Archives de catégorie : Patch

70,2% des attaques DDoS par botnet ont utilisé des serveurs Linux au 2ème trimestre 2016

Durant la période étudiée, ce sont les ressources de 70 pays qui ont été visées par des attaques DDoS, la Chine étant le pays le plus touché (77% du nombre total d’attaques). L’Allemagne et le Canada sont tous les deux sortis du top 10 des pays visés, remplacés par la France et les Pays-Bas.

La durée des attaques a largement augmenté ce trimestre. Si le nombre d’attaques ayant duré jusqu’à 4h a diminué – passant de 68% au 1er trimestre à 60% au 2nd trimestre – la proportion de très longues attaques a augmenté. 9% des attaques ont duré entre 20h et 49h (contre 4% au 1er trimestre) et 4% ont duré entre 50h et 99h (contre 1% au 1er trimestre). Au 2nd trimestre, l’attaque la plus longue a duré 291 heures (soit 12 jours), contre 8 jours au 1er trimestre.

Bien que les méthodes d’attaques les plus utilisées demeurent SYN DDoS, TCP DDoS et HTTP DDoS, la proportion d’attaques de type SYN DDoS a été multipliée par 1,4 par rapport au trimestre précédent (pour atteindre 76%). Cette augmentation s’explique principalement par la multiplication des attaques utilisant des botnets Linux – qui sont les plus efficaces pour les attaques SYN-DDoS. C’est la première fois que Kaspersky DDoS Intelligence enregistre un tel déséquilibre entre les bots basés sur Linux (70%) et Windows (30%).

« Les serveurs Linux contiennent souvent des vulnérabilités assez classiques, sans pour autant être protégés par une solution de sécurité robuste, ce qui les rend plus sujets aux infections de bots. Les attaques réalisées par des bots Linux sont simples mais efficaces ; elles peuvent durer plusieurs semaines, alors que le propriétaire du serveur n’a pas conscience d’être à l’origine d’une attaque. De plus, en utilisant un seul serveur, les cybercriminels peuvent lancer une attaque dont la puissance sera égale à celle de plusieurs centaines d’ordinateurs personnels. C’est pourquoi les entreprises doivent se protéger en amont contre ce type de scenario, quelles que soient la durée et la complexité des attaques », commente Oleg Kupreev, Lead Malware Analyst chez Kaspersky Lab.

Le lancement du jeu The Division a poussé l’analytique jusqu’à la limite

Pour ceux qui vivent sur une île déserte, en mars dernier, Ubisoft a lancé Tom Clancy’s The Division, son jeu de tir à la troisième personne en monde ouvert très attendu et disponible en ligne uniquement, sur plusieurs plateformes. Le jeu a battu les records de l’entreprise, dont le plus grand nombre de ventes durant le premier jour de commercialisation, recueillant non seulement d’excellentes critiques générales mais renforçant ainsi les bénéfices de l’entreprise pour l’exercice 2015-16. En préparation du lancement, les personnes impliquées dans les analyses de données du jeu étaient bien conscientes que la pression serait immense.

La sortie de The Division marque le plus grand lancement de l’histoire d’Ubisoft. Il a fallu environ six mois avant le lancement pour que tout le monde soit sur la même longueur d’onde quant au travail d’analyse mais cela s’est tout de même avéré être un défi de taille « tout particulièrement pour notre infrastructure de suivi. Lors du lancement, notre capacité a lentement atteint sa limite, nous avons donc dû prendre de nombreuses décisions à la volée afin de maintenir notre flux analytique. Cela a demandé énormément de travail, mais nous l’avons fait« , déclare Alzbeta Kovacova, responsable analytique chez Massive Entertainment.

Presque toutes les entreprises en jeu emploient des données de nos jours, même s’il est simplement question d’indicateurs de performance ordinaires. De plus en plus de directeurs et de responsables saisissent le besoin de l’analytique et souhaitent en faire usage. L’analytique permet d’améliorer les jeux pour tous les joueurs, d’informer les équipes de développement durant la conception de nouveaux jeux améliorés et de rendre les efforts de marketing bien plus efficaces. »

Mme Kovacova insiste sur le fait que ce qui fait la principale différence entre une réussite et un échec pour un jeu de cet ampleur, et au sein du monde de l’analytique de jeu en général, ce sont les gens. Toutefois, bien que l’importance des données augmente pour tous les produits commerciaux, les gens peuvent aussi représenter un obstacle.

Lors de son effort annuel visant à rassembler les personnes impliquées dans ce domaine et à partager leurs leçons et expériences, le Game Analytics and Business Intelligence Forum se rendra à Londres en septembre (du 20 au 22) pour offrir des séminaires présentés par des acteurs tels que Rovio, Spotify, King et Miniclip.

Lors d’une présentation exclusive, Mme Kovacova parlera également plus en détail du lancement de The Division chez Massive entertainment lors de ce forum.

« J’espère que le secteur pourra tirer quelque chose de ma présentation, dit-elle. Mais je me réjouis aussi d’en apprendre davantage au sujet des différents défis et des solutions développées par les autres intervenants du panel. »

Être payé pour lancer des DDoS

Déjà que lancer des DDoS était accessible au premier idiot du village, voilà que maintenant, il pourrait être possible de les payer pour leurs attaques.

Le DDoS, une plaie du web qui a pour mission de bloquer un serveur à coups de connexions de masse. Un Déni Distribué de Service, c’est un peu comme déverser des poubelles devant l’entrée d’une maison, plus personne ne peut rentrer, plus personne ne peut en sortir. Deux chercheurs américains viennent de rajouter une couche dans ce petit monde fou-fou des DDoSeurs : payer les lanceurs d’attaques.

Eric Wustrow de l’Université du Colorado et Benjamin VanderSloot de l’Université du Michigan se sont lancés dans la création d’une crypto-monnaie, comme le bitcoin, qui pourrait rémunérer les lanceurs de DDoS. Ils ont baptisé leur « idée » : DDoSCoin. Sa mission, récompenser les participants à des dénis de service distribués (DDoS). Cette « monnaie » ne fonctionne que lorsque l’ordinateur de la cible a le TLS activé (Security Layer Transport), un protocole de chiffrement pour les communications Internet sécurisée.

Créer une monnaie qui permet aux « mineurs » de prouver leur participation à un DDoS vers un serveur web ciblé peut paraitre bizarre. Les deux étudiants cherchent des méthodes pour contrer et remonter ce type d’attaque.

Sécuriser Firefox efficacement en quelques clics de souris

Vous utilisez Firefox est vous souhaitez que cet excellent navigateur soit encore plus sécurisé lors de vos surfs sur Internet ? Voici quelques astuces qui supprimerons la géolocalisation, le profilage de Google ou encore que vos données offline disparaissent du regard d’espions locaux.

C’est sur le blog des Télécoms que j’ai vu pointer l’information concernant le réglage de plusieurs paramètres de Firefox afin de rendre le navigateur de la fondation Mozilla encore plus sécurisé. L’idée de ce paramétrage, empêcher par exemple Google de vous suivre à la trace ou de bloquer la géolocalisation qui pourrait être particulièrement big brotherienne.

Commençons par du simple. Il suffit de taper dans la barre de navigation de votre Firefox la commande about:config. Une alerte s’affiche, pas d’inquiétude, mais lisez là quand même. recherchez ensuite la ligne security.tls.version. Les valeurs affichées doivent osciller entre 1 et 3. Ensuite, recherchez la ligne geo.enabled pour annuler la géolocalisation. Passez le « true » en « False ». Pour que les sites que vous visitiez ne connaisse pas la dernière page que vous avez pu visiter, cherchez la ligne network.http.sendRefererHeader et mettre la valeur 1. Elle est naturellement placée à 2. Passez à False la ligne browser.safebrowsing.malware.enabled.

Ici, il ne s’agit pas d’autoriser les malwares dans Firefox, mais d’empêcher Google de vous tracer en bloquant les requêtes vers les serveurs de Google. Pour que Google cesse de vous profiler, cherchez la ligne browser.safebrowsing.provider.google.lists et effacez la valeur proposée.

Pour finir, vos données peuvent être encore accessibles en « offlire », en mode hors connexion. Cherchez les lignes offline-apps.allow_by_default et offline-apps.quota.warn. La première valeur est à passer en Fasle, la seconde valeur en 0.

Il ne vous reste plus qu’à tester votre navigateur via le site de la CNIL ou celui de l’Electronic Frontier Foundation.

Abuser le HTTPS des sites Internet

Deux chercheurs en sécurité informatique découvrent une méthode pour abuser les sites Internet en mode sécurisé (https).

Deux informaticiens Belges viennent d’alerter Google, Microsoft et les participants de la Black Hat conférence d’un problème découvert permettant de piéger les sites Internet et leur mode sécurisé, le HTTPS. Pour Tom Van Goethem et Mathy Vanhoef, deux étudiants de l’université de Leuven, la technique exploitée est baptisée HTTP Encrypted Information can be Stolen Through TCP-Windows (HEIST).

L’idée malveillante est d’intercepter les données transmisses, passant par les protocoles de sécurité tels que SSL ou TLS. Bilan, le HTTPS (connexion sécurisé) ne sert plus à rien si l’interception du trafic est orchestré, dans la foulée, par un fichier JavaScript caché sur une page web dédiée, ou exploitée à cet effet. Une publicité diffusée par une régie extérieure, qui elle n’est pas sécurisée, peut permettre cette infiltration.

La présentation des deux doctorants en informatique est disponible ICI. Pour vous protéger de ce genre d’indiscrétion, désactivez les ‘third-party cookies’ dans les paramètres de votre navigateur. Je vais être clair, pas pratique, cela va perturber le bon fonctionnement des sites en HTTPS. Mais en attendant une correction des géants de l’Internet, pas d’autres solutions.

Des experts du piratage informatique seront bientôt défiés par une machine du DARPA

Au mois d’Août, sept machines participeront au premier tournoi international de défense informatique, et le vainqueur affrontera des experts du piratage informatique, selon l’Agence pour les projets de recherche avancée de défense DARPA, une agence du département américain de la Défense chargée de développer de nouvelles technologies pour l’armée américaine.

La DARPA a également annoncé qu’elle organiserait le Cyber Grand Challenge, un programme pluriannuel qui s’achèvera le 4 août à Los Angeles sur une compétition de cyberdéfense sans précédent ouverte au public. Cet événement sera organisé en collaboration avec DEF CON, l’une des conventions annuelles de piratage informatique les plus grandes et les plus reconnues au monde. Pendant cette compétition, les programmateurs des sept équipes finalistes se retireront et laisseront leur machine se battre de manière autonome pour remporter le grand prix, qui vaut des millions de dollars.

En outre, la machine de l’équipe qui remportera la compétition devra ensuite faire face aux meilleurs hackers, les vainqueurs de la compétition « Capture the Flag » (CTF) de DEF CON, qui aura lieu le 5 août, a indiqué la DARPA. « Ce sera la première fois que des concurrents mécaniques participent à l’événement, et cela pourrait annoncer le jour où l’ordinateur deviendra le grand maître de la cyberdéfense, comme cela s’est produit avec les échecs et Jeopardy! », a déclaré la DARPA dans un communiqué.

Capture the Flag

Le premier Grand Challenge de la DARPA était une compétition pour voitures autonomes organisée en 2004. Bien que l’événement ait été un échec, aucun véhicule robotisé n’ayant réussi à finir le parcours, cette compétition a cependant incité de nombreuses autres entreprises, dont Google, à s’intéresser à la fabrication de véhicules autonomes.

La DARPA souhaite à présent organiser la même compétition pour la cyberdéfense. D’après l’agence, le processus de recherche et de correction de bogues, de cracks ainsi que d’autres vecteurs d’infection reste en effet encore artisanal. Avec le développement de l’Internet des objets (IdO), la sécurité des systèmes informatiques doit évoluer vers un processus extensible et largement automatisé.

Cependant, « contrairement aux voitures autonomes, pour lesquelles le chemin vers l’autonomie complète, aussi difficile soit-il, n’est qu’une question de progrès technologique, nous ignorons encore si l’autonomie de raisonnement exigée par la cyberdéfense est possible à atteindre », a expliqué le directeur de programme de la DARPA Mike Walker, qui a organisé le Cyber Grand Challenge en 2013.

« De la même manière que le premier vol effectué par les frères Wright n’est pas allé loin mais a déclenché une chaîne d’événements qui a rapidement permis au monde de réduire les distances, une démonstration convaincante que la cyberdéfense automatisée est possible serait un changement de paradigme important et précipiterait l’arrivée du jour où les pirates informatiques n’auront plus les avantages inhérents dont ils bénéficient aujourd’hui« , a estimé M. Walker. (PeopleDaily)

Patch Tuesday Juin 2016

L’analyse du Patch Tuesday juin contient une menace 0-Day connue sur Flash, qui est actuellement en cours d’exploitation à l’aveugle. Le reste est plutôt classique avec 16 bulletins de Microsoft pour corriger plus de 40 vulnérabilités pour le mois de juin.

Le Patch Tuesday juin 2016 arrive avec un cortège de 16 bulletins publiés par Microsoft pour résoudre plus de 40 vulnérabilités (CVE) différentes. Cela porte à 81 le nombre de bulletins pour les 6 premiers mois, ce qui laisse augurer plus de 160 bulletins d’ici fin 2016, un nouveau record pour la dernière décennie en termes de correctifs.

Votre attention doit se porter en priorité sur Adobe Flash. En effet, Adobe a reconnu qu’une vulnérabilité (CVE-2016-4171) au sein du lecteur Flash actuel est en cours d’exploitation en aveugle, si bien que l’éditeur a reporté le patch mensuel pour Adobe Flash. Dans son avis de sécurité APSA16-03. Adobe promet ce patch pour d’ici la fin de la semaine. Surveillez attentivement sa diffusion et déployez-le dès que possible. Si l’outil EMET est installé sur vos systèmes, vous êtes protégés. Pour information, c’est le troisième mois d’affilée qu’une faille 0-Day est découverte dans Flash, ce qui en fait le logiciel certainement le plus ciblé sur les points d’extrémité de votre entreprise.

Ce mois-ci, un ensemble de bulletins à la fois pour les serveurs et les systèmes clients va occuper cette semaine toute l’équipe IT qui devra sécuriser les systèmes de l’entreprise.

Vulnérabilité critique

La vulnérabilité la plus intéressante côté serveur est résolue dans le bulletin MS16-071. Ce dernier corrige une vulnérabilité critique unique sur le serveur DNS de Microsoft. En cas d’exploitation réussie, l’attaquant déclenche une exécution de code à distance (RCE) sur le serveur, ce qui est extrêmement fâcheux pour un service aussi critique que DNS. Les entreprises qui exécutent leur serveur DNS sur la même machine que leur serveur Active Directory doivent être doublement conscientes du danger que représente cette vulnérabilité.

Côté client, la vulnérabilité la plus importante est résolue dans le bulletin MS16-070 Elle corrige plusieurs problèmes dans Microsoft Office. Principale vulnérabilité associée au format Microsoft Word RTF, CVE-2016-0025 déclenche une exécution RCE au profit de l’attaquant. Le format RTF pouvant être utilisé pour attaquer via le volet d’aperçu d’Outlook, la faille peut être déclenchée à l’aide d’un simple email et sans interaction avec l’utilisateur.

Côté navigateur Web, les bulletins MS16-063 pour Internet Explorer, MS16-068 pour Edge et MS16-069 pour Javascript sur Windows Vista traitent plusieurs vulnérabilités RCE critiques qui sont exploitables lors d’une simple navigation sur le Web. Ces vulnérabilités constituent un vecteur d’attaque privilégié pour les cybercriminels et nous vous recommandons de les corriger dans les 7 prochains jours.

Les autres vulnérabilités concernées par ce Patch Tuesday juin sont toutes classées comme importantes. Elles sont généralement exploitées pour élever des privilèges une fois qu’un intrus est parvenu à exécuter du code sur la machine et sont donc associées avec une exécution de code à distance comme décrit ci-dessus. L’exception est MS16-076 qui résout une faille unique dans Windows Netlogon pouvant fournir une exécution RCE à l’attaquant. Sa gravité est moindre qu’une vulnérabilité RCE normale parce l’attaquant devra dans un premier temps prendre le contrôle du serveur Active Directory.

Deux autres vulnérabilités côté serveur dans le patch tuesday juin

Une élévation de privilèges sur le composant du serveur SMB résolue dans le bulletin MS16-075

Une faille dans Microsoft Exchange résolue dans le bulletin MS16-079 entraînant aussi une élévation de privilèges, certains étant liés au patch Oracle dans la bibliothèque Outside-in.

En résumé, il s’agit d’un Patch Tuesday relativement classique mais avec une menace 0-Day connue qui nécessite de surveiller impérativement la publication de la prochaine mise à jour de Flash. Corrigez les autres problèmes en fonction de vos priorités habituelles, mais faites particulièrement attention à la vulnérabilité qui affecte le serveur DNS et qui va forcément susciter des comportements indésirables. (Wolfgang Kandek, CTO de Qualys).

Problème de confidentialité pour le site My pension

Le site Belge Mypension.be souffre d’un problème de confidentialité. Un utilisateur pensant être déconnecté… le reste sans le savoir.

problème de confidentialité – Les cookies sont de petits fichiers permettant de rendre « unique » l’utilisation d’un site Internet. Il permet de garder en mémoire une session après l’utilisation d’un identifiant de connexion ; de garder en mémoire les choix que vous avez pu effectuer sur un forum, une boutique… Le cookie peut aussi être un problème, surtout si ce dernier est mal géré.

C’est ce qui vient d’arriver au site Internet du gouvernement Belge, Mypension.be. Cet espace du service public du royaume ne prend pas en compte l’ordre pourtant donné par le bouton « deconnexion ». Bilan, si une personne surfe sur un ordinateur public ou semi public (bureau…) un second internaute, face au clavier, peut se retrouver connecter aux informations privées et sensibles du propriétaire légitime. « Une solution technique est en préparation et sera déployée aussitôt qu’elle aura été validée. La sécurité est en effet essentielle pour nos utilisateurs. » infique le site des pensions belges au journal Le Vif.

Espérons pour ce site qu’aucune faille de type XSS (Cross-Site Scripting) existe. Une XSS permet de dérober, par le biais d’un lien particulièrement formulé, d’intercepter les données d’un cookie, donc dans ce cas, de connexion d’un belge utilisateur de My Pension. Une attaque qui peut faciliter, pour un malveillant, l’accès aux données d’une cible pensant être déconnectée de son administration.

Un million d’ordinateurs piégés par un botnet

Un botnet infectant près d’un million de machines détourne les requêtes effectuées sur Google, Bing et Yahoo. Les programmes d’affiliation publicitaires génèrent des millions de dollars de revenus, ce qui n’a pas échappé aux pirates. Les redirections frauduleuses de trafic et le détournement de clics sont exploités depuis longtemps.

Il y a seulement quelques semaines, les auteurs du malware botnet DNSChanger ont été condamnés à sept ans de prison pour ce type de pratiques. Grâce à ce malware, Vladimir Tsatsin avait ainsi pu gagner un million de dollars en modifiant les paramètres DNS des ordinateurs infectés pour détourner les publicités, effectuer du « clickjacking » ou modifier les résultats des moteurs de recherche. Avec la nouvelle génération de clickbots tels que le Trojan Redirector.Paco ce type de détournement de revenus publicitaires prend une ampleur sans précédent. Le cheval de Troie Redirector.Paco repose sur un fichier PAC (Proxy auto-config) permettant de rediriger toutes les recherches effectuées via Google, Bing ou Yahoo des machines infectées sur des résultats définis par les pirates.

Comment ça marche ?
L’objectif du malware est de rediriger tout le trafic généré lors de l’utilisation d’un des principaux moteurs de recherche (Google, Yahoo ou Bing) et de remplacer les résultats de cette recherche par ceux obtenus à partir d’un autre moteur conçu à cet effet. Le but étant de permettre aux cybercriminels de gagner de l’argent grâce au programme AdSense. Le programme Google AdSense for Search affiche normalement des publicités contextuelles sur les pages de résultats du moteur de recherche et partage une partie de ses revenus publicitaires avec les partenaires du réseau AdSense. Pour rediriger le trafic, le malware effectue quelques réglages simples au niveau du registre. Il modifie les valeurs des clés AutoConfigURL et AutoConfigProxy des paramètres Internet de sorte que pour chaque requête effectuée par l’utilisateur, une requête de fichier PAC (Proxy auto-config) soit effectuée. Ce fichier impose au navigateur Web de rediriger le trafic vers une adresse différente.

Le malware s’efforce de donner une apparence d’authenticité aux résultats obtenus. Cependant, certains indices devraient normalement alerter les utilisateurs. Dans la barre d’état du navigateur, des messages tels que « Waiting for proxy tunnel » ou «Downloading proxy script » peuvent être affichés. Deuxièmement, la fausse page Google est anormalement longue à charger. De plus, le malware n’affiche pas les lettres colorées habituelles du logo Google au-dessus des numéros de page. Le botnet Redirector.Paco est en activité depuis la mi-septembre 2014. Depuis, il a réussi à infecter plus de 900 000 adresses IP dans le monde entier, principalement en Inde, Malaisie, Grèce, Italie, au Pakistan, au Brésil, aux États-Unis, et en Algérie.

Développement rapide des cybermenaces sur mesure

Des cybermenaces régionalisées, avec des langues, des styles et des méthodes de paiement locaux.

Une étude menée par les SophosLabs, de l’éditeur de solution de sécurité informatique éponyme, indique une tendance à l’augmentation, chez les cybercriminels, du ciblage et de la sélection spécifique de certains pays lors de la conception de leurs ransomwares et autres cyberattaques malveillantes. Cette étude intègre des informations émanant de plus d’un million de systèmes de par le monde qui ont été analysées.

Afin d’atteindre davantage de victimes avec leurs attaques, les cybercriminels conçoivent aujourd’hui des spams sur-mesure pour déployer leurs menaces en utilisant un langage, des styles et des méthodes de paiement locaux, pour une meilleure compatibilité culturelle. Les ransomwares sont malicieusement déguisés en authentiques notifications par email, en imitant des logos locaux, pour plus de crédibilité, plus de probabilité d’être cliqués et une meilleure rentabilité pour les cybercriminels. Afin d’avoir la meilleure efficacité possible, ces spams par email imitent par exemple l’agence postale locale, les services des impôts ou de police, les entreprises fournissant l’eau, le gaz, l’électricité, en utilisant des fausses confirmations d’envoi et de remboursement, de fausses amendes pour excès de vitesse, ou encore de fausses factures d’électricité. Une augmentation notable des spams dans lesquels les textes sont mieux orthographiés et ponctués, avec une meilleure structure grammaticale. « Vous devez faire davantage attention pour différencier les faux emails des vrais », déclare Chester Wisniewski, Senior Security Advisor chez Sophos à DataSecurityBreach.fr. « Etre au courant des tactiques et techniques utilisées dans votre région ou pays devient un aspect fondamental de la cybersécurité ».

Les experts ont aussi repéré une tendance nette à l’apparition de différents types de ransomwares qui ciblent des lieux spécifiques. Les différentes versions de CryptoWall frappent en priorité les Etats-Unis, le Royaume-Uni, le Canada, l’Australie, l’Allemagne et la France. TorrentLocker attaque principalement le Royaume-Uni, l’Italie, l’Australie et l’Espagne et TeslatCrypt, quant à lui, sévit au Royaume-Uni, aux Etats-Unis, au Canada, à Singapour et en Thaïlande. Les analyses montrent également le TER[1] (Threat Exposure Rates) par pays, sur les 3 premiers mois de 2016. Bien que les économies des pays occidentaux soient une cible principale, leurs TER sont plutôt faibles. Les pays classés avec un TER faible sont la France avec 5.2%, le Canada avec 4.6%, l’Australie avec 4.1%, les Etats-Unis avec 3%, et le Royaume-Uni avec 2.8%. L’Algérie avec 30.7%, la Bolivie avec 20.3%, le Pakistan avec 19.9%, la Chine avec 18.5% et l’Inde avec 16.9%, sont les pays avec les plus forts pourcentages de systèmes exposés à des attaques par malwares. ZATAZ.COM avait été l’un des premiers blog dédié à la protection numérique à annoncer la vente de « kit » pirate de création de ransomware.

« Même le blanchiment d’argent est ciblé géographiquement afin d’être plus lucratif. L’utilisation des cartes de crédit peut s’avérer risquée pour les cybercriminels. Ils ont ainsi commencé à utiliser des méthodes de paiement anonymes sur Internet, afin d’extorquer de l’argent à leurs cybervictimes via les ransomwares », a déclaré Wisniewski à Data Security Breach. « Nous avons pu observer des cybercriminels utiliser les équivalents locaux de cartes de paiement en ligne ou en magasin, telles que la carte prépayée Green Dot MoneyPak chez Walgreens aux Etats-Unis, ou encore Ukash, à présent paysafecard, utilisée dans plusieurs magasins au Royaume-Uni ». L’idée de sélectionner des pays en particulier est aussi ressortie de l’étude comme une tendance forte.

Les cybercriminels programment leurs attaques afin d’éviter certains pays ou certains types de clavier avec un langage particulier. Un phénomène qui apparaît pour plusieurs raisons. Il peut s’agir de la volonté des cybercriminels que ces attaques ne se produisent pas à proximité du point d’envoi, afin d’éviter toute détection. Il peut s’agir aussi d’un sentiment de fierté nationale, ou encore d’une stratégie conspirationniste afin de créer le doute à propos d’un pays en particulier, en l’épargnant lors du lancement de l’attaque.

Les banques sont un bon exemple de l’utilisation par les cybercriminels de malwares ciblant un endroit en particulier pour augmenter leurs gains. L’étude révèle, en effet, comment de manière historique les Trojans et malwares utilisés pour infiltrer les banques ou les institutions financières convergent vers des régions spécifiques :

·         Brazilian Banker Trojans et ses variantes ciblent le Brésil.
·         Dridex est présent davantage aux États-Unis et en Allemagne.
·         Trustezeb se rencontre plus dans les pays germanophones.
·         Yebot est populaire à Hong Kong et au Japon.
·         Zbot est plus répandu aux États-Unis, au Royaume-Uni, au Canada, en Allemagne, en Italie, en Espagne et au Japon.

Il existe une véritable industrie artisanale visant à créer des Trojans sur-mesure, prenant pour cible uniquement les banques brésiliennes. Maintenant que les cybercriminels créent des menaces qui semblent vraiment authentiques et qui sont ciblées, il est de plus en plus difficile de reconnaitre les spams malveillants. Les utilisateurs de PC domestiques sont souvent les cibles de telles attaques et doivent protéger leurs systèmes vis-à-vis de ces menaces sophistiquées.

Patch Tuesday – Mai 2016

Un mois de Mai avec un Patch Tuesday parmi les plus intenses depuis un moment en raison des menaces 0-Day qui y sont traitées et de leur ampleur potentielle.

Microsoft et Adobe publient les mises à jour de sécurité, mais avant de rentrer dans les détails des mises à jour de mai (17 en tout), rappelons l’urgence d’une autre vulnérabilité qui vous a peut-être échappée. Le célèbre programme Open Source ImageMagick est actuellement la cible d’une attaque active sur Internet. La vulnérabilité CVE-2016-3714 (renommée ImageTragick) permet d’exécuter du code à distance (RCE) via le l’envoi d’images. Pour l’instant, aucun patch n’est disponible, mais une solution de contournement a été publiée pour neutraliser les attaques en cours. Nous vous recommandons de faire comme les pirates, c’est-à-dire de scanner votre infrastructure pour rechercher des occurrences d’ImageMagick puis d’appliquer cette solution de contournement dans le fichier policy.xml. C’est ce que j’ai immédiatement fait sur mes sites, même si je n’utilise ImageMagick qu’en mode ligne de commande pour créer des vignettes. À noter que ces deux dernières semaines la solution de contournement s’est enrichie et qu’il est donc intéressant de la recharger si vous l’avez déjà appliquée.

Revenons aux mises à jour de Microsoft et d’Adobe publiées pour résoudre les vulnérabilités actuellement attaquées de manière active avec au total 17 bulletins pour colmater plus de 100 failles logicielles.

Tout en haut de notre liste des priorités figure la mise à jour pour Internet Explorer (MS16-051) qui résout une vulnérabilité de type RCE critique, en l’occurrence CVE-2016-0189 qui est actuellement sous le feu d’attaques. Cette vulnérabilité est située dans le moteur JavaScript et, dans Vista et Windows 2008, le moteur est distinct du navigateur. Donc, si vous exécutez ces variantes de Windows (seulement 2% fonctionnent encore sous Vista), vous devez installer MS16-053.

Vient ensuite APSA16-02, un avis de sécurité Zero-Day pour Adobe Flash. Aucun correctif n’est encore disponible, il est important de surveiller l’évolution de la situation. Adobe devrait publier une nouvelle version de Flash d’ici la fin de cette semaine. La vulnérabilité en question nommée CVE-2016-4117 fait actuellement l’objet d’attaques à l’aveugle.

Nous vous suggérons de commencer par traiter ces trois vulnérabilités avant de traiter d’autres problèmes. Pour la suite des bulletins, vous devriez vous concentrer sur :

MS16-054 pour Office qui résout deux vulnérabilités critiques au sein du format de fichier RTF. Elles peuvent être déclenchées via le volet d’aperçu d’Outlook sans que vos utilisateurs cliquent sur le fichier malveillant. Je vous r ecommande d’utiliser la fonction de blocage de fichiers pour supprimer RTF des formats de fichiers que vous acceptez, ce qui renforcera un peu votre protection et vous fera gagner du temps pour résoudre pleinement ce problème.

MS16-052 pour le navigateur Microsoft Edge sous Windows 10. Ce bulletin traite quatre vulnérabilités critiques, soit un peu moins que pour l’ancien navigateur Internet Explorer avec le bulletin MS16-051, sachant qu’aucune de ces failles ne fait l’objet d’une attaque directe.

MS16-055, un patch pour le sous-système graphique de Windows. S’agissant d’une vulnérabilité dans l’interface GDI, les vecteurs d’attaque peuvent provenir du Web et de documents. Les versions Windows affectées vont de Vista à Windows 10.

MS16-057 pour le shell Windows. Ce bulletin résout une vulnérabilité critique dans l’interface utilisateur au cœur de Windows, elle permet à un attaquant d’exécuter du code distant sur le système

MS16-062 pour les pilotes du noyau Windows. Toutes ces vulnérabilités sont locales mais du même type que celui utilisé par les attaquants pour élever leurs privilèges après s’être introduits dans le système.

Les bulletins MS16-056 et MS16-059 pour le Journal Windows et Windows Media Center traitent des vulnérabilités au sein de formats de fichier utilisés par ces applications. Si vous utilisez ces programmes, soyez vigilants car les vulnérabilités sont assez fréquentes et des attaquants finiront par découvrir ces nouvelles possibilités d’attaque un jour à l’autre. En raison de sa similarité avec MS15-134 (supporté dans Metasploit), il y a des chances pour que le bulletin MS16-059 figure très bientôt dans les boîtes à outils pour pirates.

MS16-058 pour IIS. Si vous exécutez IIS comme serveur Web, intéressez-vous à ce bulletin s’il y a des risques que des attaquants obtiennent les privilèges requis pour accéder à vos systèmes

APSB16-14 pour Adobe Reader, la mise à jour bimensuelle gère 92 vulnérabilités et expositions CVE différentes. (Qualys)

Le fichier Pagat.txt dans votre site, attention danger

Plus de 45% d’augmentation, selon IBM Security, de la présence du fichier Pagat.txt dans les machines de ses clients. Le programme, une porte cachée qui permet bien des malveillances.

La force de WordPress, sa souplesse et ses nombreux plugins (options permettant d’agrémenter de services son site web). Cette force et aussi une faiblesse si vous ne mettez pas à jour votre CMS (WordPress, mais aussi Joomla! et compagnie, NDR) et les outils que vous avez pu y installer.

Au cours des mois de février en mars 2016, l’équipe IBM Managed Security Services (MSS) a découvert une augmentation de 45% de la présence d’un fichier baptisé pagat.txt dans les machines des clients.

Derrière ce faux fichier texte, une backdoor, un shell, bref une porte cachée codée en php. L’outil pirate est connu, aussi, sous le nom de C99. Une arme numérique ultra exploitée sur la toile. On trouve ce webshell sous forme d’image, de vidéo… Pagat semble être diffusé en profitant de failles dans les plugins de WordPress. Une quinzaine serait exploité à cet effet.

Rien de bien nouveau cependant, en janvier 2015, lors de l’opération pirate Anti Charlie, 80% des sites défacés (barbouillés) en France étaient le résultat de l’installation de C99 (grand frêre de Pagat) dans les serveurs des sites non sécurisés. Rien de plus simple, pour le pirate, de modifier la page index, de mettre la main sur les données privées. Cela démontre aussi que les mises à jour ne sont pas prises au sérieux par les utilisateurs. Google indique que 31 829 sites seraient touchés par cette malveillance.

Fuite de données santé pour 1.400 institutions

Fuite de données santé – Les tests de la mise à jour d’un logiciel américain dédié aux études cardiovasculaires effectués avec de vraies données de patients. 1.400 institutions de santé américaines alertées par l’American College of Cardiology.

Ce n’est pas la première fois qu’un tel cas est découvert. J’ai bien peur que cela ne soit pas le dernier. L’American College of Cardiology vient d’alerter 1.400 institutions américaines de santé après la découverte d’une fuite de données de patients pas comme les autres.

L’American College of Cardiology indique que des informations de patients ont pu être compromises après que les dites informations se soient retrouvées dans une base de données utilisées lors du test d’un logiciel professionnel. Des dossiers médicaux datant de 2009 et 2010.

C’est lors de la refonte du logiciel du registre des données cardiovasculaires national ACC, qu’une table de la base de données (BDD) officielle a été copiée. L’incident a été découvert en Décembre 2015. Les hôpitaux ont reçu l’alerte deux mois plus tard. Dans les données de la BDD malmenée : noms, dates de naissance, numéros de sécurité sociale et les numéros d’identification des patients.

Effacer Quicktime de votre PC

Apple arrête de mettre à jour son logiciel QuickTime pour Windows. De multiples failles sortent de l’ombre. Effacer Quicktime de votre PC.

QuickTime et Windows, une longue et périlleuse histoire d’amour. Apple stoppe les frais, et vient de décider que son outil ne sera plus mis à jour pour les ordinateurs tournant sous Windows. Bilan, quelques minutes après cette annonce, des failles sortaient de l’ombre. Parmi les alertes, celles de Trend Micro, du Cert USA et du blackmarket.

Certes, tous les logiciels ont un cycle de vie, mais cet arrêt soudain et brutal pourrait entraîner de sérieux problèmes aux internautes et entreprises non avertis. Rien que le Zero Day initiative (2), deux vulnérabilités.

Comme le rappel le CERT, les systèmes informatiques exécutant ce logiciel sont exposés à un danger numérique. L’exploitation de QuickTime Windows pourrait permettre à des malveillants de prendre le contrôle des systèmes concernés. Apple explique comment effacer Quicktime de son ordinateur.

96 % des DSI Français s’attendent à être la cible d’attaques

Les DSI français admettent investir des millions à fonds perdus dans une cybersécurité qui se révèle inopérante sur la moitié des attaques. Une nouvelle étude  indique que 96 % des DSI, en France, s’attendent à être la cible d’attaques en raison de leur aveuglement à l’égard des nouvelles menaces.

Une étude, menée par Vanson Bourne auprès de 100 DSI en France, portant sur la fréquence et l’incidence d’une sécurité informatique inefficace indique que les Directeurs des Services Informatiques s’attendent à être la cible d’attaques. Ces décideurs informatiques sont unanimes : ils estiment que les fondements de la cybersécurité – clés cryptographiques et certificats numériques – n’étant actuellement aucunement protégés, les entreprises sont dans l’ignorance, en proie au chaos, et incapables de se défendre.

Les DSI, en France, reconnaissent gaspiller plusieurs millions de dollars dans la superposition de mécanismes de défense puisque ces outils vouent une confiance aveugle aux clés et aux certificats – et se révèlent incapables de différencier ceux dignes de confiance des autres. Si l’on se réfère aux prévisions de Gartner, qui estime que 50 % des attaques réseau cibleront le protocole SSL/TLS, cela signifie que des systèmes de sécurité aussi répandus que FireEye ne seront opérants que la moitié du temps. Et les DSI français admettent que ce chaos met en péril leurs projets des plus stratégiques, à savoir ériger des structures informatiques agiles autour du concept DevOps.

Etre la cible d’attaques

  • 90 % des DSI, en France, sont convaincus de l’inefficacité de leurs mécanismes de défense puisque ceux-ci sont incapables d’analyser le trafic réseau crypté pour y déceler d’éventuelles attaques.
  • 96 % des DSI, en France, ont déjà essuyé ou s’attendent à essuyer une attaque dissimulée dans du trafic crypté.
  • 91 % des DSI, en France, estiment que les clés de cryptage et certificats numériques dérobés sont en passe de représenter un marché extrêmement lucratif pour les pirates.
  • 79 % des DSI, en France, conviennent que leur stratégie d’accélération de l’informatique et de l’innovation est en danger car leurs initiatives introduisent des vulnérabilités nouvelles.

Les entreprises s’en remettent à des dizaines de milliers de clés et de certificats qui posent les fondements de la confiance sur lesquels s’appuient leurs sites web, machines virtuelles, appareils mobiles et serveurs cloud. Cette technologie a été adoptée pour contribuer à résoudre la problématique de sécurité initiale d’Internet, c’est-à-dire être en mesure d’isoler les contenus sûrs et confidentiels. Depuis la banque en ligne jusqu’à l’Internet des objets en passant par la sécurisation des applications et les applications mobiles, tout ce qui est basé sur IP dépend d’une clé et d’un certificat pour établir une connexion fiable et sécurisée. Sauf que des cybercriminels détournent actuellement des clés et certificats sans protection pour se dissimuler dans du trafic crypté, créer de faux sites web, déployer des logiciels malveillants, élever leurs privilèges et dérober des données.

Les technologies déployées – protection des postes de travail, protection contre les menaces avancées, pare-feu de nouvelle génération, analyse comportementale, détecteurs d’intrusions et prévention des pertes de données (DLP) – sont foncièrement imparfaites puisqu’il est impossible de séparer le bon grain de l’ivraie en dissociant les clés et certificats valables de ceux qui sont corrompus. Résultat, ces outils se révèlent incapables de passer au crible la grande majorité du trafic réseau crypté. D’où des failles béantes dans les mécanismes de défense des entreprises. Les cybercriminels mettent à profit ces angles morts dans le domaine de la sécurité : ils se servent de ces clés et certificats dénués de protection pour se dissimuler dans du trafic crypté et contourner les contrôles de sécurité.

« Les clés et certificats constituent les fondements de la cybersécurité : ils authentifient les connexions système et nous indiquent si les logiciels et équipements fonctionnent comme prévu. Si ces fondements s’effondrent, nous rencontrons de graves difficultés », commente Kevin Bocek, vice-président stratégie de sécurité et veille des menaces chez Venafi. « Si la France dispose de l’une des approches les plus évoluées au monde en matière de cybersécurité, elle se classe également parmi les 10 pays où la cybercriminalité fait rage : les entreprises françaises courent donc davantage de risques. Dotés d’une clé et d’un certificat compromis, dérobés ou falsifiés, les pirates peuvent usurper, contrefaire et surveiller les sites web, infrastructures, clouds et appareils mobiles de leurs cibles, et décrypter des communications censées être confidentielles. »

« Progressivement, les systèmes que nous avons mis en place pour tester et instituer une confiance en ligne se retournent contre nous. Pire, les éditeurs et fournisseurs qui affirment être en mesure de nous protéger en sont bien incapables. Leurs outils de protection pour postes de travail, pare-feu, détecteurs d’intrusions, systèmes DLP et autres sont pires qu’inutiles puisqu’ils leurrent les clients en les entretenant dans une illusion de sécurité. Cette étude indique que les DSI, en France, sont désormais conscients de dilapider des millions dans la mesure où des systèmes de sécurité tels que FireEye ne peuvent stopper la moitié des attaques. Selon les prévisions de Gartner, d’ici à 2017, plus de la moitié des attaques réseau ciblant les entreprises utiliseront du trafic crypté pour esquiver les contrôles ; ces technologies sont sans défense face à elles ! Sachant que le marché mondial de la sécurité des entreprises pèse environ 83 milliards de dollars, autant dire que c’est énormément d’argent gaspillé dans des solutions qui ne s’acquittent de leur mission qu’à temps partiel. »

« Et les marchés expriment clairement leur manque de confiance dans la cybersécurité. Ce n’est pas une coïncidence si 96 % des DSI admettent dilapider des milliards dans une cybersécurité inadéquate et si le fonds spéculatif HACK, spécialisé dans ce domaine, a perdu 25 % depuis novembre 2015. Des résultats bien en-deçà de l’indice S&P500 qui, lui, s’inscrit en repli de 10 % du fait des turbulences sur les marchés. »

Les risques liés à des clés et certificats sans protection, échappant à tout contrôle, se multiplient à mesure que leur nombre augmente. Un récent rapport de Ponemon révèle qu’en moyenne, une entreprise possède plus de 23 000 clés et certificats, et que 54 % des professionnels de la sécurité avouent tout ignorer de leur emplacement, de leurs détenteurs et de leur mode d’utilisation. Les DSI craignent que la multiplication des clés et certificats à l’appui des nouvelles initiatives informatiques n’aggrave encore la situation.

La cible d’attaques : trop de clés et certificats

À la lumière des initiatives de cryptage systématique (« Encryption Everywhere »), apparues dans le sillage des révélations d’Edward Snowden et des opérations d’espionnage de la NSA, la quasi-totalité des DSI français (97 %) se disent préoccupés par la marche à suivre pour sécuriser la gestion et la protection de l’ensemble des certificats et clés de cryptage. Car à mesure que l’informatique s’accélèrera – via l’activation et la désactivation de services en fonction de l’élasticité des besoins – le nombre de clés et de certificats progressera en proportion. À la question de savoir si la rapidité de progression du mouvement « DevOps » complique encore l’identification de ce qui est ou non digne de confiance au sein de leurs entreprises, les DSI, en France, affirment à 79 % que c’est le cas.

« Gartner prévoit que d’ici à 2017, trois entreprises sur quatre évolueront vers une structure informatique bimodale avec une informatique à deux axes et deux vitesses : l’une qui accompagnera les applications en place en quête de stabilité, l’autre qui dispensera des services agiles adaptés aux projets d’innovation et stratégiques pour l’activité », poursuit Kevin Bocek. « Pourtant, le recours à des méthodes agiles et l’adoption du concept DevOps est une tentative extrêmement risquée et chaotique. Dans ces nouveaux environnements, la sécurité sera toujours mise à mal, et il sera pratiquement impossible de suivre ce qui est digne de confiance de ce qui ne l’est pas. »

« Raison pour laquelle il nous faut un système immunitaire pour Internet », conclut Kevin Bocek. « Comme chez l’homme, ce système donne aux entreprises les moyens de détecter instantanément les clés et certificats dignes de confiance des autres. Et, à partir du moment où la confiance en ces clés et certificats renaît, la valeur accordée aux autres investissements réalisés par l’entreprise dans le domaine de la sécurité augmente. »

Cette étude a été réalisée par le cabinet d’études de marché indépendant Vanson Bourne qui a interrogé 100 DSI au total, en poste dans de grandes entreprises en France.

Patch Tuesday Avril 2016

Place au Patch Tuesday d’avril 2016 qui nous donne un aperçu de ce qui nous attend. La semaine dernière, Adobe a été contraint d’anticiper la publication de son patch mensuel pour Adobe Flash Player (APSB16-10) afin d’aider ses utilisateurs à se protéger contre une menace Zero Day exploitée en aveugle. Qui plus est, nous avons appris il y a deux semaines par l’équipe de développement de Samba l’existence de la vulnérabilité « Badlock » qui affecte à la fois Windows et Samba sur Linux/Unix.

Badlock semble cependant moins dangereuse qu’elle n’y paraît puisqu’elle est résolue par MS16-047, un bulletin Microsoft classé comme « important ». Il s’agit d’une vulnérabilité de type Man-in-the-Middle qui permet de se connecter à la place d’une autre personne utilisant des applications basées sur le protocole SAMR ou LSAD, le protocole SMB n’étant pas affecté. Toutes les versions de Windows sont touchées, de Vista à Server 2012 R2. Même s’il est difficile de la classer, cette vulnérabilité ne figure pas pour autant parmi les priorités absolues.

Hormis MS16-047, Microsoft a publié 12 autres bulletins lors de ce Patch Tuesday , soit 50 à ce jour pour l’année 2016. 30 vulnérabilités y sont traitées au total mais aucune menace Zero-Day. Le bulletin MS16-039 contient des correctifs pour un composant graphique de Windows et concerne toutes les versions, de Vista à Windows 10 en passant par Server 2008 et 2102 R2. Il est également destiné aux versions Office 2007 et 2010 plus anciennes ainsi qu’à .NET, Skype et Lync. Situées toutes les deux dans Windows, les deux menaces Zero-Day facilitent une élévation de privilèges, que ce soit pour un utilisateur normal ou un administrateur. Elles permettront d’exploiter une vulnérabilité qui introduit l’attaquant sur la machine, notamment via la faille dans Flash Player traitée par le patch APSB16-10 et résolue dans le bulletin Microsoft MS16-050. Dans ce cas de figure, l’utilisateur se rend sur un site Web anodin puis est victime d’un exploit Flash qui se développe ensuite via les vulnérabilités CVE-2016-0165/7 résolues dans le bulletin MS16-039. Pour se protéger contre de telles attaques, corrigez aussi vite que possible. Les bulletins MS16-050 pour Flash (APSB16-10 si vous utilisez Firefox) et MS16-039 figurent tout en haut de la liste des priorités de ce mois.

Le suivant sur la liste de ce Patch Tuesday est le bulletin de sécurité MS16-042 qui résout quatre failles dans Microsoft Office. Microsoft classe ce bulletin comme critique, ce qui est uniquement le cas lorsqu’une vulnérabilité peut être directement attaquée sans interaction de l’utilisateur. En effet, CVE-2016-0127 est une vulnérabilité basée sur l’exécution de code à distance (RCE) dans le format de fichier RTF. Ce dernier est automatiquement visualisé dans le volet d’aperçu d’Outlook et facilite une exécution RCE pour l’attaquant via un simple courrier électronique. Renforcez si possible votre configuration en bannissant les emails contenant des formats de fichier RTF. Vous pouvez également désactiver ces emails via la politique de blocage de fichiers d’Office qui fonctionne aussi bien sur 2007/2010 que sur 2013.

Microsoft Internet Explorer et Edge sont respectivement corrigés au moyen des bulletins critiques MS16-037 et MS16-038. Ces deux navigateurs sont affectés par six vulnérabilités. C’est d’ailleurs la première fois qu’Edge contient autant de failles qu’IE et qu’Edge rencontre des problèmes plus sérieux qu’IE, ce qui constitue également une première. Aucune de ces vulnérabilités n’est actuellement exploitée, mais comme la plupart des exploits visent les navigateurs, il est légitime de les mettre à jour sans tarder. N’oubliez pas que Microsoft ne propose des correctifs que pour le navigateur le plus récent associé à chaque système d’exploitation, à savoir IE11 à partir de Windows 7, IE9 pour Vista et IE10 pour Windows Server 2012.

Quant à la dernière vulnérabilité critique, elle se trouve dans le sous-système de traitement XML. Aucun patch n’a été publié à ce niveau depuis plus d’un an. Le bulletin MS16-040 fournit une nouvelle version de msxml.dll pour résoudre la seule vulnérabilité présente, CVE-2016-0147. Le vecteur d’attaque se situe au niveau d’un site Web qui transmet le format XML malveillant à la machine ciblée.

Même si elles sont classées comme non critiques, les autres vulnérabilités de ce Patch Tuesday peuvent avoir un impact non négligeable et être également intéressantes. Hyper-V fait ainsi l’objet d’un correctif dans le bulletin MS16-045 dans la mesure où un système invité peut abriter une élévation de privilèges susceptible d’être très critique dans un environnement hôte où l’attaquant accède aux systèmes à cause d’un problème de conception de Hyper-V. Les systèmes d’exploitation affectés sont Windows 8.1, Server 2012 et 2012 R2. Le bulletin MS16-041 résout une vulnérabilité unique dans .NET tandis que MS16-049 corrige une vulnérabilité DoS dans les systèmes Windows 10 au niveau du pilote HTTP.sys.

Adobe a corrigé Flash la semaine dernière en urgence à l’aide du patch APSB16-10, mais publie aujourd’hui des mises à jour pour Robohelp avec le patch APS16-12 et pour les applications Creative Cloud via le patch APSB16-11.

Ce sera tout pour avril et ce Patch Tuesday avec plusieurs menaces 0-Day et des vulnérabilités immédiatement exploitables qui rendent ce mois-ci plus critique que le mois dernier. Attendez-vous à ce que la vulnérabilité affectant Adobe Flash se répande et mettez en œuvre des solutions de contournement pour les procédures d’atténuation actuellement déployées. (Publié par wkandek dans The Laws of Vulnerabilities)

État des lieux de la sécurité des systèmes SCADA de contrôle industriels

Systèmes SCADA – Alors que les cybercriminels ont toujours plus tendance à privilégier les attaques ciblées, directes ou par ricochet, il devient plus que jamais essentiel de dresser un état des lieux de la sécurité des systèmes de contrôle industriels.

Les systèmes de contrôle industriels, les système scada surveillent et gèrent des processus physiques de type distribution d’électricité, transport de gaz, distribution d’eau, feux de signalisation et autres infrastructures similaires, largement répandues aujourd’hui.

Au cours des récentes années, les systèmes de contrôle industriels, au cœur de nombre de nos infrastructures critiques et environnements industriels, ont été sous le feu d’attaques toujours plus fréquentes et virulentes. A l’évidence, cette tendance résulte, entre autres facteurs, de la convergence des technologies opérationnelles et des technologies de l’information. Comme dans tous les domaines de l’informatique, les avantages d’une connectivité réseau toujours plus étendue, rendue possible grâce à des standards ouverts (Ethernet et TCP/IP notamment), ainsi que les gains financiers qui résultent du remplacement de technologies propriétaires dédiées par des solutions commerciales packagées, se font néanmoins aux dépens d’une vulnérabilité accrue.

Pour autant, si l’impact d’un piratage informatique aboutit généralement à des pertes financières, les attaques sur les systèmes SCADA industriels peuvent aller jusqu’à détruire des équipements critiques, menacer la sécurité nationale d’un pays, si ce n’est mettre en danger des vies humaines.

Ce distinguo est très important, mais il existe aussi une différence quelque peu troublante dans les profils et les motivations des assaillants. Alors que le gain financier constitue le principal moteur de la cybercriminalité actuelle, revenons un instant sur les intentions des assaillants en 2015, pour mieux comprendre leur volonté de cibler les systèmes SCADA :

La toute première panne électrique causée par un hacker en Ukraine

Le 23 décembre 2015, une panne d’électricité a eu lieu en Ukraine occidentale suite à la mise à l’arrêt de 57 centrales électriques. Cette panne était attribuée dans un premier temps, à des “ interférences” dans le système de monitoring de l’une des entités ciblées. Ce souci a été, par la suite, directement lié à une attaque de hacker sur le système de contrôle industriel. Ce blackout, confirmé par le CERT Ukrainien le 4 janvier 2016, est aujourd’hui considéré comme la toute première panne dont l’origine prouvée est une cyberattaque.

L’attaque à été menée de manière sophistiquée et organisée, via un processus en trois étapes :

  • L’infection des systèmes a été initiée par des emails de spear phishing utilisant des documents MS Office en fichier joint. Ces documents contenaient des macros malveillantes.
  • La mise à l’arrêt des systèmes a été menée en effaçant les fichiers systèmes et en supprimant la possibilité de pouvoir assurer une restauration.
  • Des attaques de type DDoS (Distributed Denial of Service) ont ciblé les centres de services clients des acteurs ciblés, à l’aide de faux appels, retardant ainsi l’identification de la problématique par les entreprises.

Le logiciel malveillant utilisé pour ces attaques relève de la famille du malware BlackEnergy qui sévit depuis 2007. D’autres variantes ont été identifiées, des variantes susceptibles d’avoir pu recueillir des informations sur les infrastructures SCADA depuis 2014.

Confirmation d’attaques de reconnaissance sur les systèmes de contrôle industriel aux Etats-Unis

En décembre 2015, deux rapports sur les attaques ICS aux Etats-Unis révélaient l’existence d’une phase de reconnaissance, à savoir des attaques perpétrées avec l’intention de recueillir avant tout des données plutôt que d’engendrer des dommages.

Le premier rapport vient confirmer la réalité d’une attaque jusqu’à présent suspectée sur le barrage de Bowman Avenue à New York en 2013. Bien que ce barrage n’ait pas été “piraté” à proprement parler, l’attaque a permis de recueillir des requêtes et recherches sur les machines infectées, sans doute dans le cadre d’une opération de reconnaissance, d’ailleurs attribuée à des hackers iraniens.

De manière similaire, l’analyse d’un ordinateur appartenant à un sous-traitant de Calpine, une Utility américaine spécialisée dans la génération d’électricité à partir de gaz naturel et de géothermie, a révélé un piratage qui a permis à ses auteurs de détourner des informations de l’entreprise Calpine. Les informations dérobées ont été retrouvées sur le serveur FTP de l’un des assaillants connecté aux systèmes infectés. Parmi ces informations, des noms d’utilisateurs et des mots permettant de se connecter à distance aux réseaux de Calpine, ainsi que des schémas détaillés de réseaux et de 71 centrales électriques sur l’ensemble des États-Unis.

Des systèmes SCADA piratés proposés à la vente au sein de l’économie souterraine

De nombreux messages sur des forums de type underground proposaient de commercialiser des systèmes SCADA piratés et illustrés de copies d’écran de ces systèmes, ainsi que trois adresses IP françaises et des mots de passe VNC. Notons que l’authenticité de ces informations de connexion n’a jamais été prouvée. Cependant, ce scénario souligne qu’il devient possible de se procurer des systèmes SCADA vulnérables dans l’underground, aussi simplement que d’acheter une commodité.

Ces attaques ne sont que des exemples parmi tant d’autres. Selon l’ICS-CERT Monitor Newsletter: Oct 2014 – Sept 2015, ce sont 295 incidents qui ont été notifiés en 2015 à ce CERT américain spécialisé dans les systèmes industriels. Dans leur majorité, ces incidents répertoriés ciblaient des infrastructures de production critiques, ainsi que le secteur des énergies. Cette inflation d’attaques visant les systèmes critiques de production, par rapport à 2014, est le résultat d’une campagne de spear-phishing étendue qui a ciblé essentiellement les entreprises de ce secteur, et à un moindre niveau, d’autres secteurs d’activité.

Dans leur volonté de protéger leurs systèmes industriels, les organisations connaissent un réel défi, à savoir la sophistication des attaques actuelles menées par les cybercriminels. Cependant, il existe d’autres défis notamment au niveau des systèmes, des réglementations et des pratiques spécifiques à un secteur d’activité. Les systèmes de contrôle industriel proviennent de fournisseurs hétérogènes et utilisent des systèmes d’exploitation, applications et protocoles propriétaires (GE, Rockwell, DNP3, Modbus). Du coup, la sécurité des systèmes hôtes telle que conçue pour l’informatique classique n’est généralement pas disponible pour les systèmes SCADA, tandis que les fonctions de sécurité réseau pour les applications et protocoles communs en entreprise sont souvent absentes ou non adaptées aux environnements industriels.

Compte tenu des faits présentés dans cet article, il devient essentiel de formuler certaines recommandations en matière de sécurité, et ainsi éviter de se faire piéger :

  • Gare aux emails de phishing : les emails de phishing peuvent s’afficher très séduisants et convaincants et il est d’autant plus essentiel de disposer d’un antivirus, pour activer une couche de sécurité contre les fichiers malveillants joints à ces emails. Dans la pratique, force est de constater que le phishing a été utilisé dans toutes les attaques, ce qui en fait une arme de choix pour cibler tant les environnements industriels que les réseaux d’entreprise. Une attaque de spear-phishing a ainsi été notifiée à l’ICS-CERT, impliquant des assaillants utilisant un compte sur un réseau social et lié au profil d’un candidat en recherche de poste. À l’aide de ce compte, les assaillants ont pu récupérer des informations comme le nom du responsable informatique de l’organisation ciblée, ou encore les versions des logiciels installées. Par la suite, les collaborateurs ont reçu un email, avec, en fichier joint, le CV du faux candidat joint dans un format ‘resume.rar’. Le fichier joint contenait un logiciel malveillant qui a infecté les équipements des collaborateurs, mais qui a néanmoins pu être neutralisé avant de se propager et impacter les systèmes de contrôle.
  • Mise en log et scans réguliers du réseau : les logs constituent un moyen pertinent de surveiller l’activité des systèmes et de rassembler les différentes pièces du puzzle en cas d’incident. Cette analyse des logs permet également de détecter en amont les infections dans de nombreux cas. La gestion des logs est une pratique qui s’impose aux administrateurs des systèmes de contrôle. Les scans réguliers du réseau constituent également une bonne pratique pour être prévenu en amont de toute infection possible.

La bonne nouvelle est néanmoins que dans les années récentes les problématiques de sécurité et de vulnérabilité des systèmes SCADA ont été davantage reconnues, et que les premières étapes pour y remédier sont déjà en place.

Ceci est notamment une priorité pour les organisations gouvernementales tels que l’ICS-CERT américain (Industrial Control Systems Cyber Emergency Response Team), le CPNI britannique (Centre for Protection of National Infrastructure, et bien sûr l’ANSSI ou le Clusif en France. Tous ces organismes ont fait état de recommandations et de publications sur les meilleures pratiques de sécurité en environnement industriel.

Notons également la définition de normes communes comme ISA/IEC-62443 (ex ISA-99). Créés par l’International Society for Automation (ISA) sous l’appellation ISA-99, puis renommée 62443 pour se conformer aux standards IEC (International Electro-Technical Commission), ces documents définissent un cadre exhaustif pour la conception, la planification, l’intégration et la gestion des systèmes de contrôles industriel sécurisés.

Les systèmes industriels restent sous le feu des attaques, mais aujourd’hui, il est possible, en associant technologies et méthodologies, de juguler ces attaques. (Par Ruchna Nigam, Chercheur en sécurité, pour DataSecurityBreach.fr, au sein de FortiGuard Labs de Fortinet)

La Gendarmerie Nationale organise son 1er Hackathon

En partenariat avec de grandes écoles d’ingénieurs (EISTI, ENSTA Paris Tech, EPITECH Montpellier et Nice), ce challenge a pour objectif de développer, en coopération avec les étudiants, les outils informatiques d’aide à la personne en détresse.

En stimulant la créativité des participants, ce challenge participe à la conception de solutions innovantes. Durant trois jours, la Direction générale de la gendarmerie nationale reçoit à Issy-les-Moulineaux une vingtaine d’élèves ingénieurs, et choisit par cet événement innovant de s’inscrire dans un cycle de partenariat et de coopération. Bernard Cazeneuve, ministre de l’Intérieur, remettra les récompenses aux lauréats à 11h30, le mercredi 20 avril.

L’objectif de ce challenge est de développer l’aide à la personne en détresse à travers 3 objectifs : – mieux interagir avec la personne en détresse à partir de son téléphone portable, – mieux appréhender et utiliser l’environnement de la personne en détresse à partir des téléphones qui l’entourent, – collecter des informations de masse utiles aux interventions en cas de situation exceptionnelle (catastrophe, attentat…). Les équipes étudiantes seront assistées et conseillées par des drivers professionnels du Service des technologies et des systèmes d’information de la sécurité intérieure (ST(SI)2). Elles choisiront une idée à développer permettant de répondre à l’un des trois objectifs qui constituent autant de concours: Technicité, qualité de l’expérience utilisateur, aspect opérationnel et engagement du groupe seront autant de critères objectifs pour classer ces compétiteurs. La meilleure équipe sur chacun des objectifs gagnera une récompense immatérielle : des visites ou activités avec des unités de gendarmerie. À cet effet, pour valoriser la coopération de ces étudiants au service de la personne en détresse, les meilleurs d’entre eux recevront en récompense une visite du GIGN, du musée de la gendarmerie ou du PJGN, une représentation de la garde républicaine ou encore un vol en hélicoptère gendarmerie.

Programme
Lundi 18 avril Reçus à midi les étudiants constituent leurs équipes et fixent les objectifs poursuivis. Après avoir choisi les idées à développer, leurs travaux sont lancés à 19 h avec l’élaboration de maquettes (« mock up »). Mardi 19 avril En cours d’élaboration, les maquettes sont présentées à 10h aux professionnels du ST(SI)2. L’après-midi, ces « mock up » doivent être livrées au jury, et des preuves de concepts opérationnels doivent être produites. Mercredi 20 avril Les équipes finalisent leurs travaux jusqu’à 10 h, heure de présentation au jury des différents concepts. Après l’annonce des résultats et la remise de récompenses, un déjeuner clôturera à midi ce premier Hackathon de la gendarmerie.

Chiffrement de bout en bout pour WhatsApp

La filiale de Facebook, WhatsApp, permet de converser dorénavant en mode chiffré de bout en bout. Les messages et les conversations ne pourront plus être lus, ni écoutés. Chiffrement de bout en bout pour WhatsApp, vraiment ?

C’est officiel, Facebook vient de mettre de nouveaux bâtons dans les roues des autorités. Son outil de conversation WhatsApp vient d’être mis à jour. Dans cette mise à jour, une option chiffrement qui va beaucoup amuser le FBI. L’outil chiffre les messages textes et les conversations audios, et cela de bout en bout.

Chiffrement de bout en bout pour WhatsApp – La technologie ressemble à celle utilisée par les outils PGP, GPG… les interlocuteurs doivent posséder leur clé de chiffrement (la clé privée) et diffuser leur clé publique. WhatsApp s’en charge automatiquement et rend toute tentative de lecture des interceptions impossibles. Si les contenus ne sont pas « lisibles », les interceptions sont toujours possibles (Wi-fi ouvert…).

Mais prudence, comme le rappel sur Twitter 0x356CDCDE, c’est avant tout une annonce marketing. « Le problème de Whatsapp, c’est surtout que c’est une application propriétaire, donc pas de peer review du code source… » Bilan, rien n’empêche de penser que Facebook posséde une MasterKey, un passe-partout pour déchiffrer les messages.

Pendant ce temps…

… la grande dame qu’est la CNIL vient de prononcer un avis particulièrement intéressant concernant l’utilisation dans les procédures judiciaires de « portes dérobées« . Une backdoor dans un téléphone, un ordinateur, une tablette, pourrait permettre de passer outre le mot de passe et le système de chiffrement proposé de base, comme pour les appareils sous Android et iOS.

La présidente de la Commission Nationale Informatique et des Liberté, Isabelle Falque-Pierrotin, a indiqué vendredi 8 avril, lors de la conférence de presse Annuelle de la CNIL que « autoriser […] backdoors ou portes dérobées n’est pas une bonne solution […] L’idée qu’au nom de cet impératif de sécurité il faille mettre en place des backdoors pour, dans tous les cas, permettre aux services de police d’accéder à une information qui sera le cas échéant cryptée et non décryptable, cette solution n’est pas une bonne solution ».

Pour la CNIL, le chiffrement est indispensable et il y a suffisamment « de dispositifs dédiés permettant l’accès aux données, réquisitions, captations de données informatiques, techniques de collectes mises en place par la loi renseignement ».

43 heures de communications pirates pour la Ville de Solignac

La commune de Solignac se fait pirater son standard téléphonique. Aucun employé ne s’était rendu compte du problème. L’opérateur va réagir après avoir découvert 43 heures de communications pirates durant le week-end de Pâques.

Que dire ? Les petites et moyennes communes ne prennent pas leur sécurité informatique au sérieux. Le silence est d’or, l’excuse du droit de réserve a bon dos… Le dos de l’argent et des données des contribuables s’envolant à coups de piratages, fuites de données, ransomwares, phreaking…

C’est d’ailleurs du phreaking, piratage dans la téléphonie, qui vient de toucher une commune de la région de Limoges. La Direction Générale de la mairie de Solignac a été alertée par l’opérateur Orange d’un étrange comportement de sa ligne téléphonique. Le pirate est un malin, 43 heures d’appels téléphoniques illicites sur le dos des finances de la ville, entre le samedi après-midi et la nuit du lundi au mardi du week-end de Pâques.

Les phreakers sont particulièrement bien organisés. Je peux en croiser, dans certains blackmarkets,  proposant ce type de service. Durant ces trois jours, 283 appels à destination de l’Azerbaïdjan, le Pakistan, le Liberia, la Somalie,  les Iles Falkland, les Maldives et Haïti. Bref, plusieurs dizaines de milliers d’euros envolés.

Du piratage de standard téléphonique qui n’est pourtant pas une nouveauté. Malheureusement, je croise trop de chefs de service aux égos surdimensionnés, aux titres ronflants et à l’incapacité de gérer l’informatique, la sécurité, ou simplement la communication sur ce type de méfait. Je ne parle même pas des budgets qui se réduisent comme peau de chagrin et des employés territoriaux devenus responsables informatiques par l’effet du Saint-Esprit (comprenez le piston). Je ne généralise pas, mais mes constatations me font dire que cela ne s’arrange pas. En novembre 2015, 43 000 € de détournement téléphonique au Conseil Départemental des Deux-Sévres ; 15 000 à la commune de Pessac, 15 000 pour la commune de Licques… et ici, je ne parle que des cas connus.

Communications pirates : ce que dit la loi

Pour les pirates, la loi est claire : piratage, escroquerie, … entre 5 et 7 ans de prison et jusqu’à 350000 euros d’amende. Pour l’entreprise impactée, il est dorénavant possible de se retourner contre le prestataire de service, l’entreprise qui a pris en charge l’installation du standard. Une jurisprudence condamne les intégrateurs dans la mesure où ces derniers n’ont pas informé et formé leurs clients.

Récupération des données en cas de ransomware : 6 règles à respecter

Récupération des données en cas de ransomware ! Catastrophes naturelles, pannes de courant ou d’équipements, piratage informatique, erreurs de manipulation, virus… La liste des menaces potentielles planant sur les données et les activités d’une entreprise est sans fin. La grande mode des ransomwares permet, malheureusement, de rappeler que la sauvegarde informatique n’est pas un gadget.

Les meilleurs outils pour se protéger d’un ransomware existent-ils ? Efficace à 100 %, non. La sauvegarde est le principal secours [le meilleur outil étant de ne pas cliquer sur le fichier joint envoyé par un inconnu]. En suivant des stratégies éprouvées de récupération des données en cas de sinistre, les professionnels de l’informatique peuvent protéger efficacement les données de l’entreprise et garantir que cette dernière reste opérationnelle en cas de désastre d’origine naturelle ou humaine, et même en cas de cyberattaque. Plusieurs étapes existent pour protéger son entreprise et réduire l’impact d’un sinistre.

Planifier et se documenter – Se préparer à un sinistre éventuel consiste tout d’abord à accepter pleinement le fait qu’un désastre peut se produire. Il faut pour cela visualiser les désastres potentiels, qu’il s’agisse d’un incendie détruisant le centre de traitement des données ou d’une panne d’un serveur hébergeant des données critiques. La première étape est donc de préparer des plans de restauration des données spécifiques pour chaque scénario, et de documenter chaque étape nécessaire. Cela représente un investissement de temps, mais le temps passé à planifier maintenant peut sauver l’entreprise de la faillite plus tard.

Répliquer les applications – La protection des données de l’entreprise est essentielle en cas de désastre. Mais pour assurer la continuité des activités, il est également important que les applications de l’entreprise restent fonctionnelles et accessibles aux employés, clients et partenaires, car toute interruption des opérations à la suite d’un désastre peut causer d’importants dommages. Les professionnels de l’informatique doivent sauvegarder les applications comme Active Directory, SQL, les serveurs de courrier électronique, ERP, CRM… ainsi que toutes les applications requises pour permettre aux utilisateurs d’accéder aux données et aux services.

Utiliser une protection sur site et hors site – La sauvegarde et la restauration des données et applications représente une étape cruciale pour la préparation à un désastre éventuel. Mais si le serveur stockant les données de sauvegarde est dans la même pièce – ou sur le même lieu – que le serveur de stockage des données originales, les deux peuvent être endommagés simultanément, notamment en cas d’inondation ou d’incendie. Pour se prémunir de ce type de risque, les entreprises peuvent sauvegarder et répliquer les données et les systèmes sur un équipement basé sur site et dans le Cloud. En cas de panne, la récupération à partir de la sauvegarde Cloud est rapide et l’entreprise peut redémarrer localement ou dans le Cloud. Cette approche hybride, basée sur le Cloud, protège les données dupliquées contre une destruction éventuelle.

Récupération des données en cas de ransomware

Automatiser – Les désastres ne s’invitent que rarement au moment opportun, et même les professionnels les plus avertis peuvent avoir une réaction conflictuelle. En effet, les membres de l’équipe informatique peuvent avoir des préoccupations personnelles en tête, plus ou moins importantes selon la nature du désastre. La disponibilité, ou l’indisponibilité des techniciens IT en cas de désastre, peut donc impacter la durée d’arrêt de l’activité pour l’entreprise. L’automatisation d’un maximum de procédures permet de réduire considérablement le facteur humain dans une équation déjà très complexe. Prudence, cependant à une automatisation sans contrôle. La récupération des données en cas de ransomware doit se faire avec réflexion. Des cas de chiffrements de fichiers, à la suite d’un ransomware, se sont retrouvés dans les backups… automatisés.

Effectuer des tests réguliers – L’élaboration d’une stratégie et le déploiement d’une technologie de récupération des données constitue un bon départ. Elle pourra vous sauver en cas de besoin de récupération de données en cas de ransomware, incident… Mais il faut aller plus loin pour véritablement se protéger. Pour s’assurer que la stratégie de récupération en cas de désastre fonctionne avec les outils choisis, il faut procéder régulièrement à des essais pour vérifier le plan de sauvegarde. Les tests permettent de s’assurer que le plan fonctionne toujours parfaitement, même en cas d’ajout de nouveaux éléments au sein du réseau ou du centre de données.

Déléguer pour plus d’efficacité – Pour la plupart des entreprises, un sinistre n’arrive heureusement pas tous les jours. C’est pourquoi même les professionnels de l’informatique les plus aguerris peuvent profiter d’un coup de main pour la récupération des données après un désastre. Lorsque de l’élaboration du plan et du choix de la solution, il est important de travailler avec un partenaire spécialisé dans ce domaine, bénéficiant d’une expérience et d’une expertise pour garantir une récupération réussie. Ces 6 étapes permet de s’assurer que le sinistre, quelque soit sa taille et sa nature, n’entraine pas une grande période d’interruption de services et une perte de données. (Par Serguei Beloussov, CEO d’Acronis)

Bug Bounty : quand les entreprises peuvent faire appel aux hackers

Chercher des failles, corriger son système informatique pour contrer les pirates, voilà l’idée proposée depuis trois mois par la Bounty Factory. Cette start-up française propose aux entreprises de regarder en direction du Bug Bounty.

Il y a trois mois était lancé sur la toile Européenne une petite révolution dans le monde de la sécurité informatique. Sous le nom de la Bounty Factory, une start-up normande propose aux entreprises de réfléchir à leur sécurité informatique via une nouvelle option loin d’être négligeable, le Bug Bounty. Comme l’explique ZATAZ.COM, la Bounty Factory propose aux responsables de sécurité informatique des sociétés Françaises et Européennes de rencontrer des talents et des passionnés informatiques pour sécuriser leurs systèmes.

Lancée en janvier 2016, la Bounty Factory a vu 300 personnes s’inscrire à sa bêta fermée, et cela en deux semaines. Preuve de l’intérêt de ce sujet. « Plusieurs sociétés nous ont contacté » indiquent les fondateurs. La version publique de bountyfactory.io arrive. Autant dire que les amateurs de Bug Bounty sauront où se diriger.

Les angles morts créés par le trafic chiffré SSL

Le chiffrement SSL/TLS est largement utilisé pour garantir la confidentialité des communications vers les serveurs internes et externes. Malheureusement, cette confidentialité s’applique également aux solutions de sécurité en les aveuglant et de ce fait en empêchant l’inspection du trafic réseau. Ce qui augmente les risques encourus. Le cabinet Gartner prévoit ainsi qu’en 2017, plus de la moitié des attaques réseau menées contre les entreprises utiliseront le trafic chiffré afin de contourner les mécanismes de contrôle.

Les flux chiffrés étant de plus en plus utilisé par les pirates informatiques, intéressons-nous aux cinq erreurs les plus fréquemment commises en matière d’inspection des communications réseau :

La négligence. Selon Gartner, les entreprises sont nombreuses à ignorer le manque d’efficacité de leurs systèmes de protection en profondeur. Ainsi, la plupart des organisations n’ont pas mis en place de politique formelle de sécurisation des flux chiffrés. Moins de 50% des entreprises équipées de passerelles Web sécurisées (SWG) s’en servent pour déchiffrer le trafic Web sortant. Enfin, moins de 20% des organisations équipées d’un pare-feu, d’un système de prévention des intrusions (IPS) ou d’une appliance de gestion unifiée des menaces (UTM) analysent le contenu des flux lorsqu’ils sont chiffrés.

Le manque de précision. Les entreprises gaspillent de l’argent dans toutes sortes de solutions : IDS/IPS (systèmes de détection/prévention d’intrusion), DLP (solutions de prévention contre la perte de données), pare-feu de nouvelle génération, outils d’analyse de logiciels malveillants, etc. Bien que ces solutions répondent à une variété de problématiques, l’inspection du trafic SSL n’y est tout au plus présente qu’en tant que fonctionnalité optionnelle, et se limite à fournir une visibilité sur les communications Web/HTTPS. De plus, ces fonctionnalités étant tellement consommatrice de ressources, les entreprises doivent déployer plusieurs appliances supplémentaires afin de prendre en charge l’inspection d’un trafic SSL. Cette méthode s’avère  couteuse, problématique sur le plan opérationnel et souvent incomplète.

Le manque de cohérence. Le manque de cohérence dans le déploiement des politiques de déchiffrement du trafic sur les différentes solutions de sécurité utilisées est souvent problématique pour les services chargés de la sécurité informatique. La complexité des réglementations en matière de confidentialité des données est généralement identifiée comme étant un obstacle aux prises de décisions par les départements juridiques, RH ou de conformité. En outre, le manque de communication avec les employés et souvent source de mécontentement (« Pourquoi mes flux sont-ils inspectés ? ») et annihile souvent l’aboutissement des efforts de déchiffrement de ce type.

S’appuyer sur une protection insuffisante. Les logiciels malveillants utilisent le trafic SSL pour commettre leurs méfaits. Ainsi, selon Gartner, l’omniprésent botnet Zeus utilise les communications SSL/TLS pour se mettre à jour après une première infection par e-mail. Par ailleurs, notre centre de recherche Blue Coat Research Labs a constaté que le cheval de Troie Dyre utilisait souvent des mécanismes de commande et de contrôle (C2C) malfaisants tels qu’Upatre pour communiquer secrètement avec ses serveurs de contrôle et de commandement.

Se laisser perturber par l’évolution de l’environnement. L’adoption rapide d’applications et de services cloud étend et complique considérablement les environnements informatiques, accélère le développement du trafic SSL/TLS chiffré, et augmente l’exposition aux risques de piratage. Les applications modernes telles que les médias sociaux, les solutions de stockage de fichier, les moteurs de recherche et les logiciels cloud s’appuient de plus en plus sur ces protocoles pour communiquer. Il est vivement recommandé de superviser et d’analyser ces applications et services, à la recherche de contenu et d’activité malveillants. La généralisation de l’utilisation de ces applications rend encore plus critique la mise en place d’une politique de déchiffrement permettant d’identifier ce qui peut l’être ou ce qui doit rester chiffré.

Voici quatre recommandations pour combler les lacunes vis-à-vis de la sécurité de votre réseau :

1.     Identifier la volumétrie et prévoir son augmentation : évaluez le pourcentage et le volume de trafic réseau chiffré par SSL dans votre organisation.

2.     Évaluez le risque que le trafic ne soit pas inspecté : partagez des informations et collaborez avec vos collègues en dehors des services informatiques (départements RH, juridiques, conformité) ; étudiez et affinez vos stratégies d’entreprise sur le plan de la confidentialité et de la conformité ; et créez un plan d’action commun afin de gérer toute vulnérabilité.

3.     Renforcez votre infrastructure de sécurité réseau en assurant une gestion complète du trafic chiffré : renforcez vos solutions existantes (pare-feu de nouvelle génération, IDS/IPS, antivirus, DLP, outils d’analyse de malware/sandbox et autres logiciels d’analyse de la sécurité) en leur donnant la possibilité de détecter toutes les menaces (même celles issues du trafic précédemment chiffré) et de les traiter comme il se doit.

4.     Supervisez, affinez et appliquez vos stratégies : supervisez, affinez et mettez en œuvre vos stratégies relatives aux applications et au trafic chiffrés entrant et sortant de votre réseau. (par Par Dominique Loiselet, Directeur Général de Blue Coat France)

Malware : Steam Stealer cible des milliers de comptes de joueurs en ligne

Le secteur du jeu en ligne, qui représente un marché estimé à plus de 100 milliards de dollars, n’est pas seulement juteux pour les développeurs et les fabricants. Il l’est aussi pour les cybercriminels. « Steam Stealer » fait partie de ces malwares en constante évolution, responsable du piratage de comptes utilisateurs sur la célèbre plate-forme de jeu Steam. Ayant pour objectif de dérober des objets dans les jeux en ligne et des identifiants de comptes afin de les revendre ensuite au marché noir, ce malware est distribué à des cybercriminels selon le modèle MaaS (Malware as a Service) avec des tarifs extrêmement bas débutant à 30 dollars.

Steam est aujourd’hui l’une des plates-formes de divertissement multi-systèmes d’exploitation parmi les plus populaires. Exploitée par Valve, elle compte plus de 100 millions d’utilisateurs inscrits à travers le monde et propose en téléchargement plusieurs milliers de jeux disponibles. Son succès en fait donc une cible de choix pour les groupes de cyber escrocs, qui peuvent revendre les identifiants d’utilisateurs Steam pour 15 dollars pièce au marché noir. Selon les chiffres officiels récemment publiés par la plate-forme, 77 000 comptes Steam sont piratés et pillés tous les mois.

Un nouveau type de malware, connu sous le nom de « Steam Stealer », est le principal suspect du piratage de nombreux comptes utilisateurs de la plate-forme phare de Valve. Tous deux pensent que ce malware a été développé à l’origine par des cybercriminels russophones car ils ont découvert, sur plusieurs forums clandestins consacrés aux programmes malveillants, de nombreux indices linguistiques qui le laissent penser.

Steam Stealer opère selon le modèle MaaS (Malware as a Service) : il est proposé à la vente dans différentes versions, bénéficiant de fonctionnalités distinctes, de mises à jour gratuites, de manuels d’utilisation, de conseils personnalisés pour la distribution, etc. Alors que le prix de base des « solutions » pour ces types de campagnes malveillantes est habituellement de l’ordre de 500 dollars, les programmes « Steam Stealer » sont ridiculement bon marché, pouvant couramment s’acheter pour à peine 30 dollars, ce qui les rend extrêmement attrayants pour les cybercriminels en herbe du monde entier.

La propagation des malwares Steam Stealer passe principalement, mais pas exclusivement, par des sites Web contrefaits qui les diffusent ou encore par des techniques d’ingénierie sociale consistant à envoyer directement des messages aux victimes.

Une fois le malware implanté dans le système d’un utilisateur, il subtilise l’ensemble des fichiers de configuration de Steam. Il localise ensuite le fichier spécifique Steam KeyValue qui contient les identifiants de l’utilisateur, ainsi que les informations relatives à sa session. Forts de ces informations, les cybercriminels peuvent alors prendre le contrôle de son compte.

Au départ, le piratage de comptes de joueurs était un moyen simple pour les scripts kiddies de faire rapidement des profits en les revendant sur des forums occultes. Aujourd’hui, cependant, les criminels ont réalisé la véritable valeur marchante de ces comptes. Leurs opportunités résident désormais dans le vol et la vente d’objets acquis par les utilisateurs dans les jeux et pouvant valoir des milliers de dollars. Les cyberbandes organisées n’entendent tout simplement pas laisser passer un tel pactole.

Les experts de Kaspersky Lab ont dénombré près de 1 200 échantillons de malwares Steam Stealer différents, responsables d’attaques contre des dizaines de milliers d’utilisateurs à travers le monde. C’est particulièrement le cas en Russie et dans d’autres pays d’Europe de l’Est où la plate-forme Steam est très fréquentée.

La communauté des joueurs est devenue une cible très prisée des cybercriminels. Une évolution claire des techniques d’infection et de propagation ainsi que la complexité croissante des malwares eux-mêmes ont conduit à une recrudescence de ce type d’activité. Alors que les consoles sont toujours plus puissantes et que l’Internet des objets est à notre porte, ce scénario va se développer et gagner en complexité. Les développeurs ne doivent pas envisager la sécurité a posteriori mais l’intégrer en amont dans le processus de développement des jeux. « Nous sommes convaincus qu’une coopération avec l’ensemble des acteurs du secteur peut contribuer à améliorer cette situation« , sougline Santiago Pontiroli de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab.

Pour s’en prémunir, les utilisateurs ont besoin d’une solution de sécurité à jour qui leur permette de s’adonner à leurs jeux favoris sans craindre de voir leur compte piraté. La plupart des produits de sécurité offrent un « mode jeu », de sorte que les joueurs ne sont pas dérangés par leurs notifications avant la fin de la partie en cours. Dans le but de protéger les comptes de ses propres utilisateurs, Steam a également pris plusieurs mesures de sécurité destinées à contrer les mécanismes de piratage.

Les dirigeants ne sont pas en phase sur la façon de lutter contre les cybercriminels

Selon les résultats de l’étude C-Suite d’IBM : les dirigeants ne sont pas en phase sur la façon de lutter contre les cybercriminels. Éducation et engagement sont nécessaires pour mettre les dirigeants au niveau du nouvel environnement de sécurité.

La division sécurité d’IBM et l’Institut IBM for Business Value (IBV) publient aujourd’hui les résultats d’une étude réalisée auprès de plus de 700 dirigeants qui met en lumière leur confusion concernant leurs véritables ennemis cyber et la façon de les combattre efficacement.

La nouvelle étude, Securing the C-Suite, Cybersecurity Perspectives from the Boardroom and C-Suite est basée sur des entretiens avec des dirigeants de 28 pays et de 18 secteurs industriels concernant la cybersécurité dans l’entreprise. L’étude n’a pas pris en compte les responsables de la sécurité des systèmes d’information (RSSI), afin d’obtenir une image fidèle de ce que les dirigeants pensent de la cybersécurité. Si sur le papier, la cybersécurité est considérée comme une préoccupation majeure pour 68% des dirigeants1, et que 75% pensent qu’une stratégie globale de sécurité est importante, l’étude révèle que les dirigeants clés doivent être plus engagés auprès des RSSI, au-delà de la stratégie en matière de sécurité, et avoir un rôle plus actif.

L’une des principales conclusions de l’étude est que 70% des dirigeants pensent que les individus malveillants constituent la plus grande menace pour leur entreprise. Selon un rapport des Nations Unies2, la réalité est que 80% des cyberattaques sont réalisées par des réseaux criminels hautement organisés au sein desquels les données, les outils et l’expertise sont largement partagés. L’étude C-Suite révèle un large éventail d’ennemis : 54% des  dirigeants reconnaissent que les réseaux criminels sont un sujet de préoccupation mais leur ont donné un poids à peu près égal aux individus malveillants (50%).

Plus de 50% des PDG s’accordent à dire qu’une collaboration est nécessaire pour lutter contre la cybercriminalité. Ironiquement, seulement 1/3 des chefs d’entreprise a exprimé sa volonté de partager à l’extérieur ses informations sur les incidents liés à la cybersécurité survenus dans leur entreprise. Cette situation est un frein à la collaboration coordonnée au niveau de l’industrie, alors même que les groupes de pirates partagent de mieux en mieux l’information en temps quasi réel sur le Dark Web. Les PDG soulignent également que les organisations externes doivent faire davantage ; une surveillance accrue du gouvernement, une augmentation de la collaboration dans l’industrie, un partage de l’information transfrontalière – cette dichotomie doit être résolue.

«Le monde de la cybercriminalité est en pleine évolution, mais de nombreux dirigeants n’ont pas mis à jour leur compréhension des menaces », a déclaré Caleb Barlow, Vice-Président, IBM Security. « Bien que les RSSI et le Conseil d’administration puissent aider à fournir les conseils et des outils appropriés, les dirigeants en marketing, ressources humaines et finances, quelques-uns des départements les plus exposés et les plus fournis en données sensibles, devraient s’impliquer de façon plus proactive dans les décisions de sécurité avec les RSSI. »

En fait, les départements marketing, ressources humaines, et finances représentent des cibles de choix pour les cybercriminels car ils gèrent les données clients et employés parmi les plus sensibles, avec les données financières de l’entreprise et les informations bancaires. Dans l’étude, environ 60% des directeurs financiers, DRH, et directeurs marketing reconnaissent volontiers qu’ils, et par extension leurs divisions, ne sont pas actifs dans la stratégie et l’exécution de la politique de cybersécurité de l’entreprise. Par exemple, seuls 57% des DRH ont déployé une formation à la cybersécurité pour les employés, première étape pour que ces derniers s’engagent en la matière.

Que peuvent faire les entreprises ?
Un nombre impressionnant de dirigeants interrogés, 94%, pensent qu’il y a une certaine probabilité pour que leur entreprise subisse un incident de cybersécurité significatif au cours des deux prochaines années. Selon l’étude d’IBM, 17% des personnes interrogées se sentent capables et prêtes à répondre à ces menaces. IBM a identifié des répondants exceptionnels, 17% de répondants classés «Cyber-Securisés», ce sont les dirigeants les plus préparés et capables de faire face aux menaces. Les dirigeants « Cyber-sécurisés » sont deux fois plus susceptibles d’avoir intégré la collaboration dans leur politique de cybersécurité et deux fois plus susceptibles d’avoir intégré la cybersécurité à l’ordre du jour des Conseils d’administration de façon régulière.

 Conseils « Cyber-Securisés» pour les entreprises :
• Comprendre le risque : Évaluer les risques liés à votre écosystème, analyser les risques de sécurité, développer l’éducation et la formation des employés et intégrer la sécurité dans la stratégie de risques de l’entreprise.

• Collaborer, éduquer et responsabiliser : Mettre en place un programme de gouvernance de la sécurité, accroître le pouvoir des RSSI, promouvoir et discuter régulièrement de la cybersécurité lors des réunions de direction, intégrer les dirigeants dans l’élaboration d’une stratégie de réponse aux incidents.

• Gérer les risques avec vigilance et rapidité : Mettre en œuvre une surveillance continue de la sécurité, tirer profit des analyses d’incidents, partager et utiliser les renseignements de sécurité pour sécuriser l’environnement, comprendre où les données numériques des entreprises se trouvent et élaborer des stratégies en conséquence, développer et appliquer les politiques de cybersécurité.

1.     “Redefining Boundaries: Insights from the Global C-suite Study.” IBM Institute for Business Value. November 2015.
2.     UNODC Comprehensive Study on Cybercrime 2013

Fraude dans la publicité mobile : comment la mettre K.O

Avec l’apparition des Smartphones, la publicité digitale sur le mobile est devenue le nouvel Eldorado des annonceurs. Interactivité, accessibilité, capacités pointues de ciblage… les avantages du mobile sont nombreux et expliquent les budgets publicitaires considérables investis sur ce support. Mais, de manière presque attendue et comme cela fut le cas pour la publicité sur desktop, l’explosion de cette jeune industrie s’est accompagnée d’une menace bien réelle pour les annonceurs : LA FRAUDE. 

Moins connue du grand public – car elle ne touche pas les consommateurs finaux, la fraude sur le mobile a pourtant un coût considérable pour les annonceurs : 1.3 milliards de dollars en 2015 et ce seulement aux Etats-Unis, selon la dernière étude d’Ernest & Young*. En quoi consiste cette fraude ? Comment peut-on identifier les acteurs frauduleux ? D’où viennent-ils ? Comment les contrer ?

La fraude, qu’est-ce-que c’est ?
Afin de mieux comprendre ce qu’est la fraude sur le mobile, revenons rapidement sur les principes basiques de la publicité digitale. Un annonceur souhaite cibler des utilisateurs de Smartphones afin de communiquer sur sa marque, son application ou son site. Il va pour cela payer un montant fixe à un éditeur pour la réalisation d’une action sur son trafic (impression d’une publicité, clic, téléchargement d’app, inscription sur un site,…). L’éditeur, qui offre généralement du contenu gratuit sur son application ou site web, se voit donc offrir une opportunité unique de monétiser son audience et de construire ainsi un modèle économique pérenne. Jusque là … tout va bien. Seulement voilà, des éditeurs peu « scrupuleux »  ont décidé de « rafler la mise » en simulant des fausses actions sur leur trafic. L’annonceur, qui souhaitait acquérir des utilisateurs qualifiés, se retrouve donc avec une part non-négligeable d’utilisateurs  non-qualifiés voire inexistants !

La conséquence directe et mathématique est que l’annonceur se retrouve avec un prix de revient réel beaucoup plus élevé que prévu.  Or ses budgets n’étant pas extensibles, il va devoir exercer une pression déflationniste sur les prix. C’est alors toute la chaîne des éditeurs qui en paie les conséquences… fraudeurs inclus !

Détecter la fraude, un combat du quotidien
Il existe aujourd’hui toute une panoplie de pratiques permettant de détecter la fraude. Il s’agit d’un exercice à la fois simple et complexe mêlant rigueur et technologie. Différents principes de bons sens et basés sur l’expérience du métier permettent d’obtenir de très bons résultats et de proposer une approche systématique ayant pour objectif d’écarter le risque potentiel de fraude. Il ne s’agit donc pas de trouver la formule magique qui permettra de se mettre à l’abri de la fraude mais de combiner plusieurs approches afin de rendre de plus en plus compliqué le travail des fraudeurs jusqu’à ce qu’ils décident eux-mêmes d’abandonner ou de s’attaquer à une autre proie plus faible.

Les schémas frauduleux les plus classiques et quelques approches pour le contrer : Les robots prennent le contrôle… Non ce n’est pas le titre du dernier Spielberg.  Certains hackers ont bel et bien mis au point des robots capables de « regarder » des publicités, cliquer dessus et même installer des applications. Ces techniques sont en fait l’héritage d’une longue pratique de la fraude sur Desktop et représentent aujourd’hui sur le mobile, la majorité des cas de fraude. Une solution ? Le meilleur moyen pour contrer ces robots est d’analyser en temps réel les campagnes : depuis quels terminaux sont vues les publicités, quelles adresses IP, quel langage de terminal, quelle redondance pour une même action de la part d’un utilisateur, quel timing entre le clic et l’action, etc. Autant de données et de paramètres permettant d’identifier des tendances suspectes, des proxy et des robots, et donc de bloquer la source à l’origine du trafic frauduleux.

Pas de robots mais une performance exceptionnelle de campagne pour une très faible qualité ? L’annonceur est probablement victime d’une fraude tout aussi courante :  le trafic incentivé (i.e l’utilisateur reçoit une prime à l’action). Cette fois, les utilisateurs sont bel et bien « réels ». Seulement ils sont « payés » par l’éditeur pour voir, cliquer ou faire une action. Résultats : des taux de conversions très intéressants, mais un taux d’engagement ou de fidélité à la marque très faible. Là encore une analyse du trafic (taux de conversion horaire, taux d’engagement de l’utilisateur ,…) permettra de dégager des tendances assez flagrantes et de bloquer les sources frauduleuses.

Les utilisateurs ne sont pas du tout actifs, pourtant il est certain qu’ils ne viennent pas de trafic incentivé. Dans ce cas, l’annonceur est exposé à une fraude encore plus sournoise : les « fermes » d’installations mises en place dans certains pays. Les employés de ces « fermes » sont payés pour installer des milliers de fois la même application à partir du même terminal en simulant des utilisateurs différents. Comment ? Par une opération très simple que les systèmes de tracking ne parviennent pas encore à repérer : ils installent et ouvrent l’application sur leur terminal, la désinstallent, réinitialisent leur identifiant de terminal et répètent l’opération des dizaines de fois, le tout en se cachant derrière des proxy. Laborieux mais ingénieux. Il faut donc être malin et, une nouvelle fois, analyser les données reçues, notamment le nom et le langage du terminal. En effet, les terminaux ont généralement un nom, et envoient le langage de la machine lors de l’installation. Par exemple si l’on observe pour une même campagne ciblant les Etats-Unis, plusieurs téléchargements provenant de terminaux portant le même nom d’utilisateur (e.g iPhone de Michael) et ayant le même language (e.g VN pour Vietnam), il s’agit très certainement de téléchargement frauduleux en provenance d’une de ces « fermes » d’installations localisées dans le pays. Ou alors c’est vraiment que votre produit cartonne chez les Vietnamiens habitant aux Etats-Unis!

Ceci n’est malheureusement qu’un échantillon limité des actions frauduleuses observées sur le mobile. Il existe des pratiques encore plus sophistiquées que de bons algorithmes sauront débusquer (click spamming, « viewability » de campagne, …).

Des techniques pour gagner votre combat
L’écosystème des éditeurs de media mobile est une véritable jungle dans laquelle se glissent facilement des intermédiaires mal intentionnés. S’il est difficile d’y voir clair et de désigner un coupable, il existe heureusement des outils et des méthodologies permettant de se protéger de façon très efficace. Annonceurs, ne soyez donc pas paranos ! Le marketing mobile – bien qu’encore à ses débuts – est un monde d’opportunités qui s’ouvre à vous avec de nouvelles possibilités de ciblage et de transformations jusqu’alors inédites sur le digital. Au contraire, l’activité frauduleuse est par nature court-termiste et nocive à l’ensemble du secteur. Il est donc fort à parier qu’avec le temps et la mise en place de bonnes pratiques, cette épidémie deviendra bien moins menaçante, comme cela a été le cas pour le Desktop.

Montrez donc l’exemple et soyez plus rusés que les fraudeurs pour déjouer leurs tentatives : Multipliez les sources de trafic (RTB, social, ad-networks …), les formats (display, vidéo, rich media, …) et les approches (retargeting, …) . Traquez et analysez au mieux l’engagement des utilisateurs. Choisissez le bon partenaire pour vous aider et vous aiguiller dans l’achat média. Toute source de trafic comprend des utilisateurs plus ou moins qualifiés, le tout est de savoir faire le tri et évacuer la pollution des fraudeurs ! (Par Stéphane Pitoun, Co-Fondateur et CEO d’Adxperience)

Sécurité des voitures connectées : l’importance de l’identité

Depuis quelques années, de plus en plus de produits rejoignent l’Internet des Objets. S’il était auparavant réservé à de simples produits, il s’étend aujourd’hui à des produits haut de gamme tels que les voitures connectées. En effet, selon l’IDATE, en 2020, 420 millions d’automobilistes généreront un marché de connectivité d’une valeur de 9 milliards d’euros.

Cependant, les voitures, devenant de plus en plus de véritables plateformes informatiques au lieu d’être simplement un moyen d’aller d’un point A à un point B, sont également des cibles de plus en plus attrayantes pour les hackers. 40 millions d’automobilistes a notamment dévoilé en 2014 que trois quarts des voitures volées en France sont électroniquement piratées. Les questions de sécurité et d’identité doivent donc être prises en compte en faisant appel à des experts du domaine. La sécurité menée par l’identité va devenir une nécessité, et le contrôle de sécurité par le propriétaire est susceptible de devenir monnaie courante.
 
Voitures connectées : Un secteur en pleine expansion mais un manque de sécurité
La transformation numérique touche l’ensemble des secteurs d’activités mais en particulier celui de l’automobile. En effet, ce secteur est incontestablement en pleine mutation. Le métier des constructeurs automobiles évolue sans cesse et d’ici une dizaine d’années les sociétés automobiles seront totalement différentes, passant d’un profil de constructeurs à celui de prestataires de services.

L’ensemble des constructeurs et des sous-traitants du secteur automobile produisent aujourd’hui en majorité des smart devices, c’est-à-dire des objets intelligents tous connectables. Pourquoi ? Car à terme ils souhaitent récupérer l’ensemble des données attenantes à un véhicule (distance parcourue, vitesse, taux de freinage, etc.) pour fournir des services basés sur ces dernières. En effet, en manipulant ces données relatives à l’utilisateur, ils pourront lui fournir des services dédiés et ainsi augmenter leur part de marché.

On estime aujourd’hui qu’il y a entre 40 et 60 millions de voitures connectées dans le monde, chacune comportant un grand nombre d’objets intelligents eux-mêmes connectés à internet. D’ici 5 ans, ce chiffre devrait passer à plus de 200 000 millions. Seulement, on estime aussi que le niveau de sécurité de ces voitures est équivalent au niveau de sécurité dont disposaient les ordinateurs et les systèmes d’informations des entreprises des années 80-85…

Des voitures connectées encore trop vulnérables
A ce jour, énormément de tests ont été réalisés pour démontrer la vulnérabilité des voitures connectées, au cours desquels des ingénieurs spécialisés en sécurité ont pu à distance se connecter à des voitures. Une grande partie des véhicules proposés par les grandes marques du marché automobile ont en effet été testés et piratés. La totalité des constructeurs est réellement concernée par ce sujet.

Au cours de ces tests, les ingénieurs ont pu effectuer à distance différentes actions relativement bénignes : allumer la radio, activer les essuies glaces, allumer les feux, etc. Cependant, ils ont également réussi à baisser les vitres, à stopper le moteur sans que le conducteur de la voiture ne puisse le redémarrer ou encore à couper les freins sans que ce dernier ne puisse les réactiver. Ces prises de contrôle à distance peuvent donc avoir des conséquences graves si la personne aux commandes est un pirate informatique mal intentionné.

Un élément au cœur de la transformation numérique du secteur : l’identité
Aujourd’hui, l’ensemble des voitures dites « intelligentes » dispose d’un ordinateur de bord connecté à internet. A travers cette connexion internet, il est possible de se connecter à ces ordinateurs et d’accéder aux différents appareils tels que celui gérant l’allumage du moteur, le réglage des freins, etc.

Désormais lorsque l’on parle d’une automobile, l’identité est un élément central : identité de l’utilisateur, de la voiture, des dizaines voire des centaines d’objets connectés au sein d’un véhicule, etc. Le problème majeur est qu’il n’y a pas de corrélation entre l’identité du conducteur et l’ensemble des identités des objets intelligents présents dans la voiture.

En terme de sécurité, il faut créer cette relation pour que seule l’identité du conducteur, préalablement fortement authentifiée, puisse engager les actions sur ou au travers de l’identité des différents objets connectés. Ainsi lorsqu’un pirate cherchera à prendre le contrôle d’un véhicule à distance, son identité n’étant pas reconnue par les différents objets connectés, il n’y aura pas accès. Il est donc nécessaire de mettre en œuvre une plateforme de gestion des identités qui va permettre de contextualiser et de relier entre elles ces différentes identités.

Une authentification nécessaire mais non contraignante pour les voitures connectées
Lorsqu’il y a authentification de l’identité du propriétaire, le véhicule n’est pas forcément uniquement dédié à ce dernier. L’identité d’un véhicule ou d’un objet peut être reliée aux différentes identités physiques des individus qui auraient une interaction avec elle. Un véhicule peut par exemple être rattaché aux différents membres d’une famille avec une autorisation pour chacun des parents ainsi que pour leur fille titulaire du permis de conduire. De plus, chacun peut avoir des autorisations spécifiques quand aux différentes actions qu’ils vont pouvoir réaliser. On peut par exemple relier l’identité de la voiture à celle du fils âgé de 10 ans et lui interdire totalement d’avoir accès au contrôle du moteur, des freins, etc.

Enfin, au delà d’une base logicielle s’appuyant sur des standards d’authentification, différentes méthodes sont envisageables : empreinte digitale, reconnaissance faciale … et tout ce que les constructeurs seront capables d’imaginer dans les années à venir ! (Ismet Geri, vice-président France et Europe du sud chez ForgeRock)

G DATA partenaire sécurité de l’équipe Ducati pour le championnat MotoGP 2016

G DATA, l’éditeur de logiciels allemand spécialisé dans les solutions antivirus, devient partenaire technique de Ducati Corse pour le championnat du monde de MotoGP. En tant que partenaire, G DATA protège le système informatique de l’équipe Borgo Panigale contre les menaces en ligne pendant toute la saison du championnat, qui commence le 20 mars sur le circuit international de Losail au Qatar.

G DATA protège les serveurs de données de l’équipe Ducati, équipements vitaux pour les activités sur pistes de l’équipe. Ces ordinateurs gèrent le stockage des données générées pendant des essais et les courses, synchronisent l’acquisition de données avec les serveurs distants de l’entreprise et permettent aux techniciens de piste de traiter les données et réaliser des simulations en temps réel.

« Protéger l’intégrité des données et des systèmes critiques en itinérance est un vrai challenge. Nous devons garantir leur sécurité avec des solutions et des politiques qui doivent s’adapter aux différents réseaux que l’équipe trouvera sur les multiples lieux de la compétition internationale MotoGP, et gérer à distance les informations, les mises à jour et journaux d’entrée des données en garantissant un service continu. C’est un défi et nous sommes honorés de relever », déclare Giulio Vada, Country Manager de G DATA Italie.

La relation avec Ducati inclut également une série d’activités conjointes pour l’année 2016.

BYOD au 0Day : sécurité, une année bissextile à l’autre

Vous avez peut-être remarqué que le 29 février figurait dans notre calendrier, cette année : 2016 est en effet une année bissextile ! En matière de cybersécurité, beaucoup de choses ont changé, comme l’arrivée du BYOD, au cours des quatre dernières années. Voici quatre évolutions majeures intervenues depuis 2012, soit une moyenne d’une par an.

Sécurité du cloud : de l’adoption à la redéfinition des frontières
2012 : les experts prévoyaient une hausse de l’adoption de solutions de sécurité des données dans le cloud ; cette hausse était censée affecter l’approche des entreprises en la matière, ainsi que les modes de fourniture des éditeurs. Le cloud hybride commençait à émerger en raison de ses avantages en matière d’agilité et de sécurité. En outre, suite à l’explosion en 2011 des APT (menaces persistantes avancées) à l’encontre de grandes sociétés ou d’administrations publiques, on s’attendait à une recrudescence de ces attaques ciblées en 2012.

2016 : entre l’invalidation de l’ancien cadre Safe Harbor et la création du nouveau cadre baptisé E.U.-U.S. Privacy Shield, les réglementations en matière de résidence et de souveraineté sur les données ont été des sujets de conversations majeurs. Et à la suite de la révélation au grand jour d’affaires de surveillance/d’espionnage, des législations de plus en plus rigoureuses sont à prévoir. En outre, avec le développement des nouvelles technologies et l’évolution des solutions de sécurisation des applications dans le CLOUD (CASB), les frontières entre les applications et processus opérationnels compatibles avec le cloud et les autres feront l’objet d’une nouvelle délimitation. Les entreprises utiliseront plus volontiers le cloud là où cela aurait été considéré comme inconcevable il y a quelques années.

Le débat sur la cybersécurité à Washington
2012 : le projet de loi Cybersecurity Act de 2012, soit la législation la plus complète en la matière à l’époque, est rejeté par le Sénat à l’issue d’un vote à 52 voix contre 46. À ce moment, nombreux sont ceux qui pensent que ce rejet empêchera l’adoption de la moindre législation en matière de cybersécurité pour le reste de l’année, voire pour les années à venir.

2016 : nous sommes maintenant en 2016, et l’atmosphère à Washington est clairement différente. En octobre 2015, le Sénat a adopté à 74 voix contre 21 le projet de loi sur le partage d’information de sécurité informatique. De plus, en 2016, la Maison Blanche a dévoilé un plan d’actions national en matière de cybersécurité (CNAP) afin de renforcer les systèmes de protection numérique des États-Unis.

Des failles de plus en plus grandes   
2012 : cette année-là, de très grandes entreprises ont été victimes de piratages affectant des millions de personnes. Des enseignes commerciales pour le grand public et de grandes sociétés de cartes de crédit ont connu des fuites de données qui ont donné le ton pour l’avenir. À cette époque, les pirates ciblaient principalement les informations relatives aux cartes de crédit, qu’ils obtenaient et revendaient ensuite sur le marché noir.

2016 : en quatre ans, les attaques ont considérablement évoluées. Les secteurs des services financiers et de santé sont désormais durement touchés. En outre, les types d’informations dérobées par les pirates ont également changé. Les données des dossiers médicaux ont une durée de vie largement supérieure et peuvent être utilisées pour des usurpations d’identité. Contrairement aux données financières, qui deviennent inexploitables une fois que la victime s’aperçoit de la fraude et fait opposition sur sa carte, un numéro de sécurité sociale peut difficilement être changé, tandis que des dossiers médicaux et pharmaceutiques sont permanents. Il existe également un marché important pour la fraude et l’arnaque à l’assurance santé, une opportunité bien cernée par les pirates.

Sécurité du BYOD vs. sécurité de l’IdO
2012 : il y a quatre ans, le BYOD devenait sans cesse plus populaire sur le lieu de travail et connaissait son plus bel essor. À l’époque, les acteurs du secteur étaient obsédés par les problèmes de compatibilité que provoquerait cette tendance croissante, ainsi que par les risques de sécurité liés au fait que des employés accèdent à des données professionnelles privées sur leurs appareils personnels.

2016 : bien que le BYOD suscite toujours plus d’inquiétudes sur le plan de la sécurité, les experts prêtent davantage attention à la recrudescence des attaques par des machines « zombies ». Le cabinet de recherche Gartner prévoit que 6,8 milliards d’appareils connectés seront utilisés en 2016, soit une hausse de 30 % par rapport à 2015. Le nombre important d’appareils connectés, ou le phénomène de l’« Internet des Objets », représente une opportunité sans précédent pour les pirates, et beaucoup pensent que le problème va s’aggraver en raison de l’exposition croissante des consommateurs.

Puzzle Color Blend : histoire d’une application Android piégée

Une application dans le Play Store souscrivait automatiquement des connexions WAP payantes.

Parmi les 1,4 million d’applications dans le Google Play Store, certaines sont à manipuler avec précaution. Il s’agit là de la découverte de G DATA avec Puzzle Color Blend. Après son installation, l’application mettait en place des abonnements WAP payants vers une société néerlandaise. Une nouvelle technique à surveiller à l’avenir.

« Ce type d’attaque par abonnement automatique est nouveau », explique Ralf Benzmüller, directeur de G Data SecurityLabs. « Nous assistons ici à une escroquerie très pointue. La création des nombreux faux avis positifs sur le Play Store et la désactivation automatique des connexions de données au profit de connexions WAP payantes montrent que l’attaque est préparée et techniquement avancée.« 

L’application en question
L’application Puzzle Color Blend en cause est un jeu qui consiste à reconnaître et à sélectionner des bonnes nuances de couleur. Disponible dans le Google Play Store depuis le 3 novembre 2015, il avait été téléchargé plus de 50.000 fois jusqu’à son retrait fin janvier. La similitude avec le jeu Blendoku (téléchargé à 1 million d’exemplaires sur le PlayStore) pourrait expliquer le succès rapide de Color Blend. Les images de l’application affichées par l’éditeur dans le Play Store usurpaient par ailleurs l’interface de Blendoku.

Son action nuisible
Après avoir installé le jeu, les utilisateurs contractaient sans le savoir des abonnements à des services WAP payants. Cette méthode d’abonnement automatique est nouvelle. Les attaques détectées précédemment, utilisant la facturation WAP, résultaient d’une action de l’utilisateur, par l’ouverture d’une bannière web par exemple.