L’association des développeurs de produits high-tech russe s’inquiète d’une probable fin d’utilisation d’Android et iOS Apple en Russie.
La présidente de l’Association des développeurs de produits logiciels nationaux, Natalya Kasperskaya, vient de lancer une alerte qui fait résonnance pour les anciens consommateurs de produits Huawei, interdits par l’Oncle Sam.
Natalya s’inquiète des risques de déconnexion de tous les smartphones en Fédération de Russie sous Android et iOS (Apple).
De son côté, l’éditeur Russe de solutions de cybersécurité Kaspersky est convaincu que la probabilité d’un tel scénario doit être évaluée comme une cybermenace. Comme alternative aux smartphones, Kaspersky a suggéré d’utiliser un ordinateur portable, un téléphone d’ancienne génération (avec bouton à la NOKIA) ou, dans les cas extrêmes, le courrier ordinaire.
Microsoft bloque désormais les macros VBA par défaut dans les applications Office.
Les macros sont un vecteur d’infection populaire depuis des décennies. Elles ont été utilisées par les menaces décrites dans le rapport sur les menaces du deuxième trimestre 2022, notamment les chevaux de Troie d’accès à distance comme Nerbian RAT, un nouveau RAT écrit en Go apparu au deuxième trimestre 2022, et par le groupe APT Confucius pour déposer d’autres logiciels malveillants sur les ordinateurs des victimes.
Nous avons déjà remarqué que les acteurs de la menace commencent à préparer des vecteurs d’infection alternatifs, maintenant que les macros sont bloquées par défaut. Par exemple, IcedID et Emotet ont déjà commencé à utiliser des fichiers LNK, des images ISO ou IMG, et d’autres astuces supportées par la plateforme Windows comme alternative aux maldocs pour diffuser leurs campagnes.
Microsoft était revenue sur ce blocage à la suite d’une série de gens pas contents. Début août, retour du blocage, définitivement.
L’entreprise F-Secure, nouvellement baptisée WithSecure, renforce les solutions cybersécurité à destination des entreprises hexagonales. Rencontre avec Benoit Meulin, consultant. Depuis maintenant 2 années chez WithSecure, après de nombreuses années passées dans la cyber, il a en charge du portfolio de la BU Solution créé, cette année, par le spécialiste des solutions de protection numérique.
Les besoins pour protéger les entreprises se sont accentués ?
Ces besoins sont en constante évolution et la pression ne cesse d’augmenter sur les entreprises. L’accélération est très importante. Nous avons fait le choix de mettre en place une organisation spécifique afin de suivre cette accélération et toujours mieux protéger nos clients.
WithSecure propose de nouveaux services. Pouvez-vous nous les présenter ?
Nous disposions d’une offre de Managed Detection & Response (MDR) bien implantée en France qui s’appelle COUNTERCEPT. Nous avons décidé de soutenir cette offre de protection par une offre de gestion de la surface d’attaque (EASM : Enterprise Attack Surface Management) qui permet aux clients de mieux appréhender et maîtriser leur surface d’attaque externe et donc de la réduire. Nous proposons également dans le prolongement de ces offres des accompagnements à la préparation des incidents cyber ainsi que des services d’Incident Response.
Quelles seraient les priorités à mettre en place, pour une entreprise souhaitant prendre à bras-le-corps sa cybersécurité ?
Il me semble que la première marche à passer est celle du choix d’un partenaire pour accompagner ce gain en maturité. Commencer par la mise en place d’un MDR permet d’acheter du temps et de la sérénité pour démarrer des chantiers plus structurant autour des aspects de gouvernance et gestion de risque, qui sont les piliers d’une démarche efficace et qui permet à terme de faire les bons choix stratégiques. Je le dis souvent mais mon client idéal est celui qui trois années après avoir souscrit à notre offre MDR nous dit qu’il n’a plus besoin de nous car il est à un niveau de maturité suffisant pour assurer sa propre défense.
Que faut-il craindre, demain, des pirates ?
Nous avons en face de nous une R&D motivée par des sujets aussi bien géopolitiques que financiers. Ces innovations couvrent bien des domaines, de la technique à la stratégie. Nous avons vu évoluer les approches des cybercriminels pour augmenter leurs chances de gain financier lors des attaques, par de la méthode et de la technologie : voler de la donnée (commerciale, R&D etc…) avant de la rendre inaccessible et demander une rançon par exemple. Les supports disponibles pour attaquer une organisation sont de plus en plus nombreux (applications, mobiles, cloud etc…) et une fois de plus, la créativité des attaquants ne doit en aucun cas être sous-estimée. Nous monitorons les évolutions des attaques constamment pour être au plus près de la menace.
Bref, être pro actifs devient indispensable, que ce soit à l’extérieur, mais aussi et surtout à l’intérieur de l’entreprise ?
Je ne serais pas de ces gens qui disent que la faiblesse est entre la chaise et le clavier. L’intérieur de l’entreprise est un des rideaux de défense qui doit être pris en compte, aussi bien au niveau des postes des utilisateurs que des utilisateurs eux-mêmes. Cela passe par des couches de protections technologiques comme par des mesures de sensibilisation et de formation des collaborateurs. Que l’attaquant soit interne ou externe, il finira par essayer de se faire passer pour quelqu’un de légitime sur le réseau et il faudra s’assurer qu’on l’attrape à ce moment là.
Les attaques par hameçonnage vocal (vishing ou voice phishing) auraient augmenté de près de 550 % au cours des douze derniers mois, selon le dernier rapport trimestriel sur les tendances en matière de menaces. Une hausse peu étonnante à la vue des méthodes pirates mises en place pour passer outre la double authentification.
Au cours du premier trimestre 2022, les sociétés Agara/Phishlabs ont détecté des centaines de milliers d’attaques phishing en provenance des réseaux sociaux, messageries électroniques ciblant un large éventail d’entreprises et de marques. Ce rapport analyse les principales tendances du paysage des menaces actuel.
Les attaques par vishing dépassent la compromission des e-mails
Depuis le troisième trimestre 2021, les attaques par vishing ont dépassé la compromission des e-mails professionnels, se positionnant comme deuxième source de menaces pesant sur les systèmes de messagerie électronique. À la fin de l’année, ces dernières représentaient plus d’une menace sur quatre, et cette tendance s’est poursuivie au premier trimestre 2022.
« Les campagnes de vishing hybride continuent de générer des chiffres stupéfiants, puisqu’elles constituent 26,1 % du volume total des attaques enregistrées jusqu’à présent en 2022 », indique John LaCour, de chez HelpSystems. « On assiste à une multiplication des acteurs de la menace qui délaissent les campagnes de phishing vocal standards pour lancer des attaques par e-mail malveillant en plusieurs étapes. Au cours de ces attaques, les hackers se servent d’un numéro de rappel inséré dans le corps de l’e-mail comme appât, puis s’appuient sur l’ingénierie sociale et l’usurpation d’identité pour inciter la victime à appeler et à interagir avec un faux représentant. »
Un chiffre qui pourrait étonner, mais qui pourtant montre l’évolution des pirates. Le blog ZATAZ, référence en matière des actualités liées à la lutte contre le cybercrime, révélait en 2021, une méthode pirate baptisée la méthode du « ALLO » qui consiste à appeler les victimes, par téléphone, pour leur soutirer les informations que les pirates informatiques ne possèdent pas déjà !
Autres enseignements de ce rapport
Les attaques par usurpation d’identité sur les réseaux sociaux sont en hausse. Depuis le deuxième trimestre 2021, le volume des usurpations d’identité ciblant les marques a bondi de 339 % et celui des usurpations d’identité de dirigeants de 273 %. D’après les résultats, les marques constituent des cibles faciles pour les cyber criminels, surtout lorsqu’elles sont associées à des opérations de contrefaçon de produits vendus au détail. Cependant, pour certaines attaques ciblées, des comptes sociaux de dirigeants sont utilisés pour renforcer le réalisme.
Les escroqueries par e-mail dont l’objectif est le vol d’identifiants restent le type de menaces par messagerie électronique le plus courant signalé par les collaborateurs, à hauteur de près de 59 % de tous les typologies de menaces rencontrées. Les vols d’identités ont augmenté de 6,9 % en volume par rapport au quatrième trimestre 2021.
Le paysage des malware est en constante évolution
Qbot a été une fois de plus le malware le plus usité par les acteurs de la menace pour servir leurs attaques par ransomware, mais Emotet a refait surface au premier trimestre prenant la première place du podium.
Alors que près de la moitié des sites d’hameçonnage s’appuient sur un outil ou un service gratuit, le premier trimestre 2022 a été le premier de cinq trimestres consécutifs où les services payants ou compromis (52 %) ont dépassé les solutions gratuites pour les mises en scène des sites de phishing.
« Comme la diversité des canaux numériques utilisés par les entreprises pour conduire leurs activités et communiquer avec les consommateurs se développe, les hackers disposent de multiples vecteurs pour conduire leurs exactions », ajoute John LaCour. « La plupart des attaques ne démarrent pas de zéro ; elles reposent sur la refonte de tactiques traditionnelles et l’intégration de multiples plateformes. Pour continuer à se protéger, les entreprises ne doivent plus uniquement se concentrer sur une protection périmétrique mais augmenter leur visibilité sur différents canaux externes, afin de recueillir des renseignements et de surveiller les menaces de manière proactive.En outre, les équipes de sécurité doivent investir dans des partenariats qui garantiront la prévention rapide et complète des attaques avant qu’elles n’entraînent des préjudices financiers et des atteintes à la réputation. »
Pirates, services DDoS-for-Hire et autres armées de botnets de classe serveur ont facilité le lancement d’attaques de plus en plus sophistiquées. Plus de 9 millions de cyberattaques de type DDoS en 2021 !
La nouvelle étude semestrielle Threat Intelligence Report de la société Netscout affiche une année 2021 très « hard » du côté de la cyber. Au cours du second semestre 2021, les cybercriminels ont lancé environ 4,4 millions d’attaques par déni de service distribué (DDoS), portant à 9,75 millions le nombre total d’attaques de ce type effectuées au cours de l’année. Bien qu’en baisse de 3 % par rapport au record établi au plus fort de la crise sanitaire, ces attaques se poursuivent à un rythme supérieur à 14 % aux niveaux pré pandémiques.
Le second semestre 2021 a été marqué par la mise en place d’armées de botnets de très grande puissance et par un rééquilibrage entre les attaques volumétriques et les attaques par voie directe sans usurpation ; créant des procédures opérationnelles plus sophistiquées pour les attaquants, qui ont pu ajouter de nouvelles tactiques, techniques et méthodes à leur arsenal.
« S’il est tentant de considérer la baisse du nombre total d’attaques comme un recul de l’activité des cybercriminels, nous avons constaté une activité sensiblement plus importante par rapport aux niveaux antérieurs à la pandémie, a déclaré Richard Hummel, responsable des renseignements sur les menaces de NETSCOUT. En réalité, les attaquants innovent et utilisent en permanence de nouvelles techniques, telles que les botnets de type serveur, les services DDoS-for-Hire et le lancement accru d’attaques par voie directe, qui contribuent à la transformation permanente du paysage des menaces. »
Hausse des extorsions DDoS et des ransomwares — Trois campagnes DDoS de grande ampleur ont eu lieu simultanément, établissant un nouveau record. Des gangs de ransomware, parmi lesquels Avaddon, REvil, BlackCat, AvosLocker et Suncrypt, ont été identifiés alors qu’ils utilisaient le DDoS pour extorquer leurs victimes. Forts de ce succès, certains groupes de ransomwares exploitent des opérateurs d’extorsion DDoS se faisant passer pour des affiliés — c’est le cas par exemple d’une campagne d’extorsion DDoS signée par REvil.
Les services Voix sur IP, à leur tour victimes d’extorsions DDoS — Des campagnes d’extorsion DDoS ont été menées à travers le monde par un imitateur de REvil contre plusieurs prestataires de services de téléphonie sur Internet (VoIP). L’un d’eux a fait état d’une perte de comprise entre 9 et 12 millions de dollars à cause des attaques DDoS.
Les services DDoS-for-Hire simplifient le processus d’attaque — NETSCOUT a examiné 19 services DDoS-for-Hire, ainsi que les moyens qu’ils utilisent pour éliminer les exigences techniques et le coût de lancement d’offensives DDoS de grande envergure. Ensemble, ils proposent plus de 200 types d’attaques.
Les attaques ont progressé de 7 % dans la région APAC, mais reculé dans les autres régions — Dans un contexte géopolitique tendu en Chine, à Hong Kong et à Taïwan, la région APAC a connu la plus forte augmentation du nombre d’attaques en variation annuelle par rapport aux autres régions du monde.
Les armées de botnets de classe serveur débarquent — Les cybercriminels ont non seulement augmenté le nombre de botnets connectés à l’Internet des objets (IoT), mais également enrôlé des serveurs de très forte puissance et des périphériques connectés de grande capacité, avec notamment les botnets GitMirai, Mēris et Dvinis.
Les attaques par voie directe gagnent en popularité — Les groupes de hackers ont submergé les entreprises par leurs attaques DDoS de type TCP Flood et UDP Flood, également connues sous le nom d’attaques par voie directe ou sans usurpation. Parallèlement, le recul de certaines attaques par amplification a fait baisser le nombre total d’agressions.
Les pirates ciblent principalement certaines activités — Les secteurs les plus touchés sont les éditeurs de logiciels (hausse de 606 %), les agences et courtiers d’assurance (+257 %), les fabricants d’ordinateurs (+162 %) et les collèges, universités et établissements d’enseignement professionnel (+102 %).
L’attaque DDoS la plus rapide en hausse de 107 % par rapport à l’année précédente — Regroupant les vecteurs DNS, d’amplification DNS, ICMP, TCP, ACK, TCP RST et TCP SYN, l’attaque multi vectorielle lancée contre une cible russe a atteint le débit de 453 millions de paquets par seconde (Mpps).
Vouloir accéder à ses données sauvegardées dans un cloud, partout dans le monde, est devenu une obligation pour les utilisateurs du numérique que nous sommes. Mais au fait, qu’est qu’un cloud sécurité ? Explication !
Pour comprendre l’importance d’un tel outil, nous sommes allés voir du côté de la société Pyxya. Cette entreprise est basée à Lyon. Elle s’est spécialisée dans des solutions fortes de WAN Hybride. L’intérêt d’allier cloud et sécurité apparait ici évident.
D’abord, l’aspect pratique. Allier cloud sécurité permet de mettre en relation, deux réseaux (WAN) géographiquement séparés.
Le trafic est acheminé par deux types de connexions distinctes. La première connexion passe par le classique Multiprotocol Label Switching. La seconde, par Internet. Le MPLS rend plus souple et rapide le routage, la communication et le transfert de vos données. Bref, indispensable pour l’interconnexion entre datacenters et succursales.
La force de la solution repérée chez Pyxya, permettre une totale sécurisation des données échangées car évoluant au cœur d’un réseau privé, en dehors d’une infrastructure publique, donc par nature ouverte comme Internet. pyxya, dans sa solution, propose une seconde connexion à large bande et via VPN.
Comme le rappel Pyxya, Le WAN hybride contribue aussi à la cloud sécurité. Parmi les avantages, en plus d’une amélioration de la gestion du trafic et la surveillance du trafic qui se trouve améliorée. Une sécurité optimisée qui peut-être renforcée par un SD-WAN hybride (en complément d’un réseau SD-WAN) et « profiter des avantages des deux solutions pour disposer d’un accès cloud sécurisé. » confirme l’entreprise lyonnaise. Une sécurisation des communications indispensable en cette période ou le télétravail a pris un essor exponentiel, et que l’accès à distance aux données de l’entreprise n’est plus une option.
La plateforme cryptographique Wormhole qui permet d’envoyer des cryptos vers d’autres blockchains se voit voler 326 millions de dollars.
Un pirate informatique a trouvé un exploit qui lui a permis de libérer 120 000 ETH sans aucun investissement.
La plateforme a déjà offert au hacker une prime de 10 millions de dollars. Il semble que s’il accepte l’offre, il s’agirait d’un versement de prime record dans l’histoire.
En utilisant l’exploit, le pirate a volé 120 000 jetons Ether enveloppés sur la blockchain Solana. Sur ces 120 000 jetons, il en a converti 80 000 en Ethereum et laissé le reste sur la blockchain Solana.
Le pirate n’a pas encore répondu à la proposition de la société. La société d’analyse de blockchain Elliptic lui offre une prime de 10 millions de dollars dans le cadre d’un « accord whitehat ».
Mais vu qu’il a déjà récupéré une partie de la somme, et vendue le reste, 10 millions de dollars ne semblent pas l’intéresser ! (voir ici, là et encore ici)
L’attaque Wormhole est désormais la deuxième plus grande cyberattaque contre les services DeFi, la plus importante a visé au mois d’août 2021 Poly Network, avec plus de 600 millions de dollars.
Le Centre Canadien pour la cybersécurité s’inquiète d’une augmentation d’activités de cybermenace qui pourraient être parrainées par de pirates Russes.
Mais que recherchent les pirates informatiques Russes sur le sol Canadiens ? Le froid ? Non, ils ont ! Les magnifiques étendues naturelles ? Non, ils ont aussi ! A première vue, selon le Centre Canadien pour la cybersécurité (L’ANSSI de nos cousins du Grand-Nord), ils loucheraient sur les infrastructures essentielles du Canada.
Parmi ces piratages, et ils ne sont pas que Russes à se pencher sur le Canada, infiltrer pour voler des données ; rançonner à coup de ransomware et réclamer une rançon ; jouer avec les cours de l’Energie en tentant de bloquer la production. « Le Centre canadien pour la cybersécurité(CCC) encourage la communauté canadienne de la cybersécurité, surtout les responsables de la défense des réseaux des IE, à prendre des mesures proactives de surveillance et d’atténuation sur les réseaux.«
Le CCC rappel aussi que se doter « d’un plan d’intervention en cas de cyber incident, d’un plan de continuité des activités et d’un plan de communication, et se préparer à les appliquer » ne doit plus être une option.
Parmi les dernières victimes repérées par Data Security Breach, la société Medical Pharmacies, un leader en matière de gestion des médicaments, de services pharmaceutiques spécialisés et de fourniture de matériel et d’équipement médicaux à l’industrie canadienne des soins de santé. Le groupe de pirates Snatch a volé pour plus de 100 GB d’informations internes et diffusé plus de 260 Mo.
Vous êtes nombreux à demander si Google et Google map étaient capable de suivre, à la trace, vos moindres faits et gestes. En voici une réponse, en image !
Des manifestations ont eu lieu aux États-Unis plus tôt cette année – des « supporters » de Trump en colère ont envahi le Capitole. Des activistes de la droite dure américaine voyant d’un mauvais œil la démocratie électorale mettre à la porte Donald Trump. Beaucoup de ces « révolutionnaires » sont encore en procès.
Selon les journalistes de WIRED qui ont étudié ces affaires de près quelques mois plus tôt, les données de géolocalisation de Google ont permis d’arrêter 45 personnes qui étaient apparemment impliquées dans les manifestations.
Où je veux en venir ? Voici de quoi il s’agit. L’autre jour, ils ont publié des documents sur l’un des défendeurs. Sur la carte ci-dessous, vous pouvez voir 57 points qui enregistrent les mouvements d’une personne dans le bâtiment.
Si vous vous êtes déjà demandé comment des données précises vous concernant peuvent être collectées par toutes ces applications qui demandent l’accès à la géolocalisation, vous voici avec la réponse.
Disposer d’une connexion internet est indispensable de nos jours. En effet, grâce à internet, il est possible de réaliser une multitude de taches du quotidien facilement. Et pour en avoir, la meilleure option est de disposer d’une box internet. Avec le développement de l’internet et la prolifération des hackers, il n’est pas rare de subir un piratage de votre box. Et lorsque cela arrive, dans le meilleur des cas, le pirate se contente d’utiliser votre connexion internet. Mais dans le pire des cas, il pourrait commettre des actes illégaux. Pour éviter cela, découvrez dans cet article comment vérifier que votre box internet est piraté.
Vérifier votre connexion internet
Vérifier votre connexion internet est la première étape si vous voulez découvrir si votre box a été piratée. Il est possible que pendant les jours de forts vents ou de pluie, la connexion puisse être affectée. Ce qui entraîne par moment une certaine lenteur de votre navigation par rapport aux autres jours. Cependant, vous devriez savoir que de manière générale, le Wifi fonctionne toujours correctement. Alors, si vous commencez par constater que votre connexion est plus lente que d’habitude, il pourrait s’agir d’une utilisation de votre réseau par quelqu’un d’autre. À cet effet, effectuez ce test de débit ici par exemple.
En dehors de la vitesse de votre connexion, vous pouvez également vérifier au niveau de la lumière de votre routeur destinée au Wifi (ou WLAN). Observez si elle clignote après que vous ayez éteint tous les appareils, y compris les smartphones. Si c’est le cas, cela indique clairement que quelqu’un utilise votre réseau.
Utiliser des outils en ligne
Il existe des outils en ligne et disponibles pour Windows, ainsi que Mac, qui peuvent vous permettre de détecter une présence inconnue sur votre réseau internet. Pour Microsoft Windows et Apple, vous avez le réseau wireless watcher et gestionnaire de réseau Microsoft. Pour mobiles Android, vous avez les dispositifs Fing, découverte du réseau et scan du réseau. Pour mobiles iOS, il s’agit également de Fing. À celui-ci s’ajoutent scanner du réseau IP et iNet.
Toutefois, il faut noter un défaut avec ces outils. Ils ne sont pas en mesure de détecter les ordinateurs qui sont connectés au réseau. Aussi, il n’y a aucune possibilité d’accéder à une liste d’autres adresses IP qui ont pu se connecter à votre réseau sans fil.
Consulter votre retour
Le retour est un dispositif qui dispose d’un dossier qui vous permettra de savoir si une autre personne que vous est connectée à votre réseau en ce moment. Pour ce faire, vous devez entrer dans l’interface de gestion de votre routeur. Ensuite, cliquez sur votre adresse IP dans la barre de navigation (sur le même routeur). Vous verrez une boîte s’ouvrir et vous y entrez le code : ipconfig/all. Après, cliquez sur « intro », et vous verrez une adresse apparaître dans la barre du navigateur. Copiez-la et l’interface de votre routeur s’ouvrira. Il vous demandera le nom d’utilisateur et un mot de passe. Ils sont disponibles dans le manuel de votre routeur ou sur l’autocollant.
Recherchez l’historique de votre dispositif relié au Wifi. Elle apparaît souvent dans la section DHCP. Ainsi, vous verrez toutes les adresses IP connectées à votre routeur.
Le Centre hospitalier Belge de la ville de Tournai impactée par une cyberattaque.
Le centre hospitalier Belge de Tournai, commune Belge à la frontière Franco-Belge, victime d’une attaque informatique qui a imposé à l’administration de l’entreprise de santé de stopper toutes ses opérations de soin non urgentes. Une cyberattaque qui ressemble à un ransomware, mais selon la communication interne, aucune demande de rançon n’aurait été réclamée.
80 des 300 serveurs informatiques du CH ont été impactés. Plus aucun accès aux données informatiques, imposant aux personnels de consulter les dossiers papiers. La communication indique aussi qu’aucun vol informatique n’a été constaté. Une centaine d’opérations a été annulée lundi. Etonnante cyberattaque ! L’intérêt des pirates ? Ne rien voler ? Ne pas demander d’argent ?
Voilà une action, mais ce n’est que mon expérience qui parle, que ce poker menteur risque de voir un perdant, les patients.
Un nouveau rapport sur les activités cybercriminelles liées aux logiciels malveillants et l’évolution des cybermenaces au cours du 2e trimestre 2020 affiche des chiffres qui ont de quoi inquiéter sur l’appétit grandissant des pirates informatiques.
Pendant cette période, une moyenne de 419 nouvelles menaces par minute et une augmentation de 11,5 % de nouveaux logiciels malveillants. Une importante prolifération d’attaques malveillantes utilisant des fichiers offices malveillant Donoff ont été observé, augmentant de ce fait le nombre d’attaques utilisant PowerShell de 117%. L’influence mondial du Covid-19 a incité les cybercriminels à adapter leurs campagnes pour attirer les victimes avec des thèmes liés à la pandémie et exploiter le contexte d’une main-d’œuvre travaillant à domicile.
« Le deuxième trimestre de 2020 a vu l’évolution continue de menaces innovantes utilisant PowerShell. Par ailleurs l’adaptation rapide des cybercriminels au contexte actuel a permis un ciblage des organisations par le biais des employés travaillant à distance, déclare Raj Samani, fellow et chief scientist chez McAfee. Ce qui ne représentait au début qu’une poignée de campagnes de phishing et d’applications malveillantes s’est rapidement transformé en un déluge d’URL piratés, d’attaques sur les utilisateurs de services cloud et d’acteurs malveillants capables de tirer parti de la soif mondiale d’informations sur le Covid-19 comme porte d’entrée dans les systèmes informatiques du monde entier ».
Chaque trimestre, la société de cybersécurité évalue l’état du paysage de la cybermenace sur la base de recherches approfondies, d’analyses d’enquêtes et de données sur les menaces. Ces renseignements sont recueillis par la plateforme cloud Global Threat Intelligence, à partir de plus d’un milliard de capteurs répartis sur plusieurs vecteurs de menace dans le monde.
Les campagnes cybercriminelles sur le thème du Covid-19
Après un 1er trimestre qui a vu le monde plonger dans la pandémie, le 2e trimestre a vu les entreprises continuer à s’adapter à un nombre sans précédent d’employés travaillant à domicile, avec les challenges de cybersécurité qui accompagnent cette nouvelle norme.
En réponse à cela, un Tableau de Bord des Menaces Covid-19 McAfee pour aider les RSSI et les équipes de sécurité à comprendre comment les acteurs malveillants utilisent des techniques de plus en plus sophistiquées pour cibler les entreprises, les gouvernements, les écoles et une main-d’œuvre qui doit faire face aux restrictions liées au Covid-19 et aux vulnérabilités potentielles de la sécurité des dispositifs à distance et de bande passante. Au cours du T2, une augmentation de 605 % des détections d’attaques liées au Covid-19 par rapport au T1.
Le malware Donoff
Les fichiers Donoff Microsoft Office agissent comme des « TrojanDownloaders » en utilisant le système de commande Windows pour lancer PowerShell et procéder au téléchargement et à l’exécution de fichiers malveillants. Donoff a joué un rôle essentiel dans l’augmentation de 689 % de codes PowerShell malveillant au premier trimestre 2020.
Au second trimestre, la croissance des logiciels malveillants liée à Donoff a ralenti mais demeure constante, entraînant une hausse de 117 % de code malveillants PowerShell et contribuant à une augmentation de 103 % de l’ensemble des nouveaux logiciels malveillants utilisant Microsoft Office. En 2019, le nombre total d’échantillons de malwares PowerShell a augmenté de 1 902 %.
Attaques sur les utilisateurs de services cloud
7,5 millions d’attaques externes sur les comptes d’utilisateurs cloud. Ce chiffre est basé sur l’agrégation et l’anonymisation des données d’utilisation du cloud de plus de 30 millions d’utilisateurs mondiaux au cours du T2 2020. Cet ensemble de données représente des entreprises de tous les grands secteurs d’activité mondiaux, notamment les services financiers, la santé, le secteur public, l’éducation, le commerce, la technologie, l’industrie, l’énergie, les services publics, le secteur juridique, l’immobilier, les transports et les services aux entreprises.
Paysage des menaces au 2e trimestre 2020
Les logiciels malveillants. 419 nouvelles menaces par minute au cours du T2 2020, soit une augmentation de près de 12 % par rapport au trimestre précédent. La croissance des rançongiciels est restée constante par rapport au T1 2020.
Les Coinminer malwares. Après avoir augmenté de 26 % au T1, les nouveaux logiciels malveillants faisaint du mining de cryptomonnaies ont augmenté de 25 % par rapport au trimestre précédent.
Les malwares mobiles. Après une augmentation de 71 % des nouveaux échantillons de malwares mobiles au T1, la tendance s’est ralentie de 15 % au T2, malgré une forte augmentation des logiciels publicitaires Android Mobby.
IoT. Les nouveaux logiciels malveillants IoT n’ont augmenté que de 7 % au cours du T2, mais le domaine a enregistré une activité importante des menaces Gafgyt et Mirai, qui ont toutes deux entraîné une croissance de 22 % des nouveaux logiciels malveillants Linux au cours de la période.
Vecteurs d’attaque. Dans l’ensemble, les logiciels malveillants sont en tête des vecteurs d’attaque signalés, représentant 35 % des incidents dévoilés publiquement au T2. Les détournements de comptes et les attaques ciblées ont représenté respectivement 17 % et 9 %.
Activité sectorielle. Les incidents divulgués détectés au cours du T2 2020 et visant le secteur scientifique et technologique ont augmenté de 91 % par rapport au trimestre précédent. Les incidents dans le secteur industriel ont augmenté de 10 %, mais les événements dans le secteur public ont diminué de 14 %.
Des centaines d’entreprises par le monde proposent d’héberger sites et applications web. Les États-Unis accaparent la moitié du business. Mais qu’en est-il de la sécurité de celui qui va vous héberger ? Voici les points primordiaux à contrôler avant de se lancer dans l’aventure.
Les propriétaires de site web vivent une vie secrète. Un webmaster marié vit avec une maîtresse qu’il ne peut ignorer, oublier, … Son hébergeur. Un hébergeur permet d’installer son site web, ses applications, … Un gros hangar qui, sur le papier, se charge uniquement de vous proposer de quoi installer vos informations. Mais comment choisir cet hébergeur ? Quelles sont les règles à mettre en place pour sécuriser son bien.
Avec un business pris en main par les Etats-Unis, 50,8% de part de marché liés à l’hébergement dans le monde (11,5 pour l’Allemagne ; 3,30% pour la France ; 2,5% pour le Canada), choisir son hébergeur doit d’abord prendre en compte plusieurs points, dont les diverses réglementations (États-Unis, France, Europe, …) : RGPD, California Consumer Privacy Act, … Prendre en compte cet élément n’est pas négligeable. Vous ne pourrez pas stocker, utiliser, les données fournies par vos visiteurs comme bon vous semble.
Vient ensuite les sécurités à vérifier avant même de parler hébergement. Quels sont les outils mis en place par l’hébergeur ? A-t-il un espace d’administration ? A-t-il une gestion de la double authentification pour vous y connecter ? Pouvez-vous recevoir une alerte (courriel, SMS, …) lors de la connexion à votre administration ? Pouvez-vous créer des sous-comptes sécurisés, avec la gestion des droits pour chaque utilisateur de votre administration ? Voilà quelques questions à se poser. Perdre l’accès à son administration d’hébergement à la suite d’un piratage, par exemple, c’est perdre votre espace numérique et son contenu. Les attaques sont multiples, allant de la recherche d’un mot de passe un peu trop faible ou facilement récupérable (OSINT, SE, …), hameçonnage, mots de passe retrouvés dans d’autres bases de données de sites piratés.
A noter que le phishing est un élément qui fait grand mal. Une méthode qui a permis de piéger des milliers d’entreprises (via des employés mal ou pas formés). La propagation mondiale de la COVID-19 a changé le paysage des menaces.
Votre hébergeur est-il « humain »
Aussi idiot que cela puisse paraître, votre hébergeur est-il « humain ». Par cela, comprenez : « êtes-vous capable de joindre un employé, le SAV, le Service Technique, … par téléphone, par mail, rapidement ?« . Bref, avoir un support 24/7 est obligatoire. « Indispensable confirmePlanetHoster. En cas de problème, vous êtes assuré d’avoir une assistance personnalisée selon vos besoins.«
Vient ensuite les règles internes à l’entreprise. A-t-elle une politique cyber sécurité ? Une assurance. Pour l’hébergeur cité plus haut, une « assurance erreur et omission » vous protège jusqu’à 2 000 000 $ par incident. Panne, piratage, … Ont-ils des partenariats sécurité, par exemple, avec des entreprises liées au chiffrement (LetsEnrypt, …), aux certificats SSL, … Point important, n’hésitez jamais à poser des questions : les équipes sont-elles formées aux nouvelles attaques ? Aucun doute que oui, mais montrer que vous avez une réflexion sur le cyber sécurité permet de ne pas être le cocu d’un mariage qui pourrait mal tourner.
Les pirates se sont attaqués ces dernières semaines à de nombreux hébergeurs, mettant à mal les clients et les données de ces derniers.
RGPD, California Consumer Privacy Act, Convention 108
Si le RGPD, le Règlement Général de la Protection des Données Personnelles, est entré dans toutes les têtes (ou presque), c’est oublier l’ensemble des autres règles dédiés à la sécurité des données personnelles. Nous vous parlions plus haut de l’importance de choisir son hébergeur en prenant compte sa localisation géographique.
Pour rappel, la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, connue également sous le nom de « Convention 108 », est le seul instrument international juridiquement contraignant dédié à la protection des données et de la vie privée qui soit ouvert à la signature de tous les pays du monde.
Adopté en 1981, ce traité a été mis à jour en 2018 par un protocole, pas encore entré en vigueur, qui garantit que ses principes de protection des données sont toujours adaptés aux outils et pratiques actuels et renforce son mécanisme de suivi.
À ce jour, 55 pays (Belgique, France, Irlande, Luxembourg, Ukraine, …) ont ratifié la « Convention 108 » et de nombreux autres pays du monde s’en sont inspirés comme modèle de leur nouvelle législation relative à la protection des données.
Parmi les nouveautés, les détections de ransomwares multipliées par sept au premier semestre 2020. En mai et juin, en moyenne 60% de tous les e-mails reçus étaient frauduleux. Les menaces sur le thème du coronavirus deviennent la nouvelle norme.
Le rapport révèle que la pandémie mondiale de coronavirus a provoqué un changement important dans le paysage des menaces, à la fois sur la façon dont les cybercriminels opèrent, mais aussi dans la manière dont ils perfectionnent leurs attaques. Au premier semestre 2020, ils ont exploité les problèmes liés à la crise Covid-19 pour semer la peur et la désinformation. Résultat : une augmentation des escroqueries, du phishing et des logiciels malveillants sur toutes les plates-formes.
En mai et juin, 60% en moyenne de tous les e-mails reçus étaient frauduleux, selon l’étude.
Qu’il s’agisse d’une escroquerie de phishing exploitant le coronavirus, d’une collecte de fonds ou d’une offre exceptionnelle à ne pas rater, les escrocs ont utilisé toutes les cartes du commerce pour tromper les victimes en leur soutirant des informations sensibles ou en installant des logiciels malveillants.
Les vecteurs d’attaque couramment utilisés pour compromettre et prendre le contrôle des réseaux domestiques ont profité de la panique provoquée par la pandémie. Les chercheurs de Bitdefender ont par exemple découvert une attaque de détournement de DNS sur une marque populaire de routeurs domestiques, utilisée par des attaquants pour rediriger les victimes vers des sites Web malveillants, des applications prometteuses proposant des informations sur l’épidémie.
Les développeurs de logiciels malveillants Android ont aussi surfé sur la vague de la pandémie en se ruant notamment sur l’application de visioconférence Zoom, utilisée pour travailler à domicile. Certains développeurs Android légitimes ont même modifié le contenu des pages Web des applications Google Play pour obtenir un meilleur classement, principalement pour les applications des catégories Santé et Forme ou Médical.
Les attaques contre les appareils IoT (Internet des objets) domestiques ont également augmenté. La télémétrie a observé une hausse de 46% d’incidents suspects signalés entre janvier et juin. Les menaces Windows courantes, les ransomwares, les logiciels malveillants sans fichier (fileless malware), les mineurs de cryptomonnaie, les Troyen bancaires et exploits, sont toujours en plein essor.
Alors que le nombre de rapports thématiques a depuis diminué, à commencer par une baisse de 10 % en mai par rapport au mois d’avril, il est peu probable que la tendance s’inverse au deuxième semestre. Les cybercriminels vont probablement, à nouveau, saisir l’occasion de créer des campagnes de fraude avec des produits de santé fictifs et même d’envoyer des spams thématiques promettant de nouveaux traitements ou remèdes.
Avec la recrudescence des attaques informatiques et face au volume des données à traiter pour une entreprise, la cybersécurité est un enjeu essentiel pour toutes les entreprises peu importe leurs tailles.
Les outils traditionnels de sécurité ne sont plus suffisants pour se protéger contre une cyberattaque. La mise en place d’un SOC est essentiel.
La société Toulousaine iTrust, spécialiste de la cyber sécurité et de la protection via un SOC propose de se pencher sur cet outil devenu indispensable dans l’arsenal en charge de lutte contre les malveillances informatiques, qu’elles soient internes ou externes à l’entreprise. Quel type de SOC mettre en place au sein de son entité ? Quels sont les critères d’efficacité d’un SOC ? Quelles sont les composants essentiels d’un SOC ? A découvrir dans le livre blanc dédié au soc.
Le jeudi 12 mars 2020, Emmanuel Macron s’est adressé à ses concitoyens dans le cadre des premières ripostes contre la contamination croissante au Covid19. Dans son discours, le Président français a, entre autres, suggéré le télétravail aux entreprises. Depuis le concept fait recette dans toute la France et même au-delà des frontières. Malgré le déconfinement, certains salariés continuent de travailler depuis leur domicile. Mais une telle option n’est pas sans risque, car les pirates pourraient infiltrer certaines données sensibles de l’entreprise. Pour éviter ces intrusions, entreprises et employés doivent prendre certaines précautions. Quelles sont-elles ?
Changez d’adresse IP
Le salarié a l’habitude d’utiliser son ordinateur pour se divertir ou pour faire des recherches. Lors de ses activités, il se pourrait qu’il se rende fréquemment sur des sites non sécurisés, ou se connecte sur des réseaux wifi publics. L’adresse IP de son appareil est donc certainement connue de ces pages et réseaux insuffisamment protégés. Dans cette situation, il est souhaitable que l’employé change l’identifiant de son ordinateur lorsqu’il se met au télétravail. Le guide d’Opportunités Digitales vous décrit les étapes d’une telle opération. Cette solution permet au salarié de travailler de façon anonyme, le but final étant de ne pas se faire tracer par d’éventuels pirates informatiques.
Sécurisez votre réseau privé
Logiquement, la mise en œuvre du télétravail a induit de nombreuses réformes dans les entreprises. Parmi elles, l’installation d’un réseau informatique exclusif à la structure. Par ce canal, les collaborateurs peuvent s’échanger les données depuis leur domicile. Conscients de la situation, les pirates investissent ces réseaux en quête d’informations importantes sur les sociétés. Ils s’en servent comme moyen de chantage auprès des dirigeants d’entreprises. Pour s’en prémunir, il est nécessaire de crypter toutes les informations qui transitent par le système informatique. Il est donc recommandé aux entreprises de mettre un VPN à disposition de chaque travailleur. Toutes les structures ne savent pourtant pas pourquoi utiliser un VPN en 2020. En réalité le Virtual Private Network (VPN) permet avant tout d’authentifier l’accès au réseau internet. L’entreprise peut également mieux contrôler le partage des données professionnelles par les collaborateurs.
Modifiez votre mot de passe
Les salariés avaient l’habitude d’accéder au réseau de l’entreprise via des codes secrets. À partir du moment où ils se sont mis à télétravailler, il leur est conseillé de modifier aussitôt les mots de passe, car les hackers sont à l’affût de la moindre information sensible. Et, comme aucun système sécuritaire informatique n’est entièrement fiable, les codes conventionnels tels que 12345 ou 00000 sont à proscrire. Les pirates informatiques les maîtrisent du bout des doigts. Il vaut mieux opter pour un mélange de caractères. Les codes secrets longs sont également recommandés. Tout ceci permettra d’augmenter le niveau de sécurité de votre passe d’accès.
Analysez et votre appareil
À défaut de s’attaquer directement au réseau de l’entreprise, les hackers s’en prennent aux salariés. Ils peuvent tenter de prendre le contrôle de leurs appareils via des courriels malveillants. C’est pourquoi tous les travailleurs doivent installer des antivirus sur leur ordinateur. Ce logiciel préviendra toute intrusion de programmes suspects. En plus de cette précaution, le salarié doit actualiser ses programmes. Une mise à jour automatique des applications est la solution idéale.
A l’heure de la crise Coronavirus, beaucoup d’entreprises françaises ont adopté le télétravail mais ne prennent-elles toutes en compte les risques de sécurité liés ? Comment les Français se comportent en comparaison des autres pays Européens ?
Une enquête mondiale examinant les conséquences en matière de sécurité de la généralisation du télétravail en raison de la pandémie du Covid-19 met à jour quelques chiffres intéressants. L’enquête, réalisée par le cabinet d’études OnePoll en avril 2020 auprès de 1 000 professionnels en télétravail respectivement en Allemagne, en France, au Royaume Uni, en Irlande et aux Etats Unis, révèle que ces pays n’ont clairement pas accordé la priorité aux mesures de sécurité et aux meilleures pratiques en matière de mots de passe avec la mise en place de ce nouveau mode travail.
5 Français sur 10 ne change pas de mot de passe
Globalement, près de 52% des Français interrogés n’ont jamais changé le mot de passe de leur ordinateur professionnel contre seulement 37% des Allemands, exposant ainsi toutes les données de leur entreprise à un risque d’intrusion. L’enquête révèle aussi des risques externes, 46% des personnes interrogées, tous pays confondus, admettent ne pas avoir changé leur mot de passe WiFi à leur domicile depuis plus d’un an, exposant ainsi leur ordinateur professionnel à un risque de sécurité, soit un chiffre déjà impressionnant mais pourtant moins élevé qu’en France, puisque les statistiques Françaises s’élèvent elles à plus de 50%.
La rapidité avec laquelle le travail à distance a dû être instauré au début de 2020 a laissé beaucoup d’entreprises vulnérables, particulièrement en raison de l’utilisation inappropriée d’ordinateurs professionnels. Globalement, la majorité des Français interrogés dans l’enquête, soit 73% d’entre eux, estiment que l’adoption du télétravail va s’accroître encore après la crise du Covid-19 malgré ces menaces contre 60% des Anglais et 67% des Allemands. Si cette tendance se poursuit, beaucoup d’entreprises seront ainsi potentiellement vulnérables sans même le savoir.
Des différences entre les pays
Un examen des pratiques en matière de sécurité des différents pays interrogés révèle des différences dans de nombreux domaines dont notamment le partage des mots de passe et l’importance des accès à des sites web à risque. Parmi ces différences entre pays, on peut citer :
Les sites à risque: Les Anglais sont plus sages que les autres pays européens de l’étude puisque près de 60% d’entre eux n’utilisent pas leur ordinateur professionnel sur des sites à risques tel que le streaming, Youtube, jeux en ligne ou sites pour adultes, contre 51% des Allemands et seulement 44% des Français.
Téléchargements sans autorisation : Les Français sont aussi les moins précautionneux en matière de téléchargement puisque 20% d’entre eux téléchargent des applications sur leur ordinateur professionnel sans l’approbation au préalable de leur entreprise contre seulement 10% des Anglais et 7% des Allemands
Authentification multi-facteurs : Du point de vue de l’authentification, les Français cette fois-ci sont plutôt bons élèves puisque près d’un Français sur 2 utilise un système d’authentification multi-facteurs, tout comme la moitié des Allemands mais seulement un tiers des Anglais.
Les habitudes de changements de mots de passe : A la réception d’un nouvel ordinateur professionnel contre près de 40% des Allemands ont pris le réflexe de changer leur mot de passe dans les 48h, contre 35% des Français et seulement 30% des Anglais.
Le virus ILOVEYOU vient de fêter ses 20 ans. Le microbe numérique avait infecté 10 % des ordinateurs connectés à travers le monde à une époque ou les gens pensaient que les cyber malveillances n’arrivaient qu’aux autres. I Love You se faisait passer pour une lettre d’amour.
Aujourd’hui, les logiciels malveillants peuvent se propager vite, beaucoup plus rapidement que le virus ILOVEYOU il y a 20 ans, mais la situation n’est plus la même : à l’époque, personne n’avait vu un fichier .vbs (script de visuel basique) utilisé à des fins malveillantes, ce qui a poussé de nombreuses personnes à cliquer dessus. En outre, du point de vue de l’infrastructure, les réseaux affectés à l’époque – dont ceux de gouvernements et d’entreprises – n’avaient rien de comparable à ceux d’aujourd’hui. Il avait donc suffi qu’un seul réseau soit compromis pour que tout s’effondre. Enfin, l’emails était le seul outil de communication numérique utilisé par les entreprises ; il n’y avait pas d’applications de chat destinées aux professionnels, comme Slack. Les entreprises victimes s’étaient donc retrouvées complètement isolées. Les fournisseurs d’antivirus avaient dû envoyer des instructions par fax à leurs clients désespérés, car ces derniers ne pouvaient plus recevoir d’emails et le trafic généré par le virus pour se répandre les obligeait à se déconnecter totalement. Aujourd’hui, il n’est plus étonnant de voir cliquer sur un PDF, un Word, un Excel sans même vérifier la source de diffusion.
Suite à ILOVEYOU, nous avions vu des vers se propager beaucoup plus rapidement sans interaction avec les utilisateurs, affectant des millions de personnes à travers le monde. Cependant, les réseaux sont restés solides lors de ces attaques, notamment contre Blaster.
Aujourd’hui, le risque est ailleurs. Il y a des milliards d’appareils connectés à Internet. Pour qu’un ″ver malveillant″ se propage largement et rapidement, les malwares exploitent désormais une vulnérabilité qui leur permet d’infecter et de se propager sans interaction avec l’utilisateur, de la même manière que Wannacry. Un ver tirant parti de multiples vulnérabilités de l’Internet des Objets (IoT), par exemple, pourrait provoquer une attaque mondiale, ciblant à la fois les particuliers et les entreprises.
Iloveyou… to
La clé pour empêcher toute attaque est la sécurité. Windows était très vulnérable dans le passé, mais est désormais beaucoup plus sûr. Néanmoins, des personnes malveillantes continueront de découvrir des vulnérabilités et des risques dans le système d’exploitation Windows et tenteront donc d’en tirer profit. En ce qui concerne les appareils IoT, la plupart sont au stade de Windows 95 en termes de sécurité. Cette dernière est rarement prise en compte lorsqu’ils sont conçus. Par conséquent, le logiciel des objets connectés, la transmission des données et la sécurité des ports sont tous vulnérables.
De plus, une attaque peut être déclenchée par un utilisateur qui ouvre simplement un email, ou clique sur un lien, par phishing. Nous avons vu des cas où l’ouverture d’un lien malveillant par un utilisateur a compromis le routeur du réseau. Cela pourrait ouvrir plus de portes dérobées au système de l’utilisateur ou rediriger les sessions de navigation vers des sites Web malveillants ; qui peuvent alors élargir les menaces, allant du ransomware aux voleurs de mots de passe, et rechercher plus de victimes potentielles sur Internet.
La motivation des attaques a considérablement changé au cours des deux dernières décennies. Le premier virus que j’ai rencontré était Michel-Ange en 1991, qui a écrasé les cent premiers secteurs d’un disque dur, rendant la machine incapable de démarrer. Alors qu’à l’époque les virus ressemblaient davantage à des concepts et à une source de fierté pour leurs auteurs, le paysage des menaces est aujourd’hui une machine à sous bien huilée, visant les entreprises avec des ransomwares et des services bancaires pour voler de l’argent, ainsi que des fake news pour soutenir la propagande, ou encore des cyberguerres parrainées par des États.
Les appareils connectés ont élargi significativement la surface d’attaque, prête à être utilisée à mauvais escient. Nous sommes maintenant connectés 24 heures sur 24, 7 jours sur 7, ce qui laisse ces appareils disponibles pour une attaque à tout moment. Ceci, combiné au nombre important d’appareils vulnérables dotés d’une faible sécurité, rend inévitable une attaque à grande échelle. Le chaos mondial commence toujours par une faille largement présente. Nous avons vu ces dernières années une explosion massive d’attaques menées au niveau du microprogramme (firmware) des objets connectés ou des ordinateurs, et sans interaction avec l’utilisateur ; comme VPNFilter ou encore LoJack, des attaques visant le firmware du moteur de gestion d’Intel. En effet, ces attaques restent généralement indétectables, car difficiles à identifier par les utilisateurs non avertis.
J’ajouterais également que la sensibilisation des utilisateurs aux menaces courantes, à quoi elles ressemblent et comment les gérer est essentielle pour empêcher les attaques ; de même que se tenir au courant des problèmes de sécurité et d’utiliser des solutions adéquates. L’industrie de la sécurité, bien sûr, est responsable de la protection des personnes en améliorant les mécanismes de détection des produits de sécurité, en fournissant diverses solutions et en sensibilisant les utilisateurs.
Cependant, il revient aussi à ces derniers de se renseigner sur la cybersécurité et d’appliquer les bonnes pratiques pour se protéger. Il est également particulièrement important qu’ils soient en mesure de prendre du recul et la bonne décision lorsqu’ils sont confrontés à une tentative d’arnaque par ingénierie sociale, susceptible de conduire à l’installation de malwares ou au vol d’informations sensibles.
Soucieuse de ses dossiers privés, chaque entreprise doit mettre en place un dispositif de sécurisation des données chiffrées. Cette mesure essentielle réduit les éventuels risques de perte, de vol et de cyberattaque informatique. Diverses solutions à la pointe de la technologie sont proposées au profit des entreprises, permettant ainsi une sécurisation optimale des dossiers importants. Zoom sur le sujet !
Adopter une stratégie de protection des données informatiques
Les données importantes d’une entreprise peuvent être exposées à divers dangers. Cela inclut les mauvaises manipulations, les virus, les cyberattaques et les sinistres (incendie, vol…). Dans tous les cas, les dossiers importants doivent être protégés afin d’éviter une utilisation malveillante des données.
Créer un mot de passe complexe
Supposons que votre entreprise traite des données chiffrées importantes sur un projet de grande envergure. Par exemple, imaginons que votre travail consiste à effectuer des devis et des factures au nom d’un ou de plusieurs clients importants. Pour mener à bien cette tâche, vous pouvez par exemple utiliser un logiciel de devis gratuit récupérable sur les plateformes en ligne spécialisées et qui traitera les données chiffrées confidentielles sur votre ordinateur professionnel.
Cependant, imaginez que votre ordinateur ne soit pas protégé par un mot de passe assez compliqué et que les données tombent entre les mains de personnes malveillantes ou d’une société rivale. Ce schéma n’est pas un cas isolé. La preuve, même les grandes sociétés peuvent être confrontées à ce genre de problème informatique. C’est pourquoi il est essentiel, voire impératif, de protéger chaque ordinateur de l’entreprise en créant des mots de passe complexes pour éviter le risque de piratage.
Installer des logiciels de protection efficaces
Les logiciels de protection doivent être une priorité pour les pôles maintenance et informatique de votre entreprise. L’idée est de choisir un outil de qualité et performant qui sera installé sur chaque ordinateur. Antivirus, antispyware, antimalware… Plusieurs alternatives s’offrent à vous.
Une chose est sûre : ces logiciels préserveront vos données (dont les factures et devis) des dangers externes que l’on peut rencontrer via internet ou les périphériques utilisés.
Contrôler l’utilisation du réseau
Vous avez le droit de contrôler l’usage du réseau internet de vos employés. En effet, il n’est pas rare que des entreprises limitent l’accès aux sites web à risque. Certaines interdisent même toute forme de téléchargement qui ne relève pas du domaine de travail de l’employé.
Ce contrôle du réseau s’avère particulièrement nécessaire si vous conservez des informations strictement confidentielles qui ne doivent en aucun cas être dévoilées.
Toutefois, les employés concernés par cette restriction doivent être informés de cette politique de contrôle du réseau, et ce, pour éviter les malentendus. N’hésitez pas non plus à sensibiliser votre personnel sur l’importance de la protection des données.
Mettre en place un système de contrôle physique des accès
Toutes les entrées et les sorties dans le local de la société doivent être contrôlées et enregistrées à l’aide d’un système de surveillance performant. Là encore, de multiples possibilités s’offrent à vous.
Investir dans la vidéosurveillance
Les systèmes de vidéosurveillance permettent d’enregistrer tous les mouvements ainsi que les va-et-vient au sein de la société. On peut aussi s’en servir pour identifier de manière efficace les tentatives de piratage et/ou de vol.
L’astuce est d’installer une caméra dans toutes les pièces importantes, surtout celles qui renferment les data. Ainsi, aucune personne ne sera à l’abri de la vidéosurveillance, de jour comme de nuit.
Noter les entrées et les sorties dans vos locaux
Votre entreprise emploie plus d’une cinquantaine de personnes ? Pour sécuriser au mieux vos données chiffrées, mieux vaut noter l’arrivée et la sortie de chacun de vos collaborateurs. Pour ce faire, utilisez une pointeuse. Notons que ce dispositif relève avant tout de l’organisation du personnel.
Aussi appelée badgeuse, la pointeuse se révèle très utile pour renforcer la sécurité des dossiers importants et des données chiffrées au sein de l’entreprise. En effet, à l’aide de ces badges biométriques, vous aurez un aperçu global et détaillé des mouvements de tous vos salariés.
Recourir aux services d’une agence de gardiennage
Toute société n’est jamais à l’abri des vols ainsi que des différentes tentatives d’effraction. Le seul moyen de ne pas être entièrement exposé est de prévenir cette situation à l’aide de différentes stratégies. Les services de gardiennage peuvent être nécessaires pour protéger les lieux et surtout le matériel. Ce service est particulièrement indispensable la nuit, voire juste après les heures de travail.
Créer un système de sauvegarde
Si l’on veut que l’entreprise prospère sur tous les plans, il est impératif de prévoir les meilleurs comme les pires scénarios. Afin d’avoir un contrôle complet sur les données émises par la société, il faut penser à un système de sauvegarde. Voici quelques exemples.
Le stockage des données sur un disque dur externe
Tous les fichiers lourds doivent être copiés et stockés sur un disque dur externe. Celui-ci ne doit être fourni à aucun tiers et sera conservé dans un lieu sûr, loin des regards des employés ou des partenaires/associés. Autrement dit, l’employeur sera le seul détenteur des matériels informatiques de sauvegarde. Vous aurez donc la lourde responsabilité de sécuriser les données importantes concernant votre entreprise et ses clients.
L’utilisation de clés USB
Les clés USB arborent le même principe de fonctionnement que les disques durs externes. La seule différence est qu’elles disposent de moins d’espace de stockage. En effet, si vous avez besoin de placer un dossier ou un fichier dans un lieu sûr, vous pouvez l’enregistrer sur votre clé USB.
Par contre, pour les données essentielles, qui sont assez volumineuses, il est conseillé d’utiliser un disque dur avec une capacité de stockage plus élevée.
Acheter un ordinateur dédié uniquement à la sauvegarde
Ce système est adopté par plusieurs entreprises travaillant sur des données chiffrées importantes et de grande taille. En effet, en investissant dans un ordinateur uniquement dédié à la sauvegarde, vous permettez un stockage plus étendu des informations.
Cette stratégie est de loin la plus efficace en termes de stockage de données. Toutefois, elle est soumise à certains prérequis. Par exemple, vous devez installer des dispositifs de protection très performants sur cet ordinateur. Il faudra aussi penser à un maximum de protection contre les crashs et les pannes.
Dans le secteur de la justice, les entreprises travaillent sur des affaires particulièrement délicates et importantes. Le risque que certains fichiers soient falsifiés est important car cela les rendrait inutilisables aux yeux de la loi. Les entreprises de l’industrie juridique doivent donc surveiller de près les dossiers sensibles ainsi que contrôler et limiter les accès.
C’est le cas de cette division d’un organisme gouvernemental d’application de la loi qui a décidé d’utiliser FileAudit afin de protéger ses fichiers et dossiers sensibles.
Découverte de cet outil qui permet de sécuriser certains éléments de votre informatique professionnel.
Les réseaux de diffusion de contenu, les Content Delivery Network (CDN) ont été conçus pour optimiser les performances en matière de distribution de contenus sur Internet et pour optimiser les coûts de bande passante pour celui qui produit ce contenu, afin de faire face à des demandes de plus en plus nombreuses, et à une volumétrie de données à fournir, en forte croissance. Nous entendons souvent l’argument que la protection contre les attaques DDoS fournie par un CDN est LA solution permettant de se protéger : Voyons sur quoi se base cet argument.
En simplifiant, un CDN est constitué d’un ensemble de serveurs interconnectés, largement distribués du point de vue géographique et mais aussi logique au sein du maillage de l’Internet. Le CDN utilise ces serveurs distribués pour cacher le contenu de leurs clients et le diffuser à leurs utilisateurs. Une utilisation astucieuse du routage permet de s’appuyer sur les « caches » les plus proches de chaque client, permettant une livraison plus rapide du contenu, et d’éviter ainsi de consommer des ressources – y compris la bande passante – du serveur d’origine hébergeant le contenu original.
Quand un client demande une première fois une ressource – une image ou une page web, le CDN doit chercher ce contenu auprès du serveur d’origine pour servir le client. Par contre, à partir de ce moment, la ressource reste « en cache », distribuée au sein du CDN, afin de servir toute nouvelle demande, par n’importe quel client, à partir de ces caches.
Les CDN cachent typiquement le contenu statique, qui ne change pas, comme justement les images d’un site web. Cependant, les CDN ne peuvent pas ou sont plus limités en leur capacité de cacher du contenu dynamique, comme les informations concernant les stocks et les commandes d’un site de vente.
Le contenu dynamique typiquement hébergé par le site d’origine. Le site d’origine sollicité, non pas par ses utilisateurs, mais par le CDN, d’une part pour du contenu statique pas encore caché et d’autre part pour le contenu dynamique, qui ne peut pas être caché.
CDN ET PROTECTION CONTRE LES ATTAQUES DDOS
De par sa nature, le CDN dispose des mécanismes qui peuvent être utiles en face d’attaques par déni de service distribuée. Par exemple, un CDN dispose souvent de ressources importantes en termes de capacité réseau et de serveurs, lui permettant souvent tout simplement d’absorber une quantité plus importante de requêtes que le serveur d’origine.
De plus, par les mêmes mécanismes de distribution et de routage qui lui permettent de distribuer la charge des utilisateurs, les attaques distribuées amenées à viser non plus une cible unique, mais une cible distribuée en fonction de la localisation de chaque source d’attaque.
« THE DEVIL IS IN THE DETAILS »
Par contre, malgré ces couches de protection utiles, le fonctionnement même d’un CDN peut ouvrir de nouveaux vecteurs d’attaque ou rendre la défense du serveur d’origine plus
difficile. Par exemple, si une attaque, faisant usage d’un botnet, sollicite un site web pour des ressources non-existantes, et donc non-cachées, cela peut amener le CDN à solliciter à son tour le serveur d’origine à répétition pour ces ressources et provoquer une condition de déni de service pour le serveur d’origine.
En plus, l’attaque vue par le serveur d’origine semble provenir du CDN lui même ! Dans cette situation, il peut être difficile au serveur d’origine de se protéger car le CDN est en même temps l’origine de l’attaque et des requêtes légitimes: Des approches simples s’appuyant sur le blacklisting des sources au niveau du serveur d’origine ne peuvent plus être utilisées dans ce cas.
D’autre part, il ne faut pas oublier que les protections fournies par le CDN ne couvrent que le contenu caché. Le serveur d’origine, ainsi que plus généralement, l’entreprise à qui le site appartient, aura probablement besoin d’une connectivité fonctionnelle. Au-delà du serveur d’origine qui doit pouvoir fournir le contenu non-caché et dynamique pour le CDN, le service aura peut-être besoin d’interagir avec d’autres sites, l’entreprise de pouvoir envoyer et réceptionner des emails, ses équipes d’accéder aux services de Voix sur IP ou de se connecter à Internet d’une manière générale pour accéder à des services cloud comme Google GSuite ou Microsoft Office 365.
Tout cela nécessite que des services on-site ou à minima l’accès Internet de l’entreprise, qui ne peuvent pas être protégés par un CDN, continuent à fonctionner.
Protections de type volumétriques
De plus, en fonction du CDN, les protections fournies limitées aux protections de type volumétriques, alors que des attaques applicatives plus sophistiquées risquent de traverser le CDN et d’atteindre le site d’origine. En somme, la situation est souvent bien plus complexe qu’imaginée au premier abord.
Premièrement, il est important de bien comprendre le fonctionnement, pas seulement de son site Internet, mais de son entreprise dans sa globalité et d’effectuer une analyse de risque pour identifier les différentes menaces. Ensuite, selon les risques impliquant la disponibilité et/ou la qualité de service des communications, des services réseau et/ou des applications, il peut être utile de s’appuyer sur des fonctionnalités de protection fournies par son CDN – potentiellement plus capables pour des grosses attaques volumétriques – ou utiliser des protections plutôt de type « On-Premise », potentiellement plus précises et capables pour des attaques applicatives.
Souvent une protection optimale implique une protection hybride, combinant la précision et rapidité d’une solution « On-Premise », avec des capacités volumétriques suffisamment élevés proposées par un fournisseur de service de mitigation.
Dans certains cas le CDN peut-être un composant adapté, dans d’autres vous aurez besoin d’une capacité de protection volumétrique importante capable aussi à protéger votre site local. (Par Jouni Viinikka, Directeur R&D chez 6cure ; Frédéric Coiffier, Ingénieur Développement Logiciel chez 6cure)
Depuis quelques années maintenant, le constat est sans appel : la cybercriminalité est en constante hausse. Si l’on entend souvent parler des attaques à l’encontre de grands groupes internationaux, les PME sont également exposées. Ces dernières sont même aujourd’hui des cibles de choix pour les cybercriminels. Il est donc devenu une véritable nécessité pour les PME de se protéger contre ces criminels informatiques. Mais quels sont donc les risques qui menacent les PME et quels sont les moyens disponibles pour s’en prémunir efficacement ? Découvrez des éléments de réponse dans cet article.
Le phishing et le spear-phishing
Également connu sous le nom de « hameçonnage », le phishing est une méthode utilisée par les cybercriminels pour extorquer des données confidentielles et sensibles, souvent des coordonnées bancaires. Le but étant dans la plupart des cas de récupérer une grosse somme d’argent. Pour ce faire, les pirates informatiques envoient des mails d’apparence officielle et fiable. Cependant, il arrive qu’ils fassent également apparaître des fenêtres pop-up.
Quant au spear-phishing, il s’agit d’un hameçonnage très ciblé. Les cybercriminels prennent le temps de créer des messages personnels et pertinents. Pour duper leurs cibles, ils usurpent une adresse électronique et falsifient la section « de » de l’e-mail. Ils peuvent également cloner des sites web.
Pour lutter contre ce type d’attaques, la prudence reste la meilleure solution. Demandez à l’ensemble de votre personnel de bien analyser tous les mails qu’ils reçoivent avant de les ouvrir pour détecter tout mail frauduleux. Si les mails contiennent des liens, déplacez le curseur sur les liens avant de cliquer dessus. Vous pourrez ainsi voir vers quelles pages ils mènent. Toutefois, vous pouvez également recourir aux services d’Oppens, le coach cybersécurité des entreprises, pour sensibiliser et tester vos salariés.
Le pharming
Dans le cadre d’un phishing et d’un spear-phishing, les mails sont utilisés comme appât. Cependant, il arrive que les cybercriminels n’utilisent pas d’appât. On parle dans ce cas de pharming, autrement dit d’hameçonnage sans appât. Ce sont alors des malwares — programmes malveillants (virus, vers informatiques, chevaux de Troie) — qui sont utilisés à la place des mails. Lorsque ces malwares sont installés sur un ordinateur de votre PME, ils vous redirigent vers un site cloné où les cybercriminels vous extorqueront vos données personnelles.
Pour lutter contre le pharming, il est vivement recommandé d’installer un antivirus efficace et de vérifier régulièrement le certificat de sécurité des pages. Vérifiez également que le site sur lequel vous être redirigé est sécurisé et pour limiter les risques, choisissez toujours un fournisseur d’accès internet de confiance et reconnu. Si vous suspectez la présence d’un malware, détectez-le et détruisez-le avec votre antivirus. N’effectuez aucune transaction bancaire en ligne. Si vous avez des doutes, contactez par téléphone votre banque et demandez à votre conseiller de procéder à la modification de vos codes et autres mots de passe.
L’ingénierie sociale
Dans le cadre d’une telle attaque, le cybercriminel use de ruses pour gagner la confiance d’une personne de votre entreprise afin de lui soutirer par la suite des données et des informations sensibles telles qu’un mot de passe ou l’identité d’une personne clé au sein de l’entreprise. Cette manœuvre peut aussi avoir pour objectif d’inciter la personne dupée à télécharger inconsciemment un malware ou à cliquer sur des liens infectés.
Il existe plusieurs formes de techniques d’ingénierie sociale mais les plus courantes sont :
Le spoofing c’est-à-dire l’usurpation d’identité d’un collaborateur. Le cybercriminel peut usurper l’identité d’un collaborateur ou d’un administrateur système pour récupérer des mots de passe et des identifiants. Il peut également se faire passer pour un dirigeant ou un cadre afin d’ordonner un virement frauduleux. On parle alors de fraude au président.
Le phishing, le spear-phishing et le pharming.
Pour limiter les risques de se faire piéger, il est important de sensibiliser tous vos collaborateurs à ces manœuvres et à toutes les pratiques dangereuses sur internet. Il faut également penser à mettre en place une politique de sécurité efficace pour bien sécuriser tous vos terminaux informatiques, surtout ceux qui sont mobiles car ils sont les plus vulnérables.
Le ransomware
Le ransomware est connu sous de nombreux noms en français : le rançongiciel, le logiciel rançonneur, logiciel de rançon ou encore logiciel d’extorsion. Comme son nom l’indique, il s’agit d’un logiciel malveillant qui prend en otage des données d’un ordinateur ou encore d’un serveur. Pour ce faire, le cybercriminel chiffre et bloque vos données, notamment celles qui vous sont utiles pour bien fonctionner. Il demande ensuite une rançon souvent élevée en échange d’une clé qui donne droit au déchiffrage et au déblocage de vos ressources informatiques.
Le mode de paiement préféré des pirates informatiques dans le cadre d’une telle attaque est la cryptomonnaie (monnaie virtuelle) pour éviter tout risque d’être tracés. Si vous ne payez pas la rançon exigée, il peut exposer et rendre vos données publiques ou les livrer à vos concurrents. Il peut également tout simplement les supprimer. Dans tous les cas, vous serez dans une situation très embarrassante. Il est souvent recommandé de ne pas payer. Gérer la crise n’est pas simple alors faites vous aider.
Les écoutes illicites
Certains cybercriminels recourent aux écoutes clandestines pour obtenir les mots de passe, les coordonnées bancaires et autres coordonnées confidentielles de votre entreprise. Pour ce faire, ils interceptent le trafic réseau. Ces écoutes peuvent être :
Passives : le pirate informatique procède au vol de données et d’informations en écoutant les transmissions de messages sur le réseau.
Actives : le pirate informatique usurpe l’identité d’une personne liée à l’entreprise et envoie des requêtes pour s’emparer des données et des informations de l’entreprise. On parle dans ce cas de sondage, sabotage ou encore de scan.
Pour lutter contre ces écoutes illicites, la meilleure solution reste à ce jour le chiffrement des données. Il faut également sensibiliser votre personnel, surtout les employés en télétravail, à n’envoyer des données sur le réseau que lorsque c’est vraiment indispensable.
Microservices, une technique de développement logiciel comme l’exprime Wikipedia. Sa mission, structurer une application comme un ensemble de services faiblement couplés. Les microservices indépendants communiquent les uns avec les autres en utilisant des API indépendantes du langage de programmation. Ce petit monde demande une véritable réflexion sécurité. Explication!
La société de cybersécurité Québécoise 8Brains vient de publier une réflexion sur la sécurité et les architectures microservices. L’avènement des Architectures Microservices requière une approche différente dans la mise en place des pratiques de sécurité.
Construire ce type d’Architecture ? Garder à l’esprit que la sécurité doit être adaptée à ces nouvelles règles.
Une Architecture Microservices n’a pas une équipe dédiée. Bilan, sa sécurité est multiple. Les équipes qui livrent le nouveau service se doit de se pencher sur la sécurité de son livrable.
Un aspect organisationnel souvent négligé « voir complètement oublié » indique Bruno Philippe, spécialiste des architectures de sécurité au sein de 8Brains.
D’abord, pour un Microservice donné, l’équipe en charge doit définir sa couche technique (Framework) : le(s) langage(s) utilisé(s), son dépôt de données, les mécanismes de déploiement, les mécanismes d’échanges avec les autres Microservices, etc.
Cette équipe doit donc se poser notamment les questions suivantes : Quelle taille doit faire notre Microservice ? Que doit contenir notre Microservice comme logiciels ? Pour un langage donné, quels sont les principes de développement sécurisés ? Pour un outil de déploiement donné, y-a-t-il des alertes de sécurité ? Si oui, sont-elles installées ? Quelles sont les autres Microservices qui échangent avec le nôtre ? Que devons-nous échanger ?
L’article complet, avec les réponses, à découvrir ici.
Une étude commanditée auprès de Forrester Consulting révèle une exposition croissante des acteurs industriels aux cybermenaces, une des conséquences de leur transformation digitale. Le manque de collaboration entre les équipes IT (Information Technology) et celles en charge de l’informatique industrielle (OT – Operational Technology) constitue également un frein à la cybersécurité des entreprises qui souhaitent tirer pleinement parti de la convergence IT/OT pour augmenter leur compétitivité.
Les industriels se sont engagés dans la transformation digitale de leur outil de production, pour doper leur productivité et améliorer leur capacité à recueillir des données liées à leur processus de production. 66% des personnes interrogées indiquent que leurs usines disposent de réseaux IP et qu’elles utilisent des données en temps-réel dans le cadre de leur prise de décision. Cependant, ces réseaux IP génèrent de nouveaux risques de cybersécurité et une expansion de la surface d’attaque, comme le reconnaissent 73% des répondants. Dans le même temps, seule la moitié des répondants estime que leur outil de production est suffisamment préparé pour lutter efficacement contre les menaces de cybersécurité. Ceci laisse l’autre moitié plus vulnérable, d’autant que 55% des interrogés n’ont aucun projet de déployer des technologies de cybersécurité au cours des 12 prochains mois.
Autre constat important : les systèmes de contrôle industriel subissent un risque important, compte tenu du manque de collaboration entre l’IT et l’OT. 51% des personnes interrogées déclarent opérer de manière cloisonnée : les équipes OT gèrent ainsi les équipements industriels critiques et la cybersécurité OT, tandis que les équipes IT sont responsables de la cybersécurité IT. Entre un quart et un tiers des personnes sondées ignorent qui détient la principale responsabilité pour les solutions de cybersécurité associées aux processus, aux systèmes de contrôle et d’automatisation, à la planification métier et à la logistique. Cependant, 91% d’entre elles estiment que la sécurité des machines de production doit être une responsabilité partagée entre l’IT et l’OT, tandis que 58% pensent que des communications claires et régulières sont importantes pour échanger sur la vision de la convergence IT/OT, et ainsi la mener à bien.
Les entreprises ont tout à gagner d’une collaboration étroite entre les équipes IT et OT. Les principaux avantages sont un accès aux données en temps-réel issues des opérations de production (66%), ainsi que la création et la monétisation de nouvelles opportunités business grâce à une visibilité plus claire sur les données de production (59%). Ce sont également des gains de productivité qui sont au rendez-vous, avec 43% des personnes interrogées qui déclarent constater moins de doublons entre les processus et workflows d’un site de production à l’autre, ainsi qu’une visibilité plus fine qui permet de maîtriser les menaces de sécurité.
Joe Sarno, VP International Emerging & Operational Technology & Critical Infrastructure EMEA, Fortinet : « Les entreprises industrielles doivent rapprocher l’IT et l’OT dans le cadre de leurs opérations. Il s’agit de nouer un lien de confiance entre les équipes de ces deux disciplines, pour mener à bien cette convergence IT/OT. Au fur et à mesure que la surface d’attaque s’élargit, les équipes IT et OT doivent collaborer pour améliorer la visibilité sur les menaces et les neutraliser. C’est la raison pour laquelle Fortinet investit beaucoup de temps et de ressources dans la Recherche et le Développement pour ses solutions de cybersécurité industrielle. »
Forrester Consulting a mené une enquête en ligne sur plusieurs pays : Inde, Turquie, Royaume-Uni, Espagne, Pologne, Allemagne, Slovaquie, Italie, France, République tchèque et Pays-Bas. L’objectif était d’évaluer les techniques utilisées par les entreprises industrielles pour gérer leur sécurité, les rôles et responsabilités entre IT et l’OT, ainsi que les défis et les opportunités qu’offre la convergence IT/OT. L’enquête a porté sur 459 décideurs IT et OT en charge des systèmes de contrôle industriel au sein d’entreprises industrielles de 1 000 collaborateurs ou plus (automobile, transport, fabrication, génie maritime et aéronautique), sur l’Europe et en Inde.
Entre août et octobre 2019, augmentation mensuelle du nombre d’attaques par force brute. Durant la même période, environ deux tiers des malwares détectés comportaient une fonction de collecte de mots de passe. Parmi ceux-ci, Emotet a été le plus répandu (56 % des détections), suivi d’Agent Tesla (25 %).
Selon l’étude 2019 Global Password Security Report de LastPass, un collaborateur d’une grande entreprise (comptant plus de 1000 salariés) doit en moyenne mémoriser jusqu’à 25 identifiants distincts. Dans les petites entreprises, cette moyenne atteint même 85. Cela amène inévitablement certains employés à réutiliser des mots de passe ou des variantes faciles à retenir – et donc à découvrir – ou encore à se servir de mots de passe aisément découverts par une attaque par dictionnaire.
Des cyberattaques dopées à l’IA
Le risque d’attaques par dictionnaire ou par force brute accentué si le cybercriminel peut recueillir des informations sur l’utilisateur via les réseaux sociaux, multipliant ainsi ses chances d’identifier des centres d’intérêt que l’utilisateur pourrait reprendre dans ses mots de passe habituels. Ils peuvent également exploiter des données ayant fuité précédemment au sujet de la cible afin de deviner plus efficacement sa façon de construire ses mots de passe.
Il est probable que les outils de force brute utilisant l’IA vont proliférer ou être utilisés en conjonction avec les techniques actuelles permettant de deviner les mots de passe. Des outils tels que Hashcat ou John the Ripper font déjà preuve d’une grande efficacité. Cependant, il existe un nombre maximal de mots de passe que ces programmes peuvent deviner et ceux-ci nécessitent des années de codage manuel et d’améliorations pour parvenir à ce niveau de précision.
Force brute
Heureusement, même si les outils d’attaques par force brute ne cessent de se perfectionner en termes d’efficacité, il existe toujours des moyens de s’en protéger. Les utilisateurs peuvent appliquer des mesures simples, à commencer par l’utilisation d’un mot de passe fort et distinct pour chaque identifiant. Ils peuvent également éviter l’usure des mots de passe au fil du temps en se servant d’un gestionnaire de mots de passe pour leur renouvellement.
Au-delà des règlements et des formations (destinées à sensibiliser les utilisateurs) ou encore des mesures techniques, les entreprises peuvent atténuer l’efficacité des attaques par force brute en appliquant l’authentification multifacteurs et en limitant le nombre de saisies d’un identifiant incorrect avant le blocage temporaire du compte correspondant.
De nos jours, la majorité des entreprises ont recours à un système de caméras de surveillance, que ce soit dans leurs bureaux ou leurs entrepôts. Supposées éloigner ou attraper des potentiels malfaiteurs, ces caméras sont aujourd’hui un nouveau danger car la technologie actuelle permet à certains pirates de contrôler les systèmes de surveillance à distance. Pour éviter cela, il faut comprendre le fonctionnement des caméras, connaître les meilleurs modèles et apprendre à protéger son système de surveillance efficacement.
Comment les pirates agissent-ils ?
À l’époque, les caméras de surveillance étaient reliées par des câbles permettant de filmer et de relayer l’information sur un écran. Actuellement, la plupart des systèmes utilisent une connexion Internet (Wi-Fi) afin de relier leurs caméras, et c’est de là que le danger peut survenir. En effet, les pirates prennent contrôle du système de surveillance en s’y infiltrant par le Wi-Fi. Nombreuses sont les personnes qui ne protègent pas leurs caméras avec un mot de passe réellement sécurisé, ce qui est une porte ouverte aux malfaiteurs. Ceci est aussi valable pour les caméras de particuliers qui ont un système de sécurité à leur domicile.
Quel modèle choisir ?
Les caméras de sécurité ont beaucoup évolué et sont maintenant facilement accessibles au grand public. Ceci n’est pas forcément avantageux pour les entreprises car certains fabricants, au prix de la compétitivité, mettent sur le marché des nouveautés qui ne sont pas d’une grande qualité au niveau sécuritaire. C’est pour cela qu’en tant qu’entreprise (ou même particulier), il vous faut faire appel à un fournisseur professionnel et sérieux, comme par exemple RS Components en ligne, qui garantira un meilleur niveau de sécurité. Ensuite, au niveau du type de caméra, cela dépendra de la zone que vous avez à filmer. Les caméras thermiques appréciées car excellentes pour les entrepôts plutôt grands et obscurs, vu que le manque de lumière ne les affecte pas. Pour des zones où vous souhaitez avoir une image standard, plusieurs options s’offrent à vous au niveau de la qualité de résolution, de la forme et de l’adaptation à la lumière, choix qui se feront en fonction de la zone à filmer.
Comment se protéger ?
La première chose à faire est de définir un mot de passe avec un niveau élevé de sécurité car cela peut être le premier obstacle pour un pirate. Ensuite, si vous êtes inquiet pour votre webcam d’ordinateur, installez un antivirus. En ce qui concerne les entreprises et les systèmes de surveillance plus gros, il est nécessaire de choisir un type de caméra sûr mais aussi de se renseigner sur les possibles failles du modèle en question car les pirates adapteront leur tactique en repérant celui auquel ils ont à faire. Finalement, si vous le souhaitez, il est aussi possible d’installer des caméras en circuits fermés. C’est-à-dire non connectées à un réseau, ce qui immunise efficacement contre les piratages en ligne.
La menace
La menace des piratages de caméras de surveillance est bien réelle. La première étape vers une meilleure sécurité est de se renseigner sur la manière dont les pirates agissent et sur les moyens disponibles pour se protéger, que vous soyez une entreprise ou un particulier. En bref, assurez-vous d’acheter votre système de surveillance chez un professionnel, renseignez-vous sur les failles et n’oubliez pas les réflexes de base comme l’installation d’un mot de passe à sécurité élevée.
Conçu en 2011 pour répondre aux missions opérationnelles de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) en matière d’investigation et de réponse à incident, le logiciel DFIR ORC (pour Outil de recherche de compromission) n’a cessé d’évoluer pour regrouper un ensemble d’outils qui permettent la recherche, l’extraction et la mise à disposition de données forensiques dans un environnement Microsoft Windows… à l’échelle d’un parc entier ! L’outil, intégralement libre, est aujourd’hui publié par l’agence à l’usage des acteurs et des professionnels de la communauté.
Créé et utilisé de longue date par les équipes de l’ANSSI, le logiciel de collecte DFIR ORC regroupe un ensemble d’outils qui permettent la recherche, l’extraction et la mise à disposition des données forensiques. Il a été entièrement conçu afin de fonctionner dans l’écosystème Microsoft Windows de façon décentralisée et à grande échelle.
« Après 8 ans d’usage, DFIR ORC a été utilisé sur plus de 150 000 postes dans le cadre de nos activités opérationnelles en matière de réponse à incident. » indique François Deruty, sous-directeur Opérations de l’ANSSI.
En s’engageant dans une démarche d’ouverture avec la communauté de la sécurité numérique, l’ANSSI souhaite aujourd’hui partager cet outil mature qu’elle utilise au quotidien depuis plusieurs années*. [https://dfir-orc.github.io]
DFIR ORC – POUR QUI ? POUR QUOI ?
DFIR ORC s’adresse aux professionnels de la sécurité informatique soucieux d’acquérir les données nécessaires à la réponse aux incidents de sécurité de façon fiable, ainsi qu’à tous les développeurs qui souhaiteront s’en inspirer ou contribuer à son développement.
DFIR ORC peut être déployé sur l’intégralité d’un parc Microsoft Windows, tout en minimisant l’impact sur son fonctionnement normal. Il assure ainsi la collecte des informations souhaitées avec une exigence de fiabilité, de qualité et de traçabilité, sans modifier la configuration des machines analysées, tout en minimisant les risques d’altérations des données collectées.
Par son usage, DFIR ORC permet donc de disposer d’une vision de l’état du parc au moment de la collecte. Il ne vise cependant pas à pratiquer une analyse sur les données collectées : c’est le rôle de spécialistes disposant d’une méthodologie et d’outils adaptés.
CONTRIBUEZ AU DÉVELOPPEMENT DE DFIR ORC
DFIR ORC est un outil modulaire, configurable, qui peut embarquer d’autres outils, notamment ceux qui sont déjà proposés par l’agence. Avec la publication de DFIR ORC, l’ANSSI partage le code source, la procédure de compilation ainsi que des exemples de configuration de l’outil. Tous ces éléments permettent la génération d’un outil fonctionnel adapté à l’usage souhaité.
« À travers DFIR ORC, nous avons l’ambition de contribuer activement à la vie de la communauté de la réponse à incident, en lui permettant de s’approprier et de développer l’outil à sa manière », ajoute François Deruty. L’ANSSI souhaite encourager l’émergence d’une communauté publique de développeurs et d’utilisateurs de l’outil, pour favoriser sa montée en maturité et l’apparition de nouvelles fonctionnalités. L’agence continuera de même à développer DFIR ORC, et publiera régulièrement des mises à jour de l’outil. L’agence invite tous les acteurs de la communauté à enrichir dès à présent ce projet avec nos équipes.
À mesure que les adresses IPv4 deviennent des produits de valeur, des systèmes de fraude élaborés apparaissent. Les propriétaires d’entreprise ont besoin de partenaires industriels experts pour optimiser et protéger leurs actifs d’adresses IP
Début du mois de septembre, les médias sud-africains ont révélé un système de fraude complexe dans lequel les adresses IPv4 d’une valeur d’au moins 30 millions de dollars sur le marché de l’occasion avaient été volées ou détournées par de grandes sociétés multinationales basées en Afrique du Sud.
La plupart des propriétaires enregistrés n’étaient pas au courant de cette violation de leurs propriétés. Les « pirates » exploitant des structures de propriété complexes. De plus, les propriétaires légitimes peu familiarisés avec la valeur des actifs considérables de leurs stocks d’adresses IPv4.
Parmi les ensembles d’adresses, il y avait un certain nombre de «blocs hérités» particulièrement précieux. Des ensembles d’adresses IP mises en place avant la création de registres Internet régionaux (RIR). Donc totalement libres d’utilisation.
« Nous remarquons souvent que les entreprises qui ont obtenu d’importants groupes d’IPv4 alors qu’ils étaient encore disponibles n’ont pas conscience de leur valeur. Auparavant, des milliers d’adresses étaient gratuites. Aujourd’hui, une adresse unique peut valoir jusqu’à 30 dollars », commente Vincentas Grinius, PDG de Heficed, une société proposant des solutions d’infrastructure réseau centrées sur la fourniture et la gestion des adresses IP.
Fraude IPv4
Comme pour les VPN, les adresses numériques sont devenues des contenus très courus.
La fraude IPv4 est devenue un problème de plus en plus urgent au cours de la dernière décennie. En effet, les adresses IP omniprésentes sont en réalité une ressource limitée. Leurs sources initiales, les RIR desservant chacune une région continentale, sont presque épuisées, et AFRINIC est la seule à les attribuer avec une relative facilité.
Les adresses IP étant toutefois localisées, les adresses africaines ne servent qu’à un usage limité – pour exploiter un serveur en Europe ou en Amérique, un utilisateur a besoin d’une adresse IP européenne ou américaine. Ceci est particulièrement pertinent pour les clients dépendant de la latence, comme ceux qui opèrent dans des domaines où la concurrence est rude.
Business de l’IPv4
Quiconque a besoin d’adresses IPv4 doit donc les obtenir sur le marché de l’occasion. Comme dans tout marché de produits de base, la fraude constitue également un problème.
Même dans les pays hautement réglementés comme les États-Unis, les fraudeurs s’attaquent toujours aux ressources de grande valeur.
Les adresses se récupérent. Mais cela prend souvent un temps considérable et beaucoup d’investissements.
Il est souvent impossible pour les grandes entreprises de suivre correctement les droits de propriété sur IPv4.
« Comme pour tous les biens immatériels complexes, tels que les stocks ou les actifs virtuels, les fournisseurs d’infrastructure de réseau intermédiaire remplissent plus que la fonction de commerçant. Ils commercialisent, gèrent et gèrent les ressources de leurs clients », explique Grinius.
Traiter des détails techniques tels que les adresses IP est souvent laissé de côté par les entreprises. Encore faut-il qu’elles sont au courant du problème.
Pour le moment, le seul moyen d’éviter des violations de la sécurité potentiellement dommageables est de travailler avec des partenaires de confiance dans la recherche et la gestion d’adresses IPv4. Avec une forte demande encourageant la fraude, les autorités existantes sont tout simplement surmenées.
Des failles de sécurité dans des traceurs GPS, plus d’un demi-million d’enfants et de personnes âgées concernés.
a découvert de sérieuses failles de sécurité dans le T8 Mini GPS tracker et dans près de 30 autres modèles du même fabricant, Shenzhen i365 Tech. Commercialisés pour garantir la sécurité des enfants, des personnes âgées, des animaux domestiques et même des biens personnels, ces appareils dévoilent toutes les données envoyées dans le cloud, y compris les coordonnées GPS exactes en temps réel. De plus, des défauts de conception peuvent permettre à des tiers indésirables d’usurper la localisation ou d’accéder au microphone à des fins d’écoute illicite. Les chercheurs du Threat Labs d’Avast estiment à 600 000 le nombre de traceurs non protégés utilisés dans le monde, mais ils soulignent que ces problèmes de sécurité de l’IoT dépassent largement le cadre d’un seul fournisseur.
Martin Hron, Senior Researcher, chez Avast, qui est à l’origine de cette étude, conseille aux acheteurs de ces produits de choisir une solution alternative auprès d’une marque plus fiable intégrant une la sécurité dès la conception du produit : connexion sécurisée, un chiffrement des informations.
Comme pour tout appareil prêt à l’emploi, modifier les mots de passe par défaut de l’administrateur. En choisir un complexe.
Cependant, dans ce cas précis, cela n’empêchera pas une personne motivée d’intercepter le trafic non chiffré. « Nous avons fait preuve de toute la diligence voulue en communiquant ces vulnérabilités au fabricant, mais comme nous n’avons pas eu de réponse dans le délai habituel, nous publions ce message d’intérêt public à l’attention des consommateurs et vous recommandons fortement de cesser d’utiliser ces appareils», explique Martin Hron.
Signaux d’alerte dès la sortie de l’emballage
Le Threat Labs d’Avast a d’abord analysé la procédure de démarrage du T8 Mini, en suivant les instructions pour télécharger l’application mobile à partir du site http://en.i365gps.com — en l’occurrence, un site Web desservi par le protocole HTTP plutôt que par celui du HTTPS, plus sécurisé. Les utilisateurs peuvent alors se connecter à leur compte avec le numéro d’identification attribué. Le mot de passe par défaut très générique « 123456 ».
Ces informations sont transmises via un protocole HTTP non « secure ».
Le numéro d’identification dérivé de l’International Mobile Equipment Identity (IMEI) de l’appareil ; les chercheurs ont donc pu facilement prédire et répertorier les numéros d’identification possibles d’autres traceurs de ce fabricant.
En combinaison avec le mot de passe fixe, pratiquement n’importe quel appareil suivant cette séquence de numéros IMEI étaient piratables sans le moindre effort.
Rien n’est chiffré
À l’aide d’un simple outil de recherche de commandes, les chercheurs découvrent les informations en texte brut. Sans chiffrement.
Il est encore plus inquiétant de constater que l’appareil peut envoyer des commandes qui vont au-delà de l’usage prévu de suivi GPS, telles que :
appeler un numéro de téléphone, permettant ainsi à un tiers d’écouter les conversations à travers le microphone du traceur ;
envoyer un SMS qui pourrait permettre au hackers d’identifier le numéro de téléphone de l’appareil et donc d’utiliser le SMS entrant comme vecteur d’attaque ;
utiliser les SMS pour rediriger la communication de l’appareil vers un autre serveur afin d’obtenir le total contrôle de cet appareil ou de fausses informations envoyées vers le cloud ;
partager une URL vers le traceur, permettant à un attaquant à distance de placer un nouveau firmware sur l’appareil sans même y toucher, qui pourrait remplacer complètement la fonctionnalité ou implanter un backdoor.
Sans surprise, les chercheurs ont également découvert que l’application mobile AIBEILE (disponible sur Google Play et iOS App Store) communiquait avec le cloud via un port HTTP non standard, TCP:8018, envoyant du texte brut non chiffré au terminal. Après avoir examiné minutieusement l’appareil lui-même pour analyser la façon dont il communique avec le cloud, le Threat Labs d’Avast a confirmé que les données transitent à nouveau sans être chiffrées, du réseau GSM au serveur, sans aucune autorisation.
Ce que les consommateurs devraient retirer de cette étude
Outre l’appareil qui fait l’objet de cette étude, 29 autres modèles de traceurs GPS présentant ces vulnérabilités. La plupart des fournisseurs mentionnés ci-dessus. 50 applications mobiles différentes utilisent la même plateforme non « secure ».
Les chercheurs estiment qu’il existe plus de 600 000 appareils dans la nature dont les mots de passe par défaut sont « 123456 ».
Des applications mobiles téléchargées près de 500 000 fois. Le fabricant n’a donné aucune réponse aux avertissements.
En tant que parents, nous sommes enclins à adopter les technologies qui nous promettent de protéger nos enfants. Se renseigner sur les produits que nous achetons est indispensable.
Méfiez-vous des fabricants qui ne respectent pas les normes minimales de sécurité. Qui n’ont pas de certification ou homologation par des tiers.
Choisissez uniquement des marques en qui vous avez confiance pour protéger vos informations.
Échappant aux mesures de sécurité traditionnelles, les menaces 2019 mettent les systèmes de défense à rude épreuve.
Un rapport publié met en évidence une recrudescence des attaques sans fichiers (fileless) visant à masquer des activités malveillantes. En comparaison avec le premier semestre 2018, les détections de cette menace spécifique ont augmenté de 265 %. Des analyses courant sur le premier semestre 2019.
Jusqu’à présent, les constatations réalisées en 2019 confirment bon nombre des prévisions faites par Trend Micro en fin d’année dernière. Les attaquants redoublent notamment d’efforts pour cibler les entreprises et les environnements offrant le plus grand retour sur investissement.
« Sophistication et discrétion sont aujourd’hui les maîtres mots en matière de cybersécurité, à mesure que les technologies au sein des entreprises et que les attaques des cybercriminels deviennent plus connectées et intelligentes », souligne Renaud Bidou, Directeur Technique Europe du Sud, Trend Micro. « Nous avons pu constater que les hackers ont des objectifs précis, avec des attaques ciblées et ingénieuses qui exploitent de manière furtive le facteur humain, les processus et la technologie. Cependant du côté des entreprises, avec la transformation numérique et les migrations vers le Cloud, la surface d’attaque s’est considérablement élargie. Pour faire face à cette évolution, les organisations ont besoin d’un partenaire technologique capable de combiner l’expertise humaine à des technologies de sécurité avancées afin de mieux détecter, corréler, traiter et contrecarrer les menaces. »
Parallèlement à la prolifération des attaques sans fichiers, les cybercriminels déploient de plus en plus de menaces non détectables via les filtres de sécurité classiques, car elles peuvent être exécutées en mémoire d’un système, résider dans la base de registre ou usurper des outils légitimes. Les kits d’exploits reviennent également en force, avec une augmentation de 136 % en comparaison de la même période en 2018.
Attaque Fileless
Les malwares destinés au minage de cryptomonnaies demeurent la menace la plus détectée au premier semestre 2019 et touchent de plus en plus les serveurs et les environnements Cloud. Autre prévision corroborée : le nombre de routeurs impliqués dans de potentielles attaques entrantes a bondi de 64 % comparé au premier semestre 2018, avec davantage de variantes de Mirai recherchant des appareils vulnérables.
En outre, le nombre de stratagèmes d’extorsion numérique connaît une hausse de 319 % par rapport au second semestre 2018, ce qui concorde avec les projections précédentes. Les attaques de type BEC (Business Email Compromise) constituent toujours une menace substantielle, avec une augmentation de 52 % des cas détectés comparativement aux six derniers mois. Les fichiers, e-mails et URL liés aux ransomwares continuent également de se multiplier (+77 % au cours de la même période).
Au total, 26,8 milliards de menaces au cours du premier semestre 2019 ont été bloquées, soit 6 milliards de plus qu’à la même période l’année dernière. À noter que, dans 91 % des cas, l’e-mail a été le vecteur d’infection des réseaux d’entreprises. (Rapport)
Actualités cybersécurité, protections des données pour PME/PMI/TPE
