spécialisée dans la sécurité applicative, a annoncé aujourd’hui le service en ligne gratuit « Mobile X-Ray » destiné à tester la sécurité des applications mobiles ainsi que leur confidentialité.

Le nouveau service réalise une analyse dynamique (DAST), statique (SAST) et comportemental pour des applications natives ou hybrides d’Android et iOS. Il détecte rapidement tout types de faiblesse ou de vulnérabilités telles que Mobile Top 10 de l’OWASP, et fournit un rapport convivial avec un simple guide correctionnel. Récemment, une fonctionnalité suspecte de capture d’écran silencieuse a été découverte dans l’application mobile d’Uber. Juste avant cela, Equifax a dû retirer ses applications mobiles du marché car des données sensibles pouvait être interceptées. Désormais, chacun peut utiliser ce service gratuit pour détecter des problèmes similaires de façon proactive.

Ilia Kolochenko, CEO et fondateur de High-Tech Bridge, a déclaré : « Les applications mobiles font désormais partie intégrante de la vie professionnelle et privée de tous les jours. Réagissant à la quantité alarmante de failles de sécurité présente dans les applications mobiles, de nombreux rapports de recherche appellent vigoureusement à l’amélioration de la sécurité et de la confidentialité des applications mobiles. »

Malheureusement, la plupart des développeurs manquent tout simplement de ressources, de temps ou de budget pour pouvoir tester leurs applications avant que celles-ci ne soient publiées. High-Tech Bridge propose un service en ligne unique, bénéfique à la communauté de cybersécurité et aux développeurs.

Cependant, il faut se rappeler que les vulnérabilités les plus dangereuses résident principalement du côté « backend » de l’application.

La cyber-criminalité coûte de plus en plus d’argent aux entreprises

La cyber-criminalité coûte en moyenne 11,7 millions de dollars par an à chaque entreprise américaine, soit une hausse de 62 % en cinq ans, d’après une étude menée par Accenture et Ponemon Institute. Les infections par malware sont les cyber-attaques les plus coûteuses, avec 2,4 millions de dollars par incident en moyenne.

Partout dans le monde, des cyber-attaques sont commises avec un impact financier de plus en plus lourd pour les entreprises. Selon une nouvelle étude publiée par Accenture à l’occasion de l’ouverture des Assises de la sécurité, le coût moyen de la cyber-criminalité a atteint, à l’échelle mondiale, 11,7 millions de dollars par entreprise en 2017, soit une augmentation de 23 % par rapport à 2016 (9,5 millions de dollars) et de 62 % ces cinq dernières années. C’est aux États-Unis que le coût moyen est le plus élevé (21,22 millions de dollars par acte criminel), tandis que l’Allemagne enregistre la plus forte hausse du coût total de la cyber-criminalité (de 7,84 à 11,15 millions de dollars). Cette forte dégradation fait suite aux récentes attaques de grande ampleur telles que WannaCry et Petya, dont les préjudices causés à un certain nombre de grandes entreprises mondiales se chiffrent en centaines de millions de dollars.

Cette étude du coût de la cyber-criminalité (Cost of Cyber Crime Study) a été menée auprès de 2 182 spécialistes de la sécurité IT, issus de 254 organisations à travers le monde. Elle révèle que le nombre de cyber-attaques est en constante augmentation depuis que le Ponemon Institute a débuté ses recherches en 2009. Le rapport fait état d’un certain nombre d’enseignements :

En moyenne, une entreprise subit 130 violations de sécurité par an, soit une hausse de 27,4 % par rapport à 2016, et un quasi-doublement en l’espace de cinq ans. Une violation de sécurité (« breach ») est définie comme une infiltration au sein d’un réseau central ou d’un système d’entreprise.
Les secteurs les plus touchés sont les services financiers et l’énergie, avec respectivement un coût annuel moyen par entreprise de 18,28 et 17,20 millions de dollars.
On note également une augmentation de la durée nécessaire pour corriger les problèmes. Parmi les incidents les plus longs à traiter se trouvent ceux qui viennent de l’intérieur, avec une moyenne de 50 jours, contre un peu plus de 23 jours pour les attaques par ransomware.
Les attaques par malware et celles provenant du Web sont les plus coûteuses, nécessitant une dépense moyenne respective de 2,4 et 2 millions de dollars par entreprise.

« Les conséquences coûteuses et dévastatrices de la cyber-criminalité pour les entreprises soulignent l’importance croissante de la planification stratégique et d’un suivi rigoureux des investissements en matière de sécurité. L’étude donne une moyenne du coût de la cybercriminalité mais pour certaines entreprises les pertes peuvent être bien plus importantes », explique Eric Boulay, Directeur d’Accenture Security en France et au Benelux. « Pour continuer à résister à des attaques de plus en plus sophistiquées et extrêmement motivées, les entreprises doivent adopter une stratégie de sécurité dynamique et agile, permettant de construire la résilience de l’intérieur vers l’extérieur (au lieu de se focaliser exclusivement sur le périmètre pris en charge), avec une approche spécifique à l’activité pour protéger l’ensemble de la chaîne de valeur. »

Améliorer la répartition des dépenses en matière de technologies de sécurité

Sur les neuf technologies de sécurité évaluées, celle qui fait l’objet des dépenses les plus importantes est le contrôle de périmètre avancé. Or on constate que les entreprises qui ont déployé ces solutions de sécurité ont réalisé des économies opérationnelles (liées à l’identification et à la remédiation des cyber-attaques) qui s’élèvent à seulement un million de dollars, ce qui suggère un possible manque d’efficacité dans l’allocation des ressources. Parmi les catégories de dépenses les plus efficaces pour minimiser les pertes causées par les actes de cyber-criminalité se trouvent les systèmes de renseignement (security intelligence), définis comme des outils permettant d’ingérer des informations issues de multiples sources dans le but d’identifier et prioriser les menaces internes ou externes. Ces systèmes permettent de réaliser des économies substantielles (2,8 millions de dollars en moyenne), soit plus que tous les autres types de technologies couverts par l’étude. Les technologies d’automatisation, d’orchestration et d’apprentissage machine ont été déployées dans seulement 28 % des entreprises, (soit le pourcentage le plus faible parmi les technologies considérées), alors qu’elles arrivent en troisième position en termes d’économies opérationnelles liées aux technologies de sécurité, avec un total de 2,2 millions de dollars.

Les conséquences financières des cyber-attaques sont de plus en plus lourdes

Les chercheurs ont exploré quatre impacts principaux sur les organisations victimes d’une cyber-attaque : perturbation de l’activité, perte d’informations, perte de revenus et dommages matériels. Le type de dommages le plus préjudiciables est aujourd’hui la perte d’information, mentionnée par 43 % des personnes interrogées. Le coût de la perturbation de l’activité (défaillance des processus suite à une attaque, par exemple) est en revanche passé de 39 % en 2015 à 33 % cette année.

« Le cœur d’un programme de sécurité solide et efficace consiste à identifier et à « renforcer » les actifs les plus précieux de l’entreprise », explique le Dr Larry Ponemon, Président fondateur du Ponemon Institute. « Bien que des progrès réguliers aient été réalisés dans le domaine de la cyber-défense, les entreprises pourraient bénéficier d’une meilleure compréhension des coûts de la cyber-criminalité ; cela les aiderait à combler l’écart entre leurs vulnérabilités et l’inventivité sans fin (et le nombre croissant) des cyber-criminels. »

Le coût moyen par entreprise varie considérablement selon le pays et le type d’attaque
L’Australie affiche le coût moyen par cyber-attaque le plus faible (5,41 millions de dollars), tandis que le Royaume-Uni enregistre la plus faible évolution par rapport à l’an dernier (de 7,21 à 8,74 millions de dollars). Le Japon enregistre une augmentation des coûts de 22 % (10,45 millions de dollars), soit la troisième plus forte augmentation des pays couverts par l’étude.

Les coûts varient considérablement selon le type d’attaque. Les entreprises américaines sont celles qui consacrent le plus de dépenses de remédiation, tous types de cyber-attaque confondus, en particulier dans les domaines des attaques par malware et des attaques provenant du Web (3,82 et 3,40 millions de dollars par incident, respectivement). En Allemagne et en Australie, 23 % du coût total annuel lié à la cyber-criminalité est imputable à des attaques par malware. En France, 20 % du coût total annuel lié à la cyber-criminalité est imputable aux attaques provenant du Web. Les attaques par déni de service représentent 15 % du coût annuel total en Allemagne et au Royaume-Uni.

Recommandations pour renforcer l’efficacité des efforts de cyber-sécurité

En prenant les trois mesures suivantes, les entreprises peuvent renforcer l’efficacité de leur cyber-sécurité, en prévenant les actes cybercriminels et en minimisant leur impact :

Construire la cyber-sécurité sur des fondations solides – Les entreprises gagneraient à investir dans des éléments de base performants, notamment dans les domaines du renseignement en matière de sécurité et de la gestion avancée des accès, tout en reconnaissant la nécessité d’innover pour rester en avance sur les hackers.
Effectuer des tests de résistance extrêmes – Les entreprises ne doivent pas uniquement chercher à répondre aux impératifs de conformité pour améliorer leur profil sécuritaire : elles doivent également procéder à des tests de résilience extrêmement exigeants afin d’identifier leurs vulnérabilités de manière encore plus rigoureuse que les hackers les plus motivés.
Investir dans des innovations de rupture – Les entreprises doivent consacrer une partie de leur budget aux nouvelles technologies, en particulier aux solutions analytiques et à l’intelligence artificielle, pour améliorer l’efficacité et l’étendue de votre programme.

Méthodologie

L’étude, menée par le Ponemon Institute pour le compte d’Accenture, analyse un certain nombre de coûts associés aux cyber-attaques, dans des domaines tels que l’infrastructure IT, l’espionnage économique, la perturbation de l’activité, l’exfiltration de propriété intellectuelle ou encore la perte de revenus. Les données ont été collectées à partir de 2 182 entretiens conduits sur une période de dix mois, dont les participants étaient issus de 254 organisations dans sept pays (Etats-Unis, Royaume-Uni, Australie, Allemagne, Japon, France et Italie). L’étude permet d’établir le coût de tous les actes de cyber-criminalité subis sur une période d’un an. Cela inclut les coûts liés à la détection, à la récupération, aux investigations et aux réponses apportées aux incidents. Les coûts résultant des activités post-incident, visant à limiter des dépenses supplémentaires liées à la perturbation de l’activité et à la perte de clientèle, sont également pris en compte.

Accompagnement de cybersécurité au profit des structures de santé

Accompagnement de cybersécurité dans le monde de la santé ! Le ministère des Solidarités et de la Santé annonce la mise en place d’un dispositif national d’appui au profit des organismes concernés par la déclaration des incidents sur les systèmes d’information de santé : la Cellule Accompagnement Cybersecurite des Structures de Santé (Cellule ACSS).

Accompagnement de cybersécurité dans les établissement de santé ! La sécurité numérique est au cœur des préoccupations du ministère des affaires sociales et de la santé. L’interconnexion, la multiplication des échanges et le partage des données entre la ville et l’hôpital multiplient les risques liés à la sécurité : piratage, vols ou détournements de données, blocage des systèmes…

Au regard de l’augmentation du nombre d’attaques sur les systèmes numériques des établissements de santé, l’amélioration des actions de prévention et d’assistance portée devient prioritaire. La sécurité des systèmes d’information de santé permet que les données de santé soient disponibles, confidentielles, fiables, partagées et traçables. La protection des données de santé est indispensable pour assurer une meilleure coordination des soins et une prise en charge optimale des patients.

Un portail unique pour déclarer les incidents de sécurité à partir du 1er octobre 2017

A partir du 1er octobre 2017, les structures de santé concernées devront déclarer leurs incidents de sécurité via le portail de signalement des évènements sanitaires indésirables depuis l’espace dédié aux professionnels de santé : signalement.social-sante.gouv.fr

Celles-ci devront signaler toute action ou suspicion d’action malveillante causant une indisponibilité partielle ou totale de leurs systèmes d’information, une altération ou une perte de leurs données et plus généralement ayant un impact sur le fonctionnement normal de l’établissement.

Une cellule d’accompagnement de cybersécurité opérationnelle pour aider les structures de santé

Afin d’apporter un appui et un accompagnement aux organismes concernés par la déclaration de ces incidents, le ministère des solidarités et de la Santé, en lien avec les agences régionales de santé (ARS) et l’ASIP Santé, met en place un dispositif pour traiter les signalements d’incidents de sécurité de leurs systèmes d’information.

L’ASIP Santé est désignée comme le groupement d’intérêt public (GIP) en charge d’apporter un appui au traitement de ces incidents, au travers de la Cellule Accompagnement Cybersécurité des Structures de Santé (Cellule ACSS), ouverte le 1er octobre 2017 et placée sous la responsabilité du Fonctionnaire en charge de la sécurité des systèmes d’informations (FSSI) auprès du secrétaire général des ministères chargés des affaires sociales, haut fonctionnaire de défense et de sécurité (HFDS).

Les objectifs visés par ce dispositif d’accompagnement de cybersécurité vont permettre de :

  • renforcer l’analyse et le suivi des incidents pour le secteur santé ;
  • alerter et informer l’ensemble des acteurs de la sphère santé en cas de menaces ;
  • partager les bonnes pratiques sur les actions de prévention, ainsi que sur les réponses à apporter suite aux incidents, afin de réduire les impacts et de mieux protéger les systèmes.

Pour ce faire, un portail dédié à l’information et la veille sera également disponible à partir du 1er octobre 2017 à l’adresse suivante : https://www.cyberveille-sante.gouv.fr

Ce portail informera sur l’actualité SSI (Sécurité des Systèmes d’information), les vecteurs de menaces et les bonnes pratiques en matière de sécurité numérique. Il présentera des bulletins de veille sur certaines vulnérabilités logicielles critiques ou des menaces sectorielles, des fiches réflexes et des guides pour répondre à différents types d’incidents. Ce portail mettra également à disposition de la communauté SSI en santé un espace privé pour le partage entre spécialistes de la cybersécurité.

Ce nouveau dispositif national découle de l’article 110 de la loi de santé 2016 qui prévoit, pour les établissements de santé, les hôpitaux des armées, les centres de radiothérapie ainsi que les laboratoires de biologie médicale, l’obligation de signalement des incidents de sécurité de leurs systèmes d’information à compter du 1er octobre 2017.

Google corrige deux failles sérieuses pour le navigateur Chrome

Google vient de corriger trois failles dans son navigateur Chrome, dont deux considérées comme graves. Mise à jour vers la version 61.0.3163.100 indispensable.

La branche Chrome du géant de l’Internet Google vient de mettre à jour son navigateur Chrome après la correction de trois failles, dont deux considérées comme vraiment très dangereuses. Il est fortement conseillé de mettre à jour le navigateur si vous utilisez ce dernier. La version qui vient d’être publiée est notifiée 61.0.3163.100. Les deux principaux bugs ont été découverts par un chercheur de chez Microsoft, Jordan Rabet et Choongwoo Han de chez  Naver Corporation. L’expert de chez Microsoft a reçu une récompense de 7 500 $ dans le cadre du programme BugBounty Google. La faille CVE-2017-5122 a été récompensée d’une prime de 3 000 $.

À ce jour, Google a déjà réparé 25 vulnérabilités (8 d’entre elles ont été évaluées comme des problèmes de gravité élevée) affectant différentes versions de Chrome 61, dont la moitié ont été signalées par des chercheurs externes.

Le casseur de codes de l’application Gorillaz décroche un poste

Jaguar Land Rover compte sa première recrue de la nouvelle génération d’ingénieurs électroniciens et informaticiens à la suite du récent défi de recrutement consistant à décrypter un code au sein de l’application Gorillaz.

Gorillaz m’a recruté ! Daniel Dunkley, âgé de 23 ans et originaire de Gloucester (Royaume-Uni), est le premier à rejoindre Jaguar Land Rover après être parvenu à déchiffrer le code. Après avoir quitté l’école à 16 ans, Daniel a travaillé en tant que controls engineer dans une carrière locale. Manifestant très tôt de l’intérêt pour les jeux vidéo chez lui avec son frère aîné, c’est en parfait autodidacte qu’il a acquis des compétences en codage et en logiciels. Le 2 octobre, il prendra ses fonctions de software engineer chez Jaguar Land Rover à Gaydon (Warwickshire).

Les fans intéressés par un emploi chez Jaguar Land Rover peuvent visiter un garage éphémère de Gorillaz et s’essayer à une énigme qui teste les capacités techniques, la réflexion logique et la mémoire. Envie de voir si vous êtes de taille ? Résolvez le casse-tête et vous sauterez la première épreuve de sélection du processus de recrutement de Jaguar Land Rover.

Si vous ne pouvez pas vous rendre au Tech Fest, relevez le défi de décryptage sur l’application de Gorillaz et rendez-vous directement à l’entretien. L’épreuve de décodage teste les aptitudes pratiques et concrètes exigées de la nouvelle génération de talents en logiciels et en ingénierie. Le challenge reste ouvert à l’échelle mondiale.

Noodle, guitariste du groupe virtuel et ambassadrice de Jaguar Land Rover, lance le défi : « Voir les choses en grand et faire mieux, c’est ma devise. Cessez d’utiliser tous ces filtres pour sublimer vos photos de nourriture et téléchargez dès maintenant cette application. Nous comptons notre première recrue, alors participez et décrochez la victoire ! »

Daniel Dunkley a déclaré : « Je n’en reviens pas de tout ce qui s’est passé ces deux derniers mois. J’ai appris sur BBC News que Jaguar Land Rover et Gorillaz lançaient le défi de décryptage et j’ai décidé de tenter ma chance. J’ai passé l’entretien via Google Chat, puis j’ai été convié à Gaydon pour discuter de mon nouvel emploi. J’ai été médusé de ne devoir remplir aucun formulaire de candidature. »

« J’étais aux anges quand on m’a proposé un poste ! Mon père roule en Land Rover Defender, j’ai donc toujours été fan. Je n’arrive pas à croire que j’ai maintenant peut-être la chance de travailler sur la nouvelle génération de Defender ! »

Jusqu’à présent, près de 400 000 personnes ont téléchargé l’application de Gorillaz. Sur les 41 000 qui ont relevé le défi, près de 500 ont décrypté le code.

Alex Heslop, directeur de l’ingénierie électrique chez Jaguar Land Rover, a déclaré : « Daniel correspond exactement au profil de personne dont nous avons besoin. Les entreprises technologiques comme Jaguar Land Rover offrent une opportunité passionnante pour les plus brillants et les meilleurs. Nous souhaitons attirer les meilleurs talents dans les domaines de la programmation, des cyber-systèmes, du développement d’applications et du graphisme. »

« À ce jour, nous avons fait passé plus de 50 entretiens parmi les 500 candidats qui ont décrypté le code et nous avons recruté 13 personnes jusqu’à présent. Nous continuons de faire passer des entretiens à ceux qui cassent le code et qui souhaitent travailler chez Jaguar Land Rover. La quête mondiale pour dénicher les meilleurs talents se poursuit. »

Dans l’esprit d’innovation collaborative, Jaguar Land Rover a invité une pléiade d’intervenants à participer à une série de débats et de conférences tout au long du Tech Fest, sous les yeux d’un public composé de personnes d’influence mondiale et de journalistes issus de quatre continents. L’avenir du diesel, l’électrification, les femmes dans l’industrie et la robotique feront partie des thèmes abordés par un éventail de spécialistes du monde entier en industrie mondiale et en consommation.

La recherche de jeunes talents se poursuit. Les candidats intéressés peuvent télécharger dès maintenant l’app de Gorillaz sur l’iTunes Store  ou Google Play.

Pour plus d’informations sur le recrutement de Jaguar Land Rover, cliquez ici : http://www.jaguarlandrovercareers.com. La procédure classique de dépôt de candidature avec CV reste en vigueur, mais Jaguar Land Rover invite les candidats potentiels à télécharger l’application afin de décrypter les codes et résoudre les problèmes pour accélérer leur recrutement.