Archives de catégorie : Securite informatique

SneakyPastes : une opération basique mais efficace du cybergang Gaza frappe des cibles liées au Moyen-Orient dans 39 pays

En 2018, le cybergang Gaza, dont nous savons désormais qu’il comprend plusieurs groupes plus ou moins sophistiqués, a lancé une opération de cyberespionnage ciblant des personnes et des institutions ayant un intérêt politique en lien avec le Moyen-Orient. La campagne, nommée SneakyPastes, utilisent des adresses e-mail jetables pour propager l’infection par phishing, avant de télécharger le malware par étapes successives depuis divers sites gratuits. Cette méthode peu coûteuse mais efficace a permis au groupe de frapper environ 240 victimes d’envergure dans 39 pays à travers le monde, notamment des responsables politiques, des diplomates, des activistes ou des médias.

Le cybergang Gaza est un collectif arabophone à motivations politiques, rassemblant des groupes malveillants étroitement liés qui ciblent activement le Moyen-Orient et l’Afrique du Nord, en particulier les Territoires palestiniens. Kaspersky Lab a identifié au moins trois de ces groupes ayant des objectifs et des cibles similaires – pour du cyberespionnage lié à des intérêts politiques dans la région – mais présentant des outils, techniques et niveaux de sophistication très différents. Il existe cependant des éléments communs à chacun d’entre eux.

Le cybergang Gaza

Parmi ces groupes, les plus avancés sont Operation Parliament et Desert Falcons, identifiés respectivement depuis 2018 et 2015, aux côtés d’un groupe sous-jacent moins complexe, également connu sous le nom de MoleRats, actif depuis au moins 2012. Au printemps 2018, ce groupe de base a lancé l’opération SneakyPastes.

SneakyPastes a commencé par des attaques de phishing autour de thèmes politiques, propagées à l’aide d’adresses e-mail et de domaines « jetables » (à usage unique). Les liens ou fichiers joints malveillants sur lesquels les destinataires cliquaient ou où qu’ils téléchargeaient installaient ensuite l’infection sur leur machine.

SneakyPastes

Afin d’échapper aux systèmes de détection et de masquer la localisation du serveur de commande et de contrôle (C&C), un malware supplémentaire était téléchargé sur les machines des victimes par étapes successives depuis divers sites gratuits, notamment Pastebin et Github. Les différents implants malveillants utilisaient PowerShell, VBS, JS et dotnet pour assurer leur résilience et leur persistance à l’intérieur des systèmes infectés. La dernière étape de l’intrusion était un cheval de Troie à accès distant (RAT), qui contactait le serveur C&C puis collectait, compressait, cryptait et transférait vers celui-ci un large éventail de documents volés (tableaux de chiffres, par exemple). L’opération SneakyPastes tire son nom de l’utilisation massive, par les auteurs de l’attaque, de sites de collage (paste) pour infiltrer progressivement le RAT dans les systèmes des victimes.

Les chercheurs ont collaboré avec les autorités afin de mettre au jour le cycle complet d’attaque et d’intrusion de l’opération SneakyPastes. Ces efforts ont permis d’aboutir, non seulement à une connaissance détaillée des outils, techniques, cibles, etc., mais aussi au démantèlement effectif d’une grande partie de l’infrastructure.

Territoires palestiniens, en Jordanie, en Israël et au Liban

L’opération SneakyPastes a connu son pic d’activité entre avril et mi-novembre 2018, se concentrant sur une liste restreinte de cibles constituées d’entités diplomatiques et gouvernementales, d’ONG et de médias. D’après les données télémétriques, il semble exister environ 240 victimes d’envergure – individus ou institutions – dans 39 pays à travers le monde, dont la majorité se trouve dans les Territoires palestiniens, en Jordanie, en Israël et au Liban. Il s’agit notamment d’ambassades, d’administrations, de médias et de journalistes, d’activistes, de partis politique ou de particuliers, ainsi que d’établissements dans les secteurs de l’éducation, de la banque et de la santé ou encore des organisations contractantes.

« La découverte de Desert Falcons en 2015 a marqué un tournant dans le paysage des menaces car il s’agissait alors de la première APT connue qui soit entièrement arabophone. Nous savons à présent que ses auteurs, le cybergang Gaza, ciblent activement des intérêts moyen-orientaux depuis 2012. Celui-ci s’appuyait au départ sur les activités d’une équipe assez peu sophistiquée mais acharnée, à l’origine de l’opération SneakyPastes en 2018. SneakyPastes montre que le manque d’infrastructures et d’outils avancés n’est pas un obstacle au succès. Nous nous attendons à voir les dommages causés par les trois groupes du cybergang Gaza s’intensifier et leurs attaques s’étendre à d’autres régions du monde qui sont également liées à la question palestinienne », commente Amin Hasbini, responsable du centre de recherche pour le Moyen-Orient au sein de l’équipe GReAT (Global Research & Analysis Team).

Secure File Transfer : nouveau site de téléchargement en mode chiffré

Une société néerlandaise met en ligne un concurrent à Wetransfer. Originalité du service, utiliser le chiffrement bout-à-bout pour sécuriser les communications.

L’entreprise KPN vient de mettre en ligne un nouveau service de transfert de fichiers. Son nom : Secure File Transfer. SFT permet de diffuser ses fichiers comme Wetransfer.

A la différence de ce dernier, Secure File Transfer propose un chiffrement de type bout-en-bout. Le système est assez étonnant.

Si vous souhaitez envoyer un fichier, un code QR apparaît. Il faut transférer l’information à votre destinataire sous forme de photographie. Ce dernier doit scanner l’image avec sa webcam afin de pouvoir télécharger le document que vous souhaitez lui transmettre. Vous pouvez communiquer jusqu’à 4go de données. L’expéditeur peut paramétrer la durée de disponibilité et le nombre de téléchargement possible.

Une fois votre fichier téléchargé, un QR Code est généré, ainsi qu’un lien de transfert. Il est possible de rajouter un mot de passe.

La version bêta de ce service est accessible.

Faille pour Windows : possible de copier vos fichiers à distance

Un chercheur en cybersécurité découvre comment des pirates pourraient vous voler des fichiers via Internet Explorer… même si le navigateur est fermé.

Un chercheur en sécurité informatique, John Page (Hyp3rlinx), a découvert comment il était possible de prendre la main sur vos fichiers via un ordinateur sous Windows 7, 10 et Server 2012. Une attaque qui exploite Internet Explorer.

Le plus inquiétant est que le navigateur n’a pas besoin d’être ouvert pour que l’infiltration fonctionne. Un pirate doit motiver son interlocuteur à ouvrir un fichier, envoyé par mail ou via un lien. Mission, ouvrir un fichier MHT particulièrement formulé.

Via ce MHT, le pirate peut copier les fichiers de votre ordinateur. Comme le précise ZDNET, Microsoft alertée. La réaction peu rapide du géant américain a motivé John Page a révélé la faille.

python -m SimpleHTTPServer

Lors de l’ouverture locale du fichier « .MHT » malveillant, il convient de lancer Internet Explorer. Ensuite, les interactions utilisateur telles que l’onglet en double « Ctrl + K » et d’autres interactions, telles que les commandes « Aperçu avant impression » ou « Imprimer » effectuées par un clic droit sur la page Web peuvent également déclencher la vulnérabilité.

Testé avec succès dans le dernier navigateur Internet Explorer (11), avec les derniers correctifs de sécurité.

Microsoft indique « qu’une solution à ce problème serait prise en compte dans une future version de ce produit ou service. Pour le moment, nous ne fournirons pas de mises à jour régulières sur l’état du correctif relatif à ce problème, et nous avons classé cette affaire ».

De nouvelles vulnérabilités des routeurs Verizon exposent des millions de consommateurs

Selon une étude Tenable, des pirates pourraient obtenir le contrôle complet des routeurs domestiques Verizon et l’accès au trafic du réseau sans avoir besoin d’un accès physique à l’appareil.

Une équipe de recherche a découvert de multiples vulnérabilités dans les routeurs Verizon Fios Quantum Gateway. Si elles étaient exploitées, les vulnérabilités donneraient à l’attaquant un contrôle total sur le routeur et une visibilité sur tout ce qui y est connecté. Des millions de ces appareils sont actuellement utilisés dans les foyers américains.

L’essor de la maison intelligente a fait du simple routeur une cible de choix pour les cybercriminels. Ces dernières vulnérabilités découvertes par Tenable Research (CVE-2019-3914, CVE-2019-3915 et CVE-2019-3916) ouvrent la voie à un certain nombre de scénarii d’attaque qui permettent d’accéder aux dispositifs intelligents, comme les systèmes de sécurité domestiques, qui sont connectés au routeur et peuvent être compromis à distance. Un attaquant pourrait altérer les paramètres de sécurité de l’appareil, modifier les règles du pare-feu ou supprimer les contrôles parentaux. Ils pourraient surveiller le trafic réseau pour compromettre davantage les comptes en ligne d’une victime, voler ses coordonnées bancaires et récupérer ses mots de passe.

« Les routeurs sont aujourd’hui la plaque tournante de toute la maison intelligente. Ils nous permettent de rester connectés à Internet, de sécuriser nos maisons et même de déverrouiller les portes à distance, explique Renaud Deraison, cofondateur et CTO chez Tenable. Mais ils servent aussi de point d’entrée virtuel au cœur même de la maison moderne, contrôlant non seulement ce qui sort, mais aussi qui entre. »

Verizon a indiqué que la version 02.02.00.13 du firmware traitera ces vulnérabilités et que les périphériques concernés seront mis à jour à distance.

Buckets open cloud : 52 secondes suffisent pour qu’un Serveur Cloud se fasse attaquer par des pirates

Buckets open cloud : Une étude indique qu’il suffirait de 52 secondes pour qu’un serveur cloud soit sous les tirs d’une cyberattaque. L’étude porte sur 10 serveurs cloud honeypots, répartis dans le monde. L’enquête révèle un réel besoin en visibilité et de sécurité pour protéger ce que les entreprises mettent sur des plateformes hybrides et tout-cloud.

Il a fallu moins de 40 minutes en moyenne pour que des cybercriminels attaquent des serveurs cloud honeypots déployés sur 10 sites différents répartis dans le monde entier, le site de São Paolo au Brésil faisant l’objet de l’attaque la plus rapide, au bout de 52 secondes seulement. Les serveurs basés à Paris ont subi une première tentative de connexion malveillante au bout de 17 minutes et 20 secondes seulement, ce qui fait de Paris la ville d’Europe touchée le plus rapidement par ces attaques (et la 4ème ville au niveau mondial).

Paris est la deuxième ville d’Europe la plus ciblée en terme de nombre d’attaques – les honeypots hébergés sur des serveurs à Paris ont subi 612 885 attaques en trente jours (juste derrière l’Irlande avec 616 232 attaques). Les serveurs cloud ont été, en moyenne, la cible de 13 tentatives d’attaque par minute et par honeypot.

5 millions d’attaques

Plus de 5 millions de tentatives d’attaques ont été détectées sur tous les honeypots, et ce sur une période de 30 jours.

Ces 10 centres de données parmi les plus populaires au niveau d’Amazon Web Services (AWS) dans le monde, ont été testés pendant 30 jours. On compte parmi eux des emplacements à Paris, à Francfort, à Londres, en Irlande, en Californie, en Ohio, à Mumbai, à São Paulo, Singapour ou encore à Sydney.

Les résultats montrent ainsi comment les cybercriminels recherchent automatiquement les buckets open cloud vulnérables. Si les attaquants réussissent à entrer, les entreprises peuvent alors voir des données vulnérables exposées. Les cybercriminels utilisent également des serveurs cloud compromis comme relais pour accéder à d’autres serveurs ou réseaux.   « Le rapport Sophos ‘Exposed: Cyberattacks on Cloud Honeypots’ identifie les menaces auxquelles font face les entreprises qui migrent vers des plateformes hybrides et tout-cloud. La rapidité et l’ampleur des attaques contre les honeypots prouvent le niveau de menace persistant des cybercriminels et montrent qu’ils utilisent des botnets pour cibler les plateformes cloud d’une entreprise. Il peut s’agir parfois d’attaquants humain, mais quoi qu’il en soit, les entreprises ont besoin d’une stratégie de sécurité pour protéger ce qu’elles mettent sur le cloud », déclare Matthew Boddy, spécialiste cybersécurité chez Sophos. « La question de la visibilité et de la sécurité au niveau des plateformes cloud est un défi majeur pour les entreprises. Et avec la migration croissante vers le cloud, cette tendance se confirme ».    

 

Reborn 3 : le premier navigateur de bureau prêt pour le Web 3, l’Internet du futur

Reborn 3, le plus récent navigateur Opera pour Mac, Windows et Linux comprend dorénavant un portefeuille Crypto, un explorateur Web 3 et un VPN gratuit. Reborn 3 est conçu pour donner aux gens un sentiment de contrôle sur leur vie en ligne et un aperçu du Web de l’avenir.

Pari osé pour les Norvégiens de chez Opera. Le navigateur concurrent de Chrome, Firefox et autre Edge, pour ne citer qu’eux, devient le premier navigateur sur ordinateur à inclure un portefeuille Crypto natif et un navigateur Web 3. Des nouveautés pour les 24 ans d’existence du navigateur.

Blockchain

D’abord, cette nouvelle fonctionnalité permet aux gens d’effectuer des transactions et d’interagir avec l’Internet du futur basé sur une blockchain. Egalement connu sous le nom de Web 3. En fournissant également un VPN gratuit,  les utilisateurs restent en sécurité.

« Le Web a transformé nos vies. Nous sommes maintenant en ligne en permanence. Mais plus nous passons de temps en ligne, plus nous avons besoin d’outils qui nous aident à contrôler la sécurité et la confidentialité de notre vie numérique « , explique Krystian Kolondra, vice-président exécutif d’Opera,responsable des navigateurs à Data Security Breach. « Avec cette mise à niveau majeure, nous faisons le premier pas vers le Web 3, le nouveau Web, où les utilisateurs ont le contrôle. Nous pensons que chaque navigateur en 2019 devrait être prêt pour le Web 3. »

Naviguez sur le Web 3 sur votre PC, signez des transactions avec votre smartphone

Ensuite, le portefeuille Crypto du navigateur Opera se synchronise avec le portefeuille Crypto du navigateur Opera pour Android. Cela signifie que les clés de portefeuille ne quittent jamais les smartphones.

En pratique, chaque fois qu’ils ont besoin de s’identifier sur un site Web 3 ou de signer une transaction sur la blockchain, vous recevrez une notification sur le téléphone. La fonction Porte-monnaie Crypto devrait également être ajoutée au navigateur iOS d’Opera, Opera Touch, prochainement.

Un service VPN plus rapide pour plus de sécurité et de confidentialité

Pour conclure avec ce Reborn 3, la demande de services VPN ne cesse de croître. Actuellement, un tiers des utilisateurs de VPN à travers le monde utilisent cette solution avec l’intention de rester anonyme sur le Web. Opera est le seul éditeur à fournir un VPN rapide et gratuit. Le VPN illimité du navigateur améliore la confidentialité en ligne des utilisateurs et améliore leur sécurité lorsqu’ils utilisent des réseaux publics auxquels ils ne font pas confiance.

Enfin, le VPN du navigateur établit un tunnel sécurisé et chiffré qui protège les données de tiers. Il permet de cacher leur position géographique aux sites Web. Le service VPN du navigateur est également un service sans journal, ce qui signifie que les serveurs VPN n’enregistrent et ne conservent aucune donnée d’activité, tout cela pour protéger la vie privée des utilisateurs.

Télécharger ici.

Stratégie vs tactique, les fournisseurs cybersécurité sont-ils trop nombreux ?

Si vous demandez à n’importe quel membre d’un comité de direction ou d’un comité exécutif quelle place il accorde à la cybersécurité, il vous répondra qu’il la prend « très au sérieux ». Et c’est certainement vrai. Personne ne souhaite voir son entreprise citée lorsque l’on parlera de la prochaine faille de cybersécurité qui aura exposé des millions de consommateurs au vol d’identité ou causé de lourdes pertes financières et une chute du cours de l’action. Pourtant, si tous semblent partager ce sentiment, pourquoi la stratégie de cybersécurité des entreprises parait-elle encore si confuse ?

Ce désordre n’est ni le fait des fournisseurs ni des utilisateurs. Il est la conséquence des défis de plus en plus complexes à relever en matière de sécurité et de la tendance humaine naturelle à vouloir s’attaquer à chaque problème qui survient. Cependant, cette approche crée un environnement où les tactiques et les solutions ponctuelles absorbent toute l’énergie et toutes les ressources – éloignant ainsi la possibilité de mener une véritable réflexion stratégique sur le problème.

En réalité, bien qu’ils puissent contribuer à structurer, à gérer ce chaos, les fournisseurs de technologie peuvent également être acteurs du problème. Qu’il s’agisse de petites structures ou de fournisseurs de renom, ils offrent une vaste gamme de produits et de services qui tirent parti de la crainte suscitée par les dernières actualités en matière de cybersécurité. Mais la conséquence est qu’il y a souvent trop d’acteurs impliqués, un avis que partagent les principaux fournisseurs de solutions de cybersécurité.

Dans le cas de grandes entreprises, on peut facilement dénombrer jusqu’à 80 ou 90 fournisseurs différents. Chacun prétendra être impliquée dans un aspect ou un autre de la cybersécurité. Privilégier une gestion distincte de chacun de ces fournisseurs et des vulnérabilités spécifiques que ces derniers adressent, risque de mener les responsables de la sécurité de l’information (RSSI) à suspendre la planification et les stratégies de sécurité à long terme, pour consacrer leur temps et les ressources critiques en personnel à combattre les derniers malwares, piratages et autres crises.

A contrario, les pirates informatiques sont concentrés sur la planification de leur prochaine attaque, s’efforcent de trouver la prochaine vulnérabilité – et non la dernière, et bien entendu, ils ont une stratégie !

Comment les entreprises se préparent-elles pour combattre ces nouvelles attaques ?

Dans l’idéal, elles veulent que la sécurité soit intégrée partout et constamment. Mais comment y parvenir sans collaborer avec toujours plus de fournisseurs, qu’elles devront gérer ? Comment faire face aux éventuels risques de failles de leur protection que les hackers s’empresseront d’exploiter ?

Pour y répondre, une approche par le réseau constitue une étape cruciale. Car le réseau touche tous les actifs de l’entreprise, d’une architecture informatique hybride à l’ensemble des utilisateurs, partenaires et clients. Un réseau inattaquable est le fondement de la sécurité d’entreprise dans un monde hautement connecté.

Opter pour une organisation « network first » a un impact sur toutes les décisions liées à la sécurité. Il est alors possible de l’intégrer aux fondements du réseau, comme le font les fournisseurs de réseaux globaux.

Les fournisseurs de réseaux globaux sont chargés de protéger les services publics qui circulent sur leur réseau, y compris internet lui-même. Ils ont donc développé une grande expertise en matière de protection des réseaux afin de sécuriser leur propre activité.

Certains de ces fournisseurs surveillent constamment le trafic Internet, les botnets, les serveurs de domaine utilisés par les attaquants potentiels et d’autres menaces actuelles et émergentes à l’échelle globale, et mettent en place des stratégies d’attaque et de défense.

Network first

Cette technologie et cette expertise en cybersécurité sont déjà intégrées au réseau.

En s’associant à ce type de fournisseur de services de sécurité managés (MSSP), les entreprises ont accès aux outils et à l’expertise que ces derniers utilisent pour se protéger. Des ressources qui leur permettent d’adapter des services à valeur ajoutée basé sur un réseau intégré pour répondre aux besoins spécifiques des entreprises en matière de cybersécurité.

S’appuyer sur un MSSP ne signifie pas qu’elles ne peuvent pas profiter de l’expertise d’une petite structure, qui travaille sur la meilleure protection possible contre un type d’exploitation très particulier. Cela induit surtout la possibilité de concentrer les ressources de l’entreprise sur son cœur de métier pendant que les experts en cybersécurité du MSSP évalue cette solution spécifique et l’intègre dans un cadre prédéfini.

Les stratégies globales « network first » impliquant un fournisseur de services de sécurité managés vont de pair avec une évolution du rôle du RSSI. Celui-ci passe d’une position de veilleur à une position plus proactive concentrée sur les futures attaques et la mise en place d’une véritable stratégie de défense en matière de cybersécurité. Voilà ce que signifie vraiment prendre la cybersécurité « très au sérieux  ».  

Par Alain Khau, Spécialiste Cybersécurité EMEA, CenturyLink

Vulnérabilité dans les applications Xiaomi

Les smartphones sont généralement fournis avec des applications préinstallées, dont certaines sont utiles et d’autres ne sont jamais utilisées. Un utilisateur ne s’attend toutefois pas à ce qu’une application préinstallée soit réellement dommageable pour sa vie privée et sa sécurité.

Check Point Research a récemment découvert une vulnérabilité dans l’une des applications préinstallées de Xiaomi, l’un des plus importants fabricants de téléphones mobiles au monde, qui avec près de 8 % de parts de marché en 2018, se classe troisième sur le marché de la téléphonie mobile. Ironiquement, l’application de sécurité préinstallée « Guard Provider », qui est censée protéger les téléphones contre les logiciels malveillants, expose les utilisateurs à des attaques.

En raison de la nature non sécurisée du trafic réseau entre Guard Provider et les différents SDK utilisés par l’application, un pirate pourrait se connecter au même réseau wifi que la victime et déclencher une attaque de type Man-in-the-Middle. Des failles dans les communications entre les différents SDK permettraient au pirate d’injecter n’importe quel logiciel malveillant de son choix, par exemple pour dérober des mots de passe ou surveiller les activités de l’utilisateur, un logiciel rançonneur ou tout autre type de logiciel malveillant. Pour plus de détails techniques, veuillez consulter Check Point Research.

Comme toutes les applications préinstallées telles que Guard Provider, ce type d’application est présent sur tous les appareils mobiles et ne peut être supprimé. Conformément à sa politique de communication responsable, Check Point a notifié Xiaomi, qui a publié un correctif peu de temps après.

Les avantages et les inconvénients des SDK

 Un kit de développement logiciel (SDK) est un ensemble d’outils de programmation permettant aux développeurs de créer des applications pour une plate-forme spécifique. Dans le cas des appareils mobiles, les SDK mobiles permettent aux développeurs de gagner du temps en leur évitant d’avoir « à réinventer la roue » et d’améliorer la stabilité du back-end pour les fonctionnalités qui ne sont pas liées au cœur de leur application.

À mesure que le développement de SDK s’accroit, de nouvelles opportunités d’apporter de meilleures fonctionnalités à leurs utilisateurs se présentent aux développeurs d’applications.

Mais lorsque de plus en plus de codes tiers s’ajoutent à une application, les efforts pour maintenir la stabilité de son environnement de production, protéger les données des utilisateurs et contrôler les performances, deviennent beaucoup plus complexes.

SDK fatigue

On emploie le terme « d’usure par SDK » (de l’anglais « SDK fatigue ») pour décrire cette utilisation accrue de plusieurs SDK au sein de la même application, qui rend l’application plus vulnérable à des problèmes de plantage, de virus, de logiciels malveillants, de failles de confidentialité, de consommation d’énergie, de ralentissement et bien d’autres problèmes.

Les inconvénients cachés de l’utilisation de plusieurs SDK au sein d’une même application résident dans le fait qu’ils partagent tous le contexte et les autorisations de l’application. Ces principaux inconvénients sont :

  1. Un problème dans un SDK compromettant la protection de tous les autres.
  2. Les données de stockage privées d’un SDK ne peuvent pas être isolées et sont donc accessibles à un autre SDK.

Selon un rapport récent, l’utilisation de plusieurs SDK dans une seule application est beaucoup plus courante qu’on ne le pense. Plus de 18 SDK sont implémentés en moyenne dans la même application. Ce faisant, les développeurs exposent les entreprises et les utilisateurs à des dangers potentiels qui peuvent être exploités par les pirates pour perturber le fonctionnement normal des appareils.

2 + 2 n’est pas toujours = à 4

Le personnel de sécurité informatique d’une entreprise n’est pas censé connaître les tenants et les aboutissants des kits de développement logiciel (SDK) utilisés pour créer les applications que les employés installent éventuellement sur leurs appareils. Il est cependant important de savoir que la façon dont les applications sont développées peut comporter des risques pour la sécurité. On pourrait supposer que les éléments utilisés dans une application de sécurité sont sécurisés, mais comme le montre la vulnérabilité dans les applications préinstallées de Xiaomi, c’est loin d’être le cas.

Les développeurs et les entreprises doivent également comprendre qu’un élément sécurisé associé à un autre élément sécurisé dans une application sur un téléphone ne signifie pas nécessairement que l’ensemble restera sécurisé lorsque ces deux éléments seront mis en œuvre conjointement.

La seule défense contre ces menaces cachées et obscures consiste à garantir que le parc d’appareils mobiles de votre entreprise est protégé contre les attaques de type Man-in-the-Middle.

Anubis : cheval de Troie bancaire décortiqué

Anubis 2 est apparu dans le « paysage des menaces » en 2017 en tant que cheval de Troie bancaire en location (disponible pour les fraudeurs dans des forums undergrounds), l’auteur et créateur du malware se surnomme « maza-in ». Si ce dernier a disparu des radars, son outil malveillant est toujours en action.

En tant que malware bancaire, Anubis incite ses victimes à fournir des informations personnelles et sensibles, telles que les logins bancaires, des codes de sécurité bancaire et même des informations de carte de crédit. Mais ce logiciel malveillant va au-delà des attaques « overlay » bien connues, utilisées par les chevaux de Troie bancaires, car il combine des fonctionnalités avancées telles que le streaming d’écran du téléphoné infecté, l’accès à tous les fichiers à distance, l’enregistrement sonore, le key-logging et même un proxy réseau, ce qui en fait un malware bancaire efficace, mais également un potentiel outil pour espionnage.

D’un point de vue opérationnel, Anubis peut être considéré comme l’un des chevaux de Troie bancaires Android les plus utilisés depuis fin 2017. En ce qui concerne les banques Françaises, les suivantes sont ciblées : Axa, Banque Populaire, BNP Paribas, Boursorama, Caisse d’Épargne, Crédit Agricole, Crédit Mutuel, LCL, Palatine ou encore la Société Générale.

L’auteur a disparu, par son code malveillant

Au cours du premier trimestre 2019, l’auteur et créateur du cheval de Troie a disparu, laissant les clients existants sans assistance ni mises à jour; mais le risque demeure et pourrait même augmenter. Les campagnes d’infection d’Anubis comptent parmi les plus importantes jamais enregistrées pour les malwares bancaires : De nombreuses victimes ne sont pas conscientes du fait que le malware ne se déguise pas comme l’app de la banque, il se déguise principalement en tant qu’application tierce et reste inaperçu par les usagers. Anubis se fait par exemple passer pour : de faux jeux mobiles, de fausses mises à jour de logiciels, de fausses applications postales, de fausses applications Flash Player, de fausses applications utilitaires, de faux navigateurs et même de fausses applications de réseau social et de communication.

Les caractéristiques du cheval de Troie en font une menace importante : Habituellement, les chevaux de Troie bancaires effectuent principalement des attaques de type « overlay » afin de collecter les informations personnelles puis volent les SMS pour acquérir les codes bancaires, mais Anubis va plus loin que ça avec la streaming de l’écran du téléphone infecté, l’accès de fichiers à distance (accès au stockage du téléphone), l’enregistrement sonore, le key-loggign et même un proxy réseau (permettant au criminel de se connecter à la banque via le téléphone infecté).

300 banques dans le monde ciblées

Les campagnes d’infection d’Anubis ciblent en moyenne, plus de 300 banques dans le monde: La liste observée dans les campagnes Anubis contient environ 360 cibles, contenant la plupart des banques les plus grandes et les plus connues dans le monde, mais également des applications de communication et de réseautage social largement utilisées, ce qui signifie que personne n’est vraiment protégée, car même si une victime ne fait pas de banque en ligne le malware abusera d’autres applications (Liste complète de cibles en Annexe du blog).

Les malware qui deviennent orphelins ne sont pas toujours un bon signe : Beaucoup de gens pourraient penser que lorsque le propriétaire / auteur du malware disparaît, les opérations s’arrêtent… Malheureusement, ce n’est pas toujours le cas, surtout pas avec Anubis. Bien que l’acteur ait disparu, le cheval de Troie est toujours actif et le pire est que son code a été divulgué/fuit, ce qui pourrait amener de nombreux autres criminels à utiliser le programme malveillant. Toute l’analyse complète à découvrir sur Threat fabric.

La confiance : plus qu’un simple mot dans le monde de la cybersécurité

La notion de confiance est aujourd’hui au centre de nombreux débats dans le secteur de la cybersécurité. Elle revêt une dimension stratégique qui amène sans cesse de nouvelles questions et les tensions géopolitiques, fortement perceptibles en 2018, ont eu de nouvelles répercussions dans le cyberespace. Les exemples ne manquent pas à ce sujet.

Outre les soupçons sur l’origine étatique de cyberattaques majeures ou l’ouverture d’écoles de cyber-espionnage dans certains pays, l’année 2018 a été marquée par l’annonce d’embargo contre certains fournisseurs pour risque d’espionnage, ou encore de nouvelles suspicions sur la présence de portes dérobées dans des technologies étrangères. Huawei, notamment, en a fait les frais. Ce contexte crée le doute en termes de fiabilité et d’intégrité des produits logiciels, notamment en ce qui concerne les solutions de cybersécurité. En effet, ces dernières sont particulièrement sensibles de par leur fonction de « gardien du temple ». Avoir le contrôle sur les systèmes de protection, c’est obtenir un accès direct aux ressources protégées. C’est pourquoi, le choix des partenaires cybersécurité n’a jamais été aussi crucial pour les entreprises et les institutions.

Sur l’épineuse question des portes dérobées ou de l’affaiblissement des mécanismes de chiffrement, les positions prises par les États diffèrent. La Russie a déjà légiféré pour obliger les éditeurs à fournir aux autorités un moyen d’accéder à des communications chiffrées. Les Etats membres de l’Alliance des Five Eyes* souhaitent également imposer l’introduction de faiblesses dans les logiciels. L’objectif principal et officiel est de pouvoir déchiffrer certains échanges qui pourraient être liés à des activités terroristes et de partager l’information entre les services de renseignement.

Bien entendu, lutter contre le terrorisme est une cause prioritaire. On peut cependant s’interroger sur le bien-fondé de cette volonté de créer des backdoors qui pourraient être un moyen détourné d’accéder aux informations sensibles des entreprises ou des particuliers. Tous les scénarii sont alors envisageables : espionnage étatique, accès à des secrets industriels, atteinte aux libertés individuelles, etc. Autant d’éléments qui ne sont en aucun cas liés à la guerre contre le terroriste et qui pourraient nuire gravement à la protection du patrimoine informationnel des entreprises et des institutions.

Comme évoqué précédemment, ces backdoors ne font pas l’unanimité. L’Europe notamment se positionne très clairement contre leur mise en place et préconise un chiffrement de bout en bout dans les communications afin d’en garantir une totale sécurité. Déjà en 2017, le Vice-Président de la Commission Européenne martelait cette position en mettant en avant la menace induite par l’utilisation de portes dérobées qui peuvent être exploitées par la cybercriminalité. En effet, l’affaiblissement d’un système de protection ou de chiffrement pourrait tout à fait être découvert puis utilisé par des personnes malintentionnées, leur offrant ainsi une voie royale pour réaliser leurs méfaits.

Ce constat montre encore une fois que la notion de confiance numérique va bien au-delà de considérations purement technologiques et fonctionnelles pour intégrer une dimension éminemment géopolitique. L’origine des technologies numériques, et notamment celles qui manipulent ou protègent des données sensibles, est un pilier de cette confiance numérique. Les entreprises doivent prendre en compte cette donnée stratégique dans leur raisonnement avant de confier les clés de la sécurisation de leur système d’information à un fournisseur. En ce sens, un travail de sensibilisation continue est nécessaire auprès des organisations privées et publiques. Les éditeurs européens doivent, de leur côté, être plus transparents sur leurs positions et adopter une posture commune. On peut également se féliciter des travaux en faveur de la confiance numérique entrepris à l’échelle européenne et par différentes agences gouvernementales à l’image de l’ANSSI. La qualification de produits de sécurité portée par l’agence française impose, par exemple, une revue de code source pour s’assurer du niveau de robustesse des fonctions de protection et de l’absence de portes dérobées. Gageons que cette initiative sera reprise plus largement dans le futur cadre de certification européen pour lequel a été récemment mandaté l’ENISA. (Matthieu Bonenfant – CMO Stormshield)

*Alliance qui réunit les services de renseignement des États-Unis, Australie, Nouvelle-Zélande, Royaume-Uni et Canada.

De la cybersécurité à la cyber-immunité

À l’époque où je travaillais sur notre premier antivirus, rares étaient les foyers équipés d’un ordinateur, technologie au prix alors quelque peu prohibitif. Le nombre d’internautes a explosé ces dernières années. On compte aujourd’hui 4 388 milliards d’internautes actifs[1] et de plus en plus de personnes sur la planète possèdent désormais un ou plusieurs appareils connectés à Internet. Pendant bon nombre d’années, nous étions connus comme l’entreprise qui vendait des logiciels antivirus.

Aujourd’hui, les solutions de protection des terminaux ne constituent que l’un de nos nombreux segments d’activité. Nous nous concentrons depuis plusieurs années déjà sur des domaines tels que la cybersécurité industrielle, l’apprentissage automatique, la sécurité de l’Internet des objets (IoT), la Threat Intelligence ou encore la cybersécurité des systèmes de transport. En 1998, soit un an après la création de notre entreprise, nous recensions chaque jour une cinquantaine de nouveaux échantillons de malware ; en 2019 – 21 ans plus tard –, ce sont 360 000 échantillons uniques de malware qui sont détectés quotidiennement !

Mais pourquoi ces comparaisons nostalgiques entre la fin des années 1990 et aujourd’hui ? Eh bien, nous évoluons à présent dans un cybermonde ultra-connecté guidé par la « révolution industrielle 4.0 ». Dans cet univers, la connectivité est vectrice d’opportunités remarquables, mais aussi source de vulnérabilités majeures pour les entreprises ordinaires, pour le secteur industriel et pour l’infrastructure critique. Un changement s’impose selon moi dans notre manière de protéger l’ensemble des technologies qui nous entourent.

Cybersécurité

Existe-t-il une solution miracle pour faire face aux menaces en apparence insurmontables de cette ère digitale ? Je crains bien que non. S’il y en avait une, je pourrais d’ores et déjà planifier ma retraite. En revanche, j’ai ma petite idée quant au futur de la cybersécurité, à la prochaine grande évolution de notre secteur ! À vrai dire, nous y travaillons déjà : il s’agit du concept de la « cyber-immunité », poussé à son paroxysme. Comment définir cette évolution ? Comme ceci : le coût d’une cyberattaque devrait excéder celui des dommages (pour la victime) ou des gains potentiels (pour le cyberpirate). En revanche, des entreprises comme All4tec, développe des solutions pour faire face au problème de cybersécurité notamment avec de la protection préventive.

Comment y parvenir ?

En revoyant notre manière de penser la sécurité des systèmes et des produits. À l’heure actuelle, notre travail consiste à bâtir une couche de protection autour d’une architecture informatique existante. Ne serait-il pas nettement plus simple de disposer de solutions « secure » à tous les niveaux dès leur conception et ne nécessitant en principe aucune protection supplémentaire ? Cette idée nous paraissant excellente, nous avons commencé à la mettre en œuvre dans le domaine de l’IoT. Plus de 20 milliards d’objets devraient être connectés l’an prochain[2], avec toutefois un niveau de protection quasi inexistant, les appareils connectés étant fréquemment exploités pour mener des attaques DDoS massives ou pour constituer des botnets. Comment résoudre ce problème ? Il nous faut concevoir de A à Z des appareils connectés « intelligents » dotés d’une architecture à micro-noyau ainsi que d’une couche de sécurité isolant l’ensemble de ses modules pour empêcher tout comportement inhabituel des équipements IoT. Il est déjà possible de mettre en œuvre ce concept à l’aide de notre système d’exploitation KasperskyOS, destiné aux technologies embarquées. Nous pouvons bien sûr en faire de même pour les systèmes et les produits plus complexes.

Peut-on espérer passer de la cybersécurité à la cyber-immunité dans un très proche avenir ?

J’aimerais beaucoup pouvoir répondre « oui », mais il faut savoir que la route sera longue et que le monde n’a pas encore amorcé cette transformation. D’ici là, il nous faut simplement continuer à communiquer sur les dangers d’un monde connecté vulnérable, pour que chacun prenne conscience de la nécessité de protéger toutes les technologies connectées qui nous entourent. Nous pouvons le faire ! Nous pouvons donner vie à la cyber-immunité ! (Tribune d’Eugene Kaspersky)

[1] We Are Social and Hootsuite’s latest collection of Global Digital 2019 reports.
[2] Gartner : « Leading the IoT »

Des pirates mettent la main sur des mises à jour du logiciel ASUS

Des pirates informatiques ont réussi à s’infiltrer dans les mises à jour du constructeur Coréen ASUS. Ils ont installé, durant plusieurs semaines, des backdoors sur des milliers d’ordinateurs.

Imaginez, 12% des ordinateurs ASUS en France seraient concernés par cette infiltration. Selon des chercheurs de la société de cybersécurité Kaspersky Lab, « des pirates ont réussi l’année dernière à installer des logiciels malveillants à plus d’un million de propriétaires de PC de la marque ASUS – l’un des plus grands fabricants d’ordinateurs au monde –« . Ils auraient exploité le système de mise à jour logicielle du fabricant. Le fichier malveillant a été signé avec des certificats numériques ASUS légitimes pour donner l’impression qu’il s’agit d’une mise à jour logicielle authentique de la société.

Les certificats de signature de code utilisés pour savoir quelles sont les mises à jour à faire et quelles sont les machines à qui nous pouvons faire confiance. Ils sont dans les applications qui alimentent les voitures, les ordinateurs portables, les avions et plus encore. Presque tous les systèmes d’exploitation dépendent de la signature de code, et nous verrons beaucoup plus de certificats dans un avenir proche en raison de l’essor des applications mobiles, des DevOps et des périphériques IoT. « Cependant, les cybercriminels considèrent les certificats de signature de code comme une cible précieuse en raison de leur puissance extrême. explique à Data Security Breach Kevin Bocek, VP security strategy and threat intelligence chez Venafi. Avec un certificat de signature de code, les hackers peuvent donner l’impression que leurs logiciels malveillants sont dignes de confiance et échapper aux systèmes de protection contre les menaces.« 

Infiltration et manipulation

Malheureusement, dans de nombreuses organisations, la protection des processus de signature de code incombe principalement aux développeurs qui ne sont pas prêts à défendre ces actifs. En fait, la plupart des équipes de sécurité ne savent même pas si leurs développeurs utilisent la signature de code ou qui peut avoir accès au processus de signature de code. « Il est impératif que les organisations sachent quels certificats de signature de code elles utilisent et où, d’autant plus qu’il est probable que des attaques similaires se produiront à l’avenir.« 

Cette nouvelle attaque utilisant le matériel ASUS est parfaitement emblématique du nouveau cyber-monde dans lequel nous vivons. Elle présente toutes les caractéristiques d’une opération précise : ciblée, exige beaucoup de ressources et presque impossible à détecter. « Tout acteur menaçant aurait besoin de ressources et d’un soutien considérables pour acquérir les certificats authentiques d’ASUS afin de faire son entrée dans la chaîne logistique. Ceci initie bien sûr le jeu qui consiste à deviner qui pourrait être derrière la campagne et il n’est pas exagéré de prétendre que des États manquant de lois sur les cyber-infractions et hébergeant des réseaux internationaux de cyber-crimes pourraient être à l’origine de cette activité. » indique Justin Fier, de chez Darktrace.

Ciblage !

Mais la nature très ciblée de l’attaque est peut-être encore plus alarmante: c’est là que nous devrions concentrer notre attention. Dans le monde entier, ces pirates ne ciblaient que 600 machines. Ce n’est qu’une question de temps avant que nous apprenions que ces machines ou ces personnes ciblées ont un fil conducteur unique les reliant entre elles. Pour l’instant, la question pour toutes les entreprises utilisant du matériel ASUS devrait être d’identifier si l’une de leurs machines se trouvait dans la cible. Et au-delà de cela, toutes les organisations doivent réaliser qu’ASUS n’est qu’une seule entreprise. Y aura-t-il des attaques similaires contre Dell et Apple ?

Voler des certificats authentiques et les utiliser pour signer des codes malveillants ne fait que renforcer les arguments en faveur de technologies d’IA sophistiquées capables d’identifier même les plus petites anomalies indiquant une menace. Ce type de comportement serait si proche de la normale que seule l’IA pourrait comprendre la différence entre normal et malveillant. En luttant contre des attaques aussi sophistiquées que celles-ci, les approches traditionnelles deviendront inefficaces: la cyber IA doit être la voie à suivre.

Comment sécuriser l’information stratégique d’une entreprise ?

Prises de décisions importantes et nouveaux axes de travail d’une entreprise reposent parfois sur un choix de stratégie approximatif. Afin que votre entreprise puisse avancer sereinement dans une évolution dynamique, il est important de mettre en place une bonne gouvernance d’entreprise et de sécuriser l’information stratégique. Il faut également proposer une véritable visibilité sur les réunions, sur les acteurs qui doivent agir et sur le partage des informations.

Une information stratégique mieux structurée

Qu’importe la multiplication des réunions et des rencontres professionnelles si l’information stratégique est déstructurée ou est mal protégée. Sécurisez l’information stratégique avec Skope pour vous assurer une meilleure exploitation des idées échangées ou pour visualiser les décisions qui ont été prises, mais aussi l’état d’avancement de leur mise en place. Cette application est particulièrement appréciée pour fluidifier le processus de décision de votre entreprise.

En échangeant en amont des réunions, l’ordre du jour est affiné et mieux cerné par tous les participants. Il est possible d’annoter les informations ou de notifier des points que vous souhaitez aborder. Durant la réunion, les participants peuvent prendre des notes à relire à la suite de ces échanges. Enfin, c’est aussi particulièrement utile à la suite de la réunion. Il est possible de revenir sur les échanges, mais surtout de visualiser la responsabilité de chacun pour réaliser des tâches.

L’application est idéale pour attribuer les points d’action destinés à faire avancer un projet. La gouvernance de l’entreprise est mieux prise en charge grâce à la mise en place de réunions stratégiques efficaces. Toutes les entreprises de petite ou très grande taille devraient travailler sur la manière de rendre les réunions plus efficaces. Cette application est aussi très sécurisée, afin d’éviter la fuite d’informations importantes. La plupart des données sensibles qui sont perdues par une entreprise sont liées à une faille humaine et non au piratage d’une application Web.

L’Intelligence Economique

Encore peu répandue en France il y a quelques années, l’Intelligence Economique a réussi à s’imposer comme une nécessité de protéger les informations sensibles et de mieux maîtriser l’information stratégique d’une entreprise. En installant un vrai processus de protection de l’IE dans votre entreprise, vous bénéficiez de coups d’avance pour devancer la concurrence de votre secteur. Vous êtes ainsi plus efficient dans la signature de nouveaux contrats ou l’aboutissement de partenariats fructueux. L’intelligence économique est particulièrement utile pour les décideurs de votre entreprise et c’est un atout pour la mise en sécurité de votre patrimoine et de vos bonnes idées.

Définir un degré de confidentialité d’une information

Pour une information stratégique bien protégée, il est important de pouvoir qualifier cette information et lui donner une valeur particulière selon son importance dans la stratégie de l’entreprise. Réfléchissez sur la nécessité de protéger certaines informations plus que d’autres. En France, l’idée fait son chemin vers la nécessité de mettre en valeur et de tenir secrète une information importante qui devient alors stratégique.

Conquérir un nouveau marché ou se lancer dans l’association entre deux marques peuvent être des décisions primordiales dans la vie d’une entreprise. Si la concurrence connaît vos actions avant que vous ne les réalisiez, vous risquez de vous voir voler vos bonnes idées ou votre partenariat. Pour cela, il est important de mettre en place des outils numériques dédiés à la sécurité de vos informations.

Sécurisation des prothèses bioniques pour les personnes porteuses de handicap

Des experts en cybersécurité enquêtant sur les infrastructures cloud expérimentales utilisées pour les prothèses bioniques avancées ont identifié plusieurs failles de sécurité jusque-là inconnues, qui pourraient permettre à des tiers l’accès, la manipulation, le vol voire la suppression de données privées et d’autres éléments appartenant aux utilisateurs de ces appareils. Ces constatations ont été communiquées au fabricant Motorica, une start-up russe qui développe des prothèses bioniques de membres supérieurs destinées à des personnes en situation de handicap, afin que l’entreprise puisse remédier à ces problèmes de sécurité.

 L’Internet des objets ne se limite plus aux montres ou aux maisons connectées mais englobe également des écosystèmes complexes de plus en plus automatisés, notamment dans le domaine de la santé. A l’avenir, ces technologies pourraient ne plus servir uniquement à des équipements d’assistance, pour se généraliser et être utilisés par des consommateurs désireux d’étendre les pouvoirs ordinaires du corps humain grâce à un processus de cybernétisation.

Il importe donc que tout risque en matière de cybersécurité, susceptible d’être exploité par des acteurs malveillants, soit réduit au maximum par l’investigation et la correction des problèmes de sécurité touchant les produits actuels ainsi que les infrastructures sur lesquelles ils s’appuient.

Les chercheurs de Kaspersky Lab ICS CERT, en partenariat avec Motorica, ont entrepris d’évaluer la cybersécurité d’une solution logicielle de test pour une prothèse de main numérique conçue par la start-up russe. La solution elle-même est un système cloud distant, une interface permettant de suivre le statut de tous les équipements biomécaniques référencés. Ce système met également à la disposition des autres développeurs une palette d’outils pour analyser l’état technique d’équipements tels que des fauteuils roulants connectés ou encore des mains ou des pieds artificiels.

Les recherches initiales ont identifié plusieurs problèmes de sécurité, portant notamment sur une connexion http non sécurisée, des opérations incorrectes sur les comptes ou encore une validation insuffisante des informations saisies. En cours d’utilisation, la prothèse de main envoie des données au système cloud. A travers les failles détectées, un pirate pourrait :

  • accéder à des informations conservées dans le cloud à propos de tous les comptes connectés (notamment des identifiants et mots de passe en clair pour toutes les prothèses et leurs administrateurs) ;
  • manipuler, ajouter ou effacer des informations de ce type ;
  • ajouter ou supprimer leurs propres utilisateurs, normaux ou privilégiés (avec droits administrateurs).
  • « Motorica est une entreprise de haute technicité, fiable et socialement responsable, qui se donne pour mission de venir en aide aux personnes atteintes d’un handicap physique. Alors que l’entreprise se prépare à une phase de croissance, nous souhaitions l’aider à veiller à la mise en place des mesures de sécurité appropriées. Les résultats de notre analyse rappellent de manière opportune que la sécurité doit être intégrée dans les nouvelles technologies dès le départ. Nous espérons que les autres développeurs d’équipements connectés avancés accepterons de collaborer avec le secteur de la cybersécurité afin d’analyser et de corriger les failles de leurs appareils et systèmes, en traitant la sécurité des équipements comme faisant partie intégrante du développement », commente Vladimir Dashchenko, chercheur en sécurité au sein de Kaspersky Lab ICS CERT.

« Les nouvelles technologies nous ouvrent un nouveau monde d’équipements d’assistance bioniques. Il devient aujourd’hui crucial pour les développeurs de ces technologies de collaborer avec les fournisseurs de solutions de cybersécurité. Cela nous permettra de rendre impossibles des attaques, même théoriques, contre le corps humain », conclut Ilya Chekh, CEO de Motorica.

Un nouveau malware BabyShark cible les « Think Tanks » américains en charge de la sécurité intérieure

En février 2019, les chercheurs de l’Unité 42 au sein de Palo Alto Networks ont identifié des mails d’hameçonnage ciblé (spear phishing) envoyés en novembre 2018 qui contenaient un nouveau malware partageant la même infrastructure avec des playbooks(c’est-à-dire des feuilles de route listant les actions et les objectifs utilisés par un malware ou une famille de malware) associés aux campagnes nord-coréennes.

Ces mails étaient écrits comme s’ils émanaient d’un expert en sécurité nucléaire travaillant actuellement comme consultant pour des think tanks liés à la sécurité intérieure aux États-Unis. Ils ont été envoyés depuis une adresse publique avec le nom de l’expert et un sujet faisant référence au nucléaire nord-coréen. Ces messages avaient en pièce jointe un document Excel avec une macro infectée, qui ,quand elle était exécutée, menait à une nouvelle famille de malwares basée sur Microsoft Visual Basic (VB) que nous avons surnommé « BabyShark »

BabyShark est un malware récent. La version la plus ancienne que nous avons pu trouver dans des dépôts open source et nos propres jeux de données internes remontent à novembre 2018. Le malware se lance en exécutant à distance une requête HTML, qui peut être alors livrée au travers de différents types de fichiers comme des fichiers contenant des exécutables ou des documents malveillants. Babyshark extrait alors les informations du système vers un serveur C&C (Command and Control), se maintient au cœur du système et attend de nouvelles instructions de la part de l’opérateur.

BabyShark est utilisé pour une campagne limitée de spear phishing toujours en cours depuis novembre 2018. L’acteur derrière cette menace cherche clairement à glaner des informations liées à la sécurité nationale (américaine) en Asie du Nord-Est. Le soin apporté à la conception des mails d’hameçonnage et du camouflage laisse à penser que cet acteur connaît bien les cibles, et surveille de près les événements de cette communauté pour y récupérer les dernières informations. Sans pouvoir en être certains, nous pensons que l’acteur derrière BabyShark doit être en relation avec l’acteur (ou être le même groupe) qui a utilisé la famille de malwares KimJongRAT, et qui du moins partage des ressources avec l’acteur responsable de la campagne STOLEN PENCIL. Nous avons également remarqué des tests qui semblent indiquer que les attaquants travaillent sur de nouvelles versions d’exécutables pour envoyer BabyShark. Dans les prochaines campagnes, l’attaquant pourrait utiliser différentes méthodes pour déployer BabyShark.

Cyber-sensibilité, cyber-indiscipline et employés « fantômes », les entreprises doivent faire le tri

Les organisations ne protègent toujours pas correctement les accès à leurs données critiques, selon une étude CyberArk, conduite auprès de 1 000 employés britanniques. Il ressort que la moitié de ces derniers auraient accès à des informations sensibles, auxquelles seules des personnes habilitées devraient pouvoir accéder. Bien que la sensibilisation à la cybersécurité s’améliore dans les milieux professionnels, de mauvaises pratiques contribuent encore à la croissance des cybermenaces.

  • Près de la moitié (48 %) des employés ont, ou ont eu, accès à des documents financiers sensibles ;
  • 46 % ont pu accéder à des informations RH confidentielles ;
  • Près d’un tiers (29 %) ont, ou ont eu, un accès direct aux comptes en banque de leur entreprise ;
  • 37 % ont pu prendre connaissance des plans de recherche et développement (R&D) ou plans pour des nouveaux produits et services.

Ces chiffres démontrent que beaucoup plus d’employés que nécessaire accèdent à des informations sensibles, et que les organisations en général doivent absolument limiter la gestion des accès aux données sensibles, afin de mieux se protéger, ainsi que leurs clients.

Se méfier des « employés fantômes »

Comme démontré lors de récentes violations de données, le vol d’identifiants de connexion reste le moyen le plus courant et le plus efficace pour réussir une cyberattaque. Une approche laxiste de la protection des accès administrateurs – ou accès à privilèges – peut augmenter directement le risque d’une compromission de données. C’est pourquoi la gestion des privilèges est essentielle ; or, de nombreuses entreprises ne parviennent pas à verrouiller ces comptes clés, suite aux changements de personnel : un employé de bureau sur cinq (21 %) admet avoir quitté un emploi et gardé des identifiants donnant toujours accès à au moins un système confidentiel de l’entreprise (serveurs internes, résultats financiers ou bases de données RH). Ces employés « fantômes », soit d’anciens collaborateurs en possession d’informations de connexion professionnelles, peuvent alors accéder, sans autorisation, à des données sensibles de l’entreprise.

Pour Rich Turner, VP EMEA, chez CyberArk, « ces « employés fantômes » représentent une préoccupation majeure pour toute organisation. Non seulement, ils augmentent le risque de violation des données clés de l’entreprise en cas de cyberattaque ; mais ils offrent aussi la possibilité aux employés mécontents, ou aux entreprises concurrentes, de manipuler les données existantes, causant de graves dommages administratifs et financiers. Ces résultats sont symptomatiques des entreprises qui continuent de consacrer d’importantes sommes d’argent à la défense du périmètre, alors que l’approche la plus intelligente consiste à envisager l’inévitable – que les attaquants parviendront à s’introduire dans les systèmes – et à les empêcher de mettre la main sur les actifs et données sensibles. »

 Cyber-sensibilité vs cyber-indiscipline

Il ressort cependant que l’implication des employés s’améliore, montrant l’effet positif de la cyber-éducation, et l’espoir d’un avenir plus sûr pour les entreprises :

  • Près de quatre employés de bureau sur cinq (79 %) informeraient immédiatement le service informatique s’ils ouvraient une pièce jointe malveillante ;
  • Les trois quarts (75 %) exprimeraient leurs préoccupations s’ils ne comprenaient pas les communications de l’IT concernant la sécurité ;
  • Près des trois quarts (74 %) sont convaincus que leur équipe de sécurité protège efficacement l’ensemble de la société contre les menaces.

Une confiance qui contraste avec le comportement de nombreux employés, qui affichent toujours de mauvaises cyber-pratiques, avec un grand nombre de personnes qui continuent de dissimuler leur cyber-indiscipline à leurs collègues chargés de la sécurité – augmentant ainsi considérablement la vulnérabilité de leur entreprise :

  • Plus de la moitié (54 %) n’informent personne lorsqu’ils laissent leurs collègues utiliser leurs informations de connexion ;
  • 45 % des répondants déclarent télécharger des applications non-autorisées sur leur poste de travail à l’insu de leur service informatique. (CyberArk)

Forum économique mondial : il est temps d’apporter une réponse à la hauteur de la menace cybernétique !

Le rapport Global Risks Report 2019 du Forum économique mondial classe le vol de données et les cyberattaques parmi les cinq grands risques mondiaux qui risquent le plus de se concrétiser. La grande question qui se pose maintenant est de savoir comment les organisations vont réagir.

Les personnes sensibles devraient s’abstenir de lire le rapport annuel sur les risques mondiaux du Forum économique mondial. La 14e édition de ce rapport inclut une litanie de menaces existentielles, telles que les phénomènes météorologiques extrêmes et les catastrophes naturelles, qui pourraient considérablement perturber l’économie mondiale.

Cette année, les cinq principaux risques en termes de probabilité sont les phénomènes météorologiques extrêmes, l’échec de l’atténuation des changements climatiques et de l’adaptation à ceux-ci, les catastrophes naturelles, la fraude ou le vol de données et les cyberattaques.

En effet, la fraude et le vol de données et les cyberattaques sont deux des cinq principaux risques mondiaux les plus probables. En fait, c’est la troisième année consécutive que la fraude et le vol de données se classent parmi les cinq plus grandes menaces, et la deuxième année que la cyberattaque fait partie de la liste.

Le Global Risks Report 2019, créé en partenariat avec Marsh & McLennan Companies et The Zurich Group, est basé sur les résultats de l’enquête Global Risks Perceptions Survey, à laquelle participent 1 000 membres de la communauté du Forum économique mondial – composée de chefs de gouvernements, de dirigeants du secteur privé et d’universitaires – ainsi que des contributions d’experts du réseau mondial de l’organisation.

La cybersécurité s’est également hissée parmi les 10 risques mondiaux les plus importants en termes d’impact. Les cyberattaques et les défaillances au niveau des infrastructures et des réseaux critiques ont été classées au septième et au huitième rang pour les dommages potentiels qu’elles pourraient causer. Cela indique que les répondants ont conscience non seulement de la fréquence des cyberattaques, mais aussi du risque que ces incidents représentent pour notre économie numérique, et jusqu’à notre mode de vie. Ce classement reflète l’impact mondial qu’ont eu des incidents tels que WannaCry, Equifax et des centaines d’autres cyberattaques réussies sur notre conscience collective.

En fait, le cyber espace lui-même fait partie de ce que le rapport appelle les « biens communs mondiaux » qui ont besoin d’une protection particulière, au même titre que le climat, l’espace extra-atmosphérique et les régions polaires.

Pour tous ceux qui envisagent encore le futur avec sérénité après tout cela, le rapport comporte une section amusante intitulée « Chocs futurs », qui examine les effets à long terme de phénomènes comme l’informatique quantique, les outils de manipulation météorologique ou une rupture dans l »approvisionnement alimentaire. La section sur l’informatique quantique prédit que « quand les énormes ressources consacrées à la recherche quantique conduiront à l’utilisation de l’informatique quantique à grande échelle, beaucoup des outils qui forment la base de la cryptographie numérique actuelle seront rendus obsolètes. »

Cela ne surprendra pas les professionnels de la cybersécurité, mais il est toujours intéressant de prendre du recul et réfléchir un instant sur l’importance de notre travail quotidien dans ce contexte. Lorsque nous sommes pris dans le tourbillon du quotidien au travail, il est facile de perdre de vue l’importance réelle de la cybersécurité dans l’économie mondiale. Ce genre de mise en perspective est également pour expliquer en quoi le travail effectué sur la cybersécurité est important aux membres d’une organisation qui ne travaillent pas eux-mêmes dessus.

La grande question est de savoir comment les organisations vont réagir : l’acceptation des problèmes auxquels nous sommes confrontés est la première étape, mais la prochaine étape doit être l’action.

Nous devons tenir les dirigeants et les cadres supérieurs du monde entier garants d’une gestion responsable du risque cybernétique. En tant que société, nous devons l’exiger. En tant que clients, nous le méritons. La question ne doit plus être qui nous pouvons blâmer – des États-nations aux hackers – mais comment nous pouvons prévenir ces risques. Nous devons collectivement faire face à la réalité d’une économie numérique.

Tout est lié, ce qui signifie que chaque aspect du commerce et de l’industrie d’aujourd’hui est une accroche qui peut être utilisée pour une attaque potentielle. Nous devons élaborer des stratégies de sécurité pour faire face aux nouveaux risques créés par la transformation digitale. Ne pas le faire nous ferait prendre le risque d’événements aux conséquences irréparables. (Par Renaud Deraison, cofounder and CTO at Tenable).

La cybercriminalité est devenue la préoccupation n°1 des individus devant les agressions physiques

Selon l’étude SOS Cybercrime d’Affinion*, les mythes sur la cybercriminalité sont présents dans le monde entier. Un tiers de la population (35 %) croit, à tort, que le Wi-Fi public doit disposer d’une sécurité efficace, conformément à la loi (ce chiffre atteint 58 % en Turquie). De même, moins de la moitié de la population (46 %) sait que https:// signifie qu’un site internet est sécurisé (seulement 35 % en Suède et en Norvège) et un tiers de la population (33 %) n’est pas consciente que l’utilisation d’un même mot de passe pour plusieurs comptes augmente le risque de fraude. Ces informations sèment la confusion parmi les consommateurs et complexifient encore plus la lutte contre la cybercriminalité.

Le rapport, basé sur des recherches menées auprès de plus de 13 000 répondants dans 12 pays, révèle des lacunes majeures en matière de sensibilisation, ainsi que des inquiétudes à l’égard de la cybercriminalité. Le Brésil arrive en tête du classement mondial des pays les plus préoccupés par la cybercriminalité, suivi par les États-Unis (75 %) et l’Espagne (73 %).

Curieusement, les consommateurs sont davantage préoccupés par la cybercriminalité que par toute autre forme de criminalité – 61 % des consommateurs sont très ou légèrement préoccupés par la cybercriminalité, tandis que 52 % des personnes interrogées sont préoccupées par les crimes contre la propriété (par exemple les cambriolages), 54 % par la violence physique comme les agressions, et 45 % par la criminalité liée aux véhicules. Selon l’étude, la sensibilisation aux dangers de la cybercriminalité semble augmenter avec l’âge ; les personnes interrogées âgées de 18 à 24 ans étaient plus préoccupées par la violence physique que par la cybercriminalité, tandis qu’à partir de 35 ans, la cybercriminalité est considérée comme le risque le plus important.

Un tiers des personnes a déjà été victime, directement ou indirectement, d’usurpation d’identité. Les faux appels, liens envoyés par e-mail ou SMS, sont les formes les plus courantes de cybercriminalité (65 % de personnes concernées), suivis du piratage de comptes sur les réseaux sociaux ou d’adresses e-mail (56 % de personnes concernées), et des transactions financières frauduleuses (55 % de personnes concernées).

Les femmes sont plus particulièrement préoccupées que les hommes, toutes formes de criminalité confondues. La plus grande différence entre les genres concerne les fraudes relatives aux achats en ligne (67 % de femmes contre 59 % d’hommes), l’usurpation d’identité (68 % contre 60 %) et les transactions frauduleuses (69 % contre 61 %).

D’après l’étude, 70 % des personnes interrogées estiment que leur préoccupation s’accentue, car elles s’aperçoivent que le nombre d’incidents est en augmentation ; 46 % ont indiqué que c’était dû à une couverture médiatique plus importante du problème et 30 % parce qu’elles connaissent quelqu’un qui a été victime de cybercriminalité. Un tiers d’entre elles a indiqué se sentir plus vulnérable, car elles disposent de plusieurs comptes en ligne, et ressentir, par conséquent, une inquiétude accrue.

En ce qui concerne la lutte contre la cybercriminalité, un nombre impressionnant de personnes interrogées ne se sentent pas capables de se prémunir de la cybercriminalité (55%) et seulement 25 % estiment pouvoir résoudre un cybercrime. (étude)

A noter que le blog ZATAZ propose un service de veille concernant les données des internautes. ZATAZ surveille plus de 5 000 sites pirates et blackmarket, ce qui permet d’alerter sur des données volées/piratées dans la seconde de la découverte.

Les tendances phares en matière de cybersécurité pour 2019

Du point de vue de la cybersécurité, l’année 2018 s’est révélée assurément riche en événements ! En mai, le RGPD est finalement entré en vigueur en Europe. Cette avancée a démontré que les instances dirigeantes prennent enfin au sérieux la protection des données personnelles de leurs citoyens. Les entreprises qui travaillent en Europe se trouvent soudainement confrontées à de nouvelles conséquences si elles ne parviennent pas à protéger leurs données sensibles, nous propulsant tous à l’étape suivante de la cybersécurité mondiale.

Par ailleurs, nous avons vu la cybersécurité occuper une place centrale dans le paysage géopolitique tandis que les conversations sur le piratage financé par l’état et les attaques ciblant des infrastructures critiques attisaient les tensions à travers le monde. La société McAfee nous en a récemment donné un exemple en révélant qu’une nouvelle opération de piratage organisé, « Sharpshooter », ciblait spécifiquement les fournisseurs d’infrastructures critiques dans les secteurs de l’énergie, de la finance et de la défense.

Dans les entreprises, une certaine crainte envers la cybersécurité se ressent parmi les décideurs, beaucoup d’entre eux citent la sécurité et la protection de la vie privée comme des facteurs empêchant la progression de leur transformation numérique. De récentes études montrent que 40 % des personnes interrogées ont mentionné les problèmes de sécurité comme un thème récurrent, 37 % évoquant également la protection de la vie privée.

Alors qu’une perspective morose semble ainsi se dessiner tandis que 2018 touche à sa fin, nous avons le temps de réfléchir à l’année écoulée et de commencer à préparer notre défense pour 2019, et au-delà. Pour vous aider à élaborer ces plans, voici quelques-unes des principales tendances en matière de cybersécurité que nous anticipons pour 2019 :

Les nouvelles réglementations influencent les politiques de protection des données

L’entrée en vigueur de nouvelles réglementations sur la protection des données, telles que le RGPD européen, influencera fortement l’année 2019. Même si le RGPD est une bonne nouvelle car il améliore la sécurité des données, il représente un défi majeur pour les entreprises. Par ailleurs, même s’il est déjà en place depuis quelques mois, les importantes pénalités prévues en cas de non-conformité ne verront probablement le jour qu’à partir de 2019. Les entreprises de toute taille doivent repenser entièrement leurs politiques de protection des données pour faire face à plusieurs séries de réglementations internationales sur la confidentialité des données, en constante évolution.

L’IA joue un rôle croissant dans la cybersécurité

L’intelligence artificielle (IA) a émergé comme l’une des technologies qui a le plus changé le monde ces dernières années. En réalité, la valeur générée par les activités dérivées de l’IA atteindra presque 3,9 trillions de dollars d’ici 2022, selon Gartner. Cependant, cette technologie pourrait également être utilisée par des pirates informatiques pour lancer des attaques de plus en plus sophistiquées. La bonne nouvelle est que l’IA peut aussi être mise à profit par les entreprises pour identifier et contrer de telles menaces. Par exemple, des plateformes de prédiction des cyberattaques, basées sur la technologie de l’apprentissage automatique (Machine Learning), peuvent aider les chercheurs en sécurité à trier les menaces et à traiter les plus urgentes aussi rapidement que possible.

Les compétences en cybersécurité sont de plus en plus demandées

Les compétences requises pour traiter les cybermenaces, qui changent constamment, doivent évoluer et les entreprises doivent relever le défi afin de garder l’avantage. Cependant, nous sommes confrontés à une pénurie mondiale de compétences en cybersécurité sur le marché du travail. Selon un rapport récent de l’organisation International Information System Security Certification Consortium, ou (ISC)2, il existe 2,9 millions de postes vacants dans le domaine de la cybersécurité, ce qui représente une augmentation considérable par rapport au 1,8 million enregistré l’année précédant le rapport. Avec un nombre croissant d’entreprises s’engageant dans la transformation numérique, une attention accrue sera apportée à cultiver les compétences requises en cybersécurité au sein de la main d’œuvre existante et à recruter plus de spécialistes.

La prévention cède le pas à la résilience

En 2019, nous continuerons de nous éloigner de la prévention pour nous concentrer sur la résilience pour tout ce qui concerne les failles de sécurité. Il n’est plus possible d’éviter complètement ces menaces. Il faut donc se concentrer désormais sur l’identification de ces failles afin d’y remédier le plus rapidement possible. Les ressources jusqu’alors tournées vers la prévention des cyberattaques continueront d’être réattribuées à la protection, en 2019 et après.

La technologie IoT au cœur de la sécurité nouvelle génération

La technologie de l’Internet des Objets (IoT) devenant de plus en plus répandue, l’enjeu de la protection des données clients sensibles se complexifie considérablement. Les fabricants et les fournisseurs de services doivent s’assurer que leurs appareils, plateformes et logiciels garantissent un certain niveau de sécurité à leurs utilisateurs. La technologie IoT est largement utilisée non seulement pour le matériel de consommation, tel que les appareils de domotique, mais également dans les secteurs de la fabrication et du commerce de détail, ce qui fait de la sécurité une priorité. L’essor de l’IoT contribue à favoriser le développement de cadres de sécurité nouvelle génération. Ceux-ci peuvent être adaptés pour prendre en charge les technologies émergentes et les nouvelles menaces de sécurité au fur et à mesure qu’elles se développeront. Mieux encore, les données générées par les appareils IoT pourront également aider à détecter les failles de sécurité.

Les entreprises de toutes tailles sont la cible de cybercriminels

Alors que les grandes entreprises sont clairement une cible privilégiée des cyberattaques majeures, quelque 58 % des victimes de violation de données sont en réalité des petites entreprises, selon un rapport Verizon. Avec un budget sécurité moindre, les petites entreprises peuvent être considérées par les pirates informatiques comme des proies faciles, leur offrant un profit élevé pour des efforts minimums. Les cybermenaces les plus fréquentes sont les rançongiciels, les attaques par déni de service (DDoS) et les logiciels malveillants. Selon le rapport, des données à caractère personnel ont été compromises dans 36 % des cas de violation de données l’année dernière, ce qui souligne l’importance de la protection contre de telles attaques. Le rapport indique que le secteur de la santé a été le plus touché par les cyberattaques tandis que les atteintes dans le secteur de la finance ont chuté, suite à des investissements massifs dans la cybersécurité. (Srinivasan C.R., Chief Digital Officer, Tata Communications)

La technologie PAM au service des cyber-investigations et de la remédiation en 2019

Nul ne veut être amené à devoir gérer un incident de sécurité ou une compromission, encore moins en tout début d’année ! La priorité absolue devrait être de pouvoir bloquer une cybermenace avant qu’elle compromette l’entreprise. Mais dans la réalité, il n’est quasiment jamais possible de prévoir une cyberattaque. De la recherche de menaces aux investigations pour détecter des indicateurs de compromis (IoC) manifestes, la procédure à suivre pour identifier un incident ou une compromission est bien connue. Si les processus varient d’une entreprise à une autre, les malwares, les comptes compromis, les mouvements latéraux, etc. doivent tous faire l’objet d’un plan de nettoyage formel.

Si un cas de compromission est suffisamment grave (par exemple, la compromission des contrôleurs de domaine), les entreprises n’auront d’autre choix que de réinstaller tout l’environnement en entier. Certes, c’est le pire scénario, mais il se produit parfois. Souvent, les entreprises choisiront de nettoyer à fond les serveurs du mieux possible plutôt que d’effectuer une réinstallation complète. C’est une décision interne basée sur le risque, la faisabilité et le coût. Et ce scénario est vain si la menace est persistante et qu’elle emploie des techniques lui permettant de contourner les mesures d’identification traditionnelles. Si vous pensez que c’est de la science-fiction, étudiez les menaces comme rootkits, Spectre et Meltdown qui prouvent qu’il y a toujours un moyen d’attaquer une ressource technologique. Sans parler des spams envahissant. Ils peuvent d’ailleurs se contrer avec des outils tels qu’Altospam.

Les criminels en ont après vos identifiants

Quelle que soit votre stratégie corrective, vous pouvez être certain que, d’une façon ou d’une autre, ceux qui emploient les vecteurs de menace auront accès à vos identifiants. Ceci implique de ne jamais réutiliser des mots de passe ou clés préexistants dans votre travail de nettoyage. Si possible, modifiez (lancez la rotation) tous les identifiants de toutes les ressources affectées ou reliées à ces dernières. C’est là qu’intervient la gestion des accès privilégiés ou Privileged Access Management (PAM). L’étape de nettoyage ou de redéploiement doit être protégée de la réutilisation d’un ancien mot de passe ou du fait qu’un criminel puisse regagner sa présence persistante en raison d’une mauvaise gestion des identifiants dès le début des efforts de remédiation.

La gestion des mots de passe est un aspect central d’une stratégie PAM. Elle inclut l’intégration automatique, la rotation, la gestion des sessions, le reporting et les étapes de check-in et check-out des mots de passe conservés dans un coffre-fort. Si l’on utilise surtout la technologie PAM pour les mots de passe privilégiés, comme ceux des comptes admin, root, de service ou DevOps, elle peut aussi servir de solution selon le principe du moindre privilège pour supprimer les droits administratifs d’applications et de tâches. Ainsi, les utilisateurs n’auront plus besoin d’un compte admin secondaire pour effectuer leurs tâches.

Le rôle de la technologie PAM dans le nettoyage post-compromission

Cela étant dit, en quoi la technologie PAM est-elle utile pour nettoyer les compromissions de sécurité ? Lors d’un incident ou d’une compromission de sécurité, vous devez d’abord mener des investigations sur ce qui suit :

  • Déterminez quels comptes ont été compromis et utilisés pour obtenir l’accès et pour opérer un mouvement latéral.
  • Déterminez la présence et les ressources de tous les comptes compromis et ceux y étant reliés. Par exemple, le même compte compromis sur l’actif X ou l’application Y est également utilisé sur les actifs A, B et C pour les applications D, E et F afin qu’ils puissent communiquer.
  • Identifiez et purgez tous les comptes illicites ou irréguliers créés par le criminel à l’origine de la menace.
  • Identifiez et supprimez ou segmentez tout élément dit de « shadow IT », de l’IoT ou toute autre ressource faisant partie de la chaîne de la cyberattaque pour vous protéger de menaces ultérieures.
  • Analysez les comptes qui ont été compromis et déterminez le niveau minimum de privilèges nécessaire pour pouvoir exécuter les fonctions. La plupart des utilisateurs et des comptes système n’ont pas besoin de comptes root ou admin locaux ou couvrant tout un domaine.
  • Analysez comment les données ont été utilisées et rendues accessibles par l’agresseur lors de la compromission. Est-ce que des données révélatrices d’indicateurs de compromis (IoC) ont été capturées lors de l’utilisation abusive du compte privilégié ? Si des données ont effectivement été capturées, est-ce que cela aide à identifier la menace ? Faute de données capturées, déterminez ce qu’il faut changer pour surveiller de prochaines utilisations abusives des comptes privilégiés. Ceci inclut l’usage qui est fait des comptes privilégiés, ainsi que la surveillance de session et l’enregistrement de frappe, si nécessaire.

Cette analyse n’est pas triviale. Il faut se doter d’outils pour découvrir les comptes, identifier les ressources, déterminer les schémas d’usage et, surtout, repérer les abus potentiels. Même si toutes les données des logs sont envoyées à un système SIEM (Security Information and Event Management), il faut une étape de corrélation ou d’analyse du comportement des utilisateurs pour répondre à ces questions.Une fois que vous avez mené l’investigation initiale, voici cinq manières dont une technologie PAM peut vous aider après une compromission et qui font qu’elle devrait être considérée comme centrale dans vos efforts de nettoyage :

  1. Après l’étape de découverte, intégrez automatiquement vos comptes privilégiés et instaurez des mots de passe uniques et complexes en leur imprimant une rotation automatique. Vous vous assurez ainsi qu’une présence persistante ne puisse pas exploiter vos comptes compromis.
  2. Pour tous les comptes reliés, utilisez votre solution PAM pour programmer de façon régulière leur rotation, y compris pour les comptes de service. Ainsi, les comptes sont synchronisés et potentiellement isolés d’autres formes de réutilisation des mots de passe.
  3. Si cela est possible, supprimez tous les comptes privilégiés inutiles jusqu’au PC. Ceci vaut pour les comptes admin secondaires associés à une identité. Pour toute application, commande ou tâche qui requiert des droits admin, envisagez le modèle du moindre privilège qui élève l’application, et non l’utilisateur, à exercer la gestion privilégiée.
  4. Avec la technologie PAM, recherchez les IoC qui suggèrent un mouvement latéral, émanant de commandes ou d’un comportement irrégulier de l’utilisateur. C’est une portion critique de la chaîne de cyberattaque où la technologie PAM peut être utile pour identifier si des ressources ont, ou non, été compromises.
  5. Le contrôle d’application est l’une des meilleures défenses contre les malwares. Il s’agit de rechercher les applications de confiance qui sont vulnérables aux menaces en se servant de différentes formes de services basés sur la réputation. La technologie PAM peut ici aussi être utile. Décidez d’exécuter une application en vous fondant sur la confiance et les risques connus avant de l’autoriser à interagir avec l’utilisateur, les données, le réseau et le système d’exploitation.

La gestion des accès privilégiés ne doit pas se résumer aux nouveaux projets et aux systèmes hérités pour bloquer les vecteurs d’attaques privilégiées. On peut penser au phishing. On doit l’envisager également pour les besoins de forensics et de contrôle de la remédiation après un incident ou une compromission. La technologie PAM aidera à empêcher un criminel de s’emparer de ce qui est le plus à sa portée dans votre entreprise : une mauvaise gestion des mots de passe et des identifiants.

Comme meilleure pratique de sécurité, l’accès privilégié doit toujours être limité. Quand un vecteur de menace s’empare d’identifiants admin ou root, il s’empare des clés de votre royaume. L’objectif est de l’empêcher d’y parvenir et de reprogrammer fréquemment les comptes avec des mots de passe : ainsi, même s’il vole un mot de passe, il ne pourra en faire qu’un usage limité et toute tentative d’utilisation abusive sera surveillée. Après un incident ou une compromission, c’est donc une aide précieuse pour atténuer toute présence persistante et une méthodologie tout aussi précieuse dans le processus de nettoyage et pour la pérennité de votre système. (Par William Culbert, directeur Europe du Sud de BeyondTrust)

Déchiffrer les nouvelles versions de GandCrab

Europol, la police roumaine, plusieurs autres organisations policières et privées publient un nouvel outil de déchiffrement pour les dernières versions du ransomware GandCrab.

 Europol, l’agence Roumaine DIICOT (Direction des enquêtes sur le crime organisé et le terrorisme) et plusieurs organisations policières et privées, dont Bitdefender, proposent une nouvelle version de l’outil de déchiffrement mis à disposition des victimes de GandCrab, pour lutter contre les dernières versions du ransomware. GandCrab est à ce jour reconnu comme étant l’une des familles de ransomware les plus prolifiques et les plus dangereuses du monde.

Le nouvel outil de déchiffrement permet aux victimes de retrouver l’accès à leurs propres données sans payer de rançon aux cybercriminels. En plus des versions 1, 4 et des premières versions 5, le nouvel outil s’attaque maintenant aux infections par les versions 5.0.4 à 5.1 – les plus récentes utilisées par les cybercriminels diffusant GandCrab.

L’outil précédent a déjà été téléchargé plus de 400 000 fois, aidant près de 10 000 victimes à économiser plus de 5 millions de dollars en frais de déchiffrement. Depuis son émergence en janvier 2018, GandCrab a infligé des centaines de millions de dollars de pertes dans le monde.

GandCrab Familly

La famille de ransomware GandCrab a été extrêmement active au cours de la dernière année, surpassant les autres familles de ransomware en popularité et en viralité.

L’année dernière, certaines versions de GandCrab ont commencé à attaquer des organisations via des instances de Remote Desktop Protocol exposées ou en se connectant directement avec des identifiants de domaine volés. Après s’être authentifié sur un PC compromis, les attaquants lancent manuellement le ransomware et lui demandent de se répandre sur tout un réseau. Une fois le réseau infecté, les attaquants effacent leurs traces et contactent ensuite la victime avec une offre de déchiffrement. Depuis fin 2018 et début 2019, GandCrab a radicalement transformé son mécanisme de diffusion, ses opportunités d’affiliation et amélioré sa résistance à la plupart des solutions de cybersécurité.

Pour prévenir les infections des logiciels de rançon, les utilisateurs doivent mettre en œuvre une solution de sécurité avec des défenses anti-ransomware en couches, sauvegarder régulièrement leurs données et éviter d’ouvrir les pièces jointes fournies avec les messages non sollicités. Il ne faut pas céder aux exigences des opérateurs de ransomware, notamment GandCrab et penser à sauvegarder l’information chiffrée et aviser la police immédiatement.

Actions de GandCrab

D’abord, après son lancement sur une machine attaquée tournant sous Microsoft Windows, GandCrab! peut recueillir des informations sur les processus en cours des logiciels antivirus. Il vérifie en premier lieu sa présence sur la machine, puis force l’arrêt des processus logiciels selon une liste définie par le malveillant utilisateur. Il installe une copie de lui-même sur le disque et modifie une branche du Registre Windows pour assurer son lancement automatique.

Ensuite, le Trojan chiffre le contenu des disques fixes, amovibles et de réseau, à l’exception de certains dossiers dont quelques dossiers système et service. Chaque disque rendu illisible dans un thread différent. Après la fin du chiffrement, le Trojan envoie au serveur des données sur le nombre de fichiers chiffrés et sur le temps mis pour le chiffrement.

Pour conclure, le nouvel outil de décryptage est disponible immédiatement et peut être téléchargé gratuitement sur No More Ransom Project.

YesWeHack lève 4 millions d’euros et entend révolutionner le marché de la cybersécurité en Europe

YesWeHack, la première plateforme européenne de Bug Bounty annonce aujourd’hui une levée de fonds de 4 millions d’euros auprès d’Open CNP, programme de corporate venture de CNP Assurances, et de Normandie Participations. L’opération a pour objectif de renforcer le développement de l’entreprise en France et d’accélérer sa présence à l’international, notamment en Europe et en Asie.

Fondé en 2013, YesWeHack propose aux entreprises une approche innovante de la cybersécurité, grâce au Bug Bounty (récompense à la vulnérabilité), en mettant en relation plus de 7 000 experts en cybersécurité (hackers éthiques) répartis dans 120 pays, et des entreprises pour sécuriser leurs périmètres exposés et rechercher les vulnérabilités (bugs) de leurs sites web, applications mobiles, infrastructures et objets connectés.

Avec cette levée de fond, YesWeHack entend jouer un rôle décisif dans la révolution que constitue le développement en Europe d’une approche agile de la sécurité, accélérateur de la transformation digitale. Le Bug Bounty participe ainsi à la tendance DevSecOps (développement-sécurité-opérations), pour intégrer la sécurité des systèmes de façon plus proactive, dès la genèse des projets.

YesWeHack étoffe son conseil stratégique avec l’arrivée de Laurent Seror, président d’Outscale, Eric Leandri, PDG de Qwant, Charles Beigbeder et Jonathan Denais d’Open CNP.
Avec cet investissement, CNP Assurances poursuit ses objectifs d’investissements et de partenariats avec des start-up innovantes en réalisant ainsi le 7èmeinvestissement d’Open CNP, son programme de corporate venture. Créé en 2016, il a pour objectif d’accompagner financièrement la croissance de start-up innovantes tout en développant avec elles des solutions avancées dans des domaines porteurs : fintech, assurtech, e-santé et autres technologies, lui permettant de mieux servir ses clients. CNP Assurances est depuis juillet 2018 utilisateur de la plateforme YesWeHack et a mis en place son programme de Bug Bounty.

Normandie Participations participe au dynamisme du territoire aux côtés des autres acteurs locaux du financement. Sur un principe de co-investissement avec des acteurs privés, Normandie Participations, doté d’un capital 100 % Région Normandie, s’adresse aux entreprises dans les champs de l’amorçage, l’innovation, le développement, la création, la transmission et le rebond. Le fond régional a réalisé 38 participations pour 30 M€ d’investissements en un peu plus de 2 ans.

Cybersécurité : la DGSI communique sur l’ingérence économique

La Direction Générale de la Sécurité Intérieur, la DGSI (ex. DST), vient de publier un flash évoquant l’ingérence économique dont des sociétés françaises sont régulièrement victimes. Les chasseurs d’espions de la République reviennent sur plusieurs exemples qui additionnent malveillances, mails et informations d’entreprises emportées par des sous-traitants.

Dans son flash du mois de février 2019, la Direction Générale de la Sécurité Intérieur (DGSI) montre du doigt un problème récurent qu’il est possible de croiser dans de nombreuses sociétés : les consultants extérieurs. « De nombreuses entreprises ont recours à des consultants externes à l’entreprise aux fins de sous traiter des missions de conseil dans des domaines spécifiques (ressources humaines, management, finances, RSSI, réorganisation, etc.). » indique la DGSI. Les missions de ces consultants peuvent parfois se dérouler au sein de sociétés stratégiques ou innovantes. « Certains consultants, totalement intégrés aux équipes et présents au sein de l’entreprise pendant plusieurs mois, voire parfois plusieurs années, peuvent néanmoins avoir accès à des informations sensibles, induisant une potentielle vulnérabilité pour le patrimoine informationnel de la structure hébergeante« .

Sous-traitants malveillants !

Parmi les exemples, une entreprise spécialisée dans le transport de matières premières qui découvre qu’un ingénieur consultant, prestataire pour le compte d’une société de conseil, avait exfiltré des données confidentielles portant sur des technologies innovantes. Un autre cas, un téléphone portable volé au sein d’une unité à accès réglementé d’une grande entreprise française. Dans le smartphone, une carte « micro SD » contenant des informations et des logiciels portant sur une technologie innovante de l’entreprise.

Carbon Black publie pour la première fois un rapport sur les cybermenaces en France

Carbon Black, société américaine spécialisée dans les solutions de sécurité des points terminaux de nouvelle génération dans le Cloud, publie les résultats de son premier rapport sur la sécurité des entreprises françaises qui met en lumière le volume et l’intensité des cybermenaces pesant sur ces dernières.

Selon ce rapport, 94 % des organisations françaises interrogées ont déclaré avoir été victimes d’une violation de données au cours des 12 derniers mois. Ce rapport couvre différents secteurs verticaux, ainsi que des organisations et des services informatiques de toutes tailles, ce qui permet de dresser une vue d’ensemble du paysage actuel des attaques et de la cyberdéfense en France.

Les principales conclusions de l’étude

  • 94 % des organisations françaises interrogées ont subi une violation de la sécurité au cours des 12 derniers mois
  • Le nombre moyen de violations par organisation est de 5,81
  • 91 % des organisations ont constaté une augmentation du volume des attaques
  • 94 % des organisations pensent que ces attaques sont de plus en plus sophistiquées
  • 89 % des organisations prévoient d’augmenter leur budget de cyberdéfense

Escalade des cyberattaques

Sur les 91 % des entreprises françaises signalant une augmentation des cyberattaques, 35 % estiment que leur nombre a augmenté de plus de la moitié au cours de l’année passée. 94 % ont constaté une sophistication accrue et plus de la moitié (52 %) estiment que l’approche de leurs adversaires est considérablement plus sophistiquée qu’avant.

Toujours selon ce rapport, 59 % des organisations interrogées ont subi au moins cinq violations. Par ailleurs, une sur 10 a constaté au moins 10 attaques. 89 % des organisations françaises interrogées prévoient d’augmenter leur budget de cyberdéfense en réponse à l’accumulation de menaces.

« Notre premier rapport sur la cybersécurité en France dévoile que les entreprises sont soumises à une pression intense en raison de la montée en puissance des attaques », explique Rick McElroy, directeur du service des stratégies de sécurité de Carbon Black. « Nous avons constaté une augmentation générale du volume d’attaques et du degré de sophistication, qui ont contribué à une progression des violations de sécurité. En réaction, un nombre encourageant d’organisations françaises tente d’anticiper les risques grâce à la chasse aux menaces et obtient des résultats très positifs. Alors que ces stratégies arrivent à maturité, nous espérons voir le nombre de violations recensées se réduire. »

Ransomware et hameçonnage à la source des violations 

Selon le rapport, le ransomware est à l’origine de 19 % des violations au sein des entreprises françaises. Toutefois, le facteur humain joue également un rôle non négligeable. D’après ce rapport, les attaques par hameçonnage sont à l’origine d’une violation sur six en France.

Chasse aux menaces en France

73 % des organisations françaises interrogées affirment avoir mis en place des mesures actives de chasse aux menaces ou « threat hunting », avec un peu moins de la moitié (35 %) ayant commencé au cours des 12 derniers mois. 95 % de ces organisations estiment que les mesures de chasse aux menaces ont renforcé leurs défenses, ce qui est très positif.

« Il est encourageant de constater que près des trois quarts des entreprises françaises interrogées ont mené des opérations de chasse aux menaces », poursuit Rick McElroy. « Il reste certes une marge d’amélioration, mais le fait que 95 % de ces organisations pensent avoir renforcé leur cybersécurité permet d’espérer que nous sommes sur la bonne voie. »

Pour accéder à l’étude complète : https://www.carbonblack.com/resources/threat-research/global-threat-report-series/

Tendance 2019 : pas de répit pour le cryptojacking

Le rapport sur les tendances de cybersécurité 2019 indique  que les attaques par « cryptojacking » ne devraient montrer aucun signe de faiblesse en 2019, alors que les attaquants ciblent désormais aussi les équipements intelligents et les assistants personnels afin de bâtir des fermes de cryptominning toujours plus importantes.

Tendance #1 : la montée des cryptomineurs

Les crypto-monnaies ont occupé le devant de la scène médiatique en 2018 et le cryptojacking (le fait de détourner un équipement pour le forcer à « miner » des crypto-monnaies pour le compte du pirate) semble ne montrer aucun signe de répit, selon David Harley, chercheur en cybersécurité chez ESET :  « et nous pouvons nous attendre en outre à voir de plus en plus de logiciels de minage tenter de désinstaller d’autres logiciels concurrents sur les systèmes compromis, afin de s’approprier la plus grosse part du gâteau par rapport aux performances du système ».

Tendance #2 : l’automatisation au service des campagnes d’ingénierie sociale

Selon ESET, 2019 verra un recourt accru par les cybercriminels aux techniques d’automatisation et d’apprentissage automatique (le « Machine Learning ») afin de collecter toujours plus de données personnelles, et mener ainsi des attaques par ingénierie sociale toujours plus sophistiquées et, surtout, plus personnalisées.

Bien qu’il soit peu probable qu’ils aient accès aux données détenues par des acteurs commerciaux (comme par exemple les habitudes d’achat de clients des sites de commerce électronique), les pirates pourront tout de même avoir recours à des traqueurs web pour suivre leurs victimes de site en site, et acquérir des informations auprès de vendeurs de données pour développer leurs propres profils personnalisés.

D’après Lysa Myers, chercheur en cybersécurité senior « Bien que certaines opérations de phishing et autres fraudes aient clairement amélioré leur capacité à imiter des sources légitimes, beaucoup demeurent encore vraiment très amateurs et donc très simples à identifier. Mais le Machine Learning pourrait aider les pirates à les améliorer et augmenter ainsi leur efficacité ».

Tendance #3 : la protection des données personnelles sera l’alpha et l’oméga des entreprises

En 2018 la question de la protection des données à caractère personnel a occupé le devant de la scène, autant à cause de grandes affaires de fuites de données que par l’entrée en vigueur du règlement européen RGPD. Des incidents tels que celui de Cambridge Analytica pourraient pousser les internautes à chercher des alternatives aux plateformes dominantes actuelles telles Facebook.

Tendance #4 : vers une législation globale pour la protection des données personnelles ?

A la suite de l’entrée en vigueur du RGPD, le rapport s’interroge quant à l’émergence possible d’une réglementation universelle sur la protection des données personnelles, dont le RGPD ne serait en définitive que le précurseur. En particulier parce que des modèles de réglementations similaires commencent à apparaître en Californie, au Brésil et au Japon.

ESET met ainsi en garde les entreprises qui seraient tentées de ne considérer le RGPD que comme un problème purement européen, presque une anomalie. Bien au contraire, la pression pour protéger correctement les données personnelles des clients et des collaborateurs est une question globale, et cela devrait conduire à voir émerger de plus en plus de réglementations similaires à travers le monde.

Tendance #5 : les attaquants convoitent les équipements domestiques intelligents

Entre l’intérêt croissant pour les crypto-monnaies et l’adoption massive des objets intelligents connectés à Internet, il est envisageable que ces derniers deviennent les points d’entrée privilégiés des attaquants pour bâtir leurs fermes de crypto mineurs en 2019.

Nous avons déjà observé comment les criminels exploitent les objets connectés afin de lancer des attaques par déni de service distribué de grande envergure. Mais alors que de plus en plus d’équipements personnels sont connectés et intégrés à nos vies quotidiennes, en 2019 les attaquants pourront continuer à rechercher ces objets intelligents pour les aider à mettre en œuvre des attaques diverses, telles que des escroqueries, des demandes de rançon et, nous l’avons vu, du crypto-mining.

Pour plus d’informations sur les tendances 2019 et les menaces qui pèseront sur les entreprises, téléchargez le rapport ESET des tendances de cybersécurité 2019 : « Vie privée et intrusion dans le Village Global ».

La cyber criminalité constitue une préoccupation majeure pour un Français sur deux

Europ Assistance dévoile les conclusions de l’édition 2019 de son baromètre des cyber risques. L’étude, conduite en partenariat avec LEXIS, porte sur la perception des Européens et Américains à l’égard des risques liés à l’utilisation d’internet.

Près d’1 Français sur 4 connait une victime d’attaque ciblant des données confidentielles ou sensibles – de surcroît, 78% des Français considèrent une potentielle attaque contre leurs données personnelles comme un événement « hautement stressant ». Ainsi, la prise de conscience concernant les cyber risques se généralise. Quelles sont les principales inquiétudes des français face à la cybercriminalité ? 60% des sondés se disent très préoccupés par les paiements et achats en ligne, tandis qu’un sur deux s’inquiète pour la sécurité de leurs enfants et craigne une usurpation d’identité.

Des stratégies de protection en décalage avec les préoccupations en matière de cybercrimes

Un tiers des Français (32%) déclare modifier fréquemment leurs identifiants, mots de passe et certificats numériques. Plus alarmant, si la majorité d’entre eux révèle disposer d’une solution antivirus ou antimalware sur leur ordinateur, moins de la moitié déclare utiliser un service similaire sur leur smartphone ou sur leur tablette. Cette statistique est particulièrement inquiétante dans la mesure où désormais, plus de la moitié du trafic web mondial s’effectue sur ces supports.

Par ailleurs, la moitié (48%) des répondants français disent ne pas savoir comment gérer une éventuelle compromission de leurs données personnelles. Cela explique pourquoi un nombre similaire de Français (47%) déclarent ne pas avoir un sentiment de contrôle sur les informations en ligne les concernant. Ce sentiment accentué par le fait que 51% des Français pensent que les entreprises et les institutions n’en font pas assez pour protéger leurs informations personnelles.

Méthodologie : l’édition 2019 du baromètre cyber d’Europ Assistance et de LEXIS a été réalisée dans 9 pays à savoir les États-Unis, l’Italie, la France, l’Espagne, l’Autriche, la Hongrie, la Suisse, la République Tchèque et la Roumanie. Dans chaque pays, 800 consommateurs âgés de 25 à 75 ans ont répondu à un questionnaire en ligne de 15 minutes. L’enquête, conduite entre novembre et décembre 2018, porte sur quatre sujets clefs : les activités en ligne et les stratégies de protection personnelle, les inquiétudes concernant les activités Web et numériques, l’évaluation d’un service de protection contre les cyber risques, et l’intention d’achat d’un tel service.

Patch Tuesday : 74 vulnérabilités dont 20 critiques

Le patch Tuesday de ce mois de février 2019 propose la correction de 74 vulnérabilités, dont 20 critiques.

Le Patch Tuesday de ce mois-ci est très volumineux et porte sur la résolution de 74 vulnérabilités dont 20 classées critiques. 15 de ces vulnérabilités critiques concernent le moteur de script et des navigateurs, les 5 autres sont liées à GDI+, SharePoint et DHCP. Microsoft a également publié un avis de sécurité pour un exploit Zero-Day affectant Exchange ainsi qu’un patch pour l’une des deux vulnérabilités signalées. De son côté, Adobe a publié des mises à jour pour Acrobat/Reader, Flash, ColdFusion et Creative Cloud.

Correctifs pour les postes de travail

Les patches pour les navigateurs, le moteur de script et GDI+ sont une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Concernés, les serveurs multiutilisateurs en mode postes de travail distants.

Exchange

Fin janvier, un exploit Zero-Day a été annoncé pour Microsoft Exchange. Ce dernier utilise plusieurs vulnérabilités connues dans Exchange et Active Directory. L’attaquant qui exploite ces vulnérabilités peut élever ses privilèges jusqu’au rang d’administrateur de domaine. La semaine dernière, Microsoft a publié un avis de sécurité concernant cet exploit et donné certaines recommandations pour atténuer les vulnérabilités. Cependant, deux mises à jour ont été publiées aujourd’hui (CVE-2019-0686 et CVE-2019-0724) qui remplacent l’atténuation suggérée en amont. Le déploiement de ces mises à jour est hautement prioritaire dans tous les environnements Exchange.

SharePoint

Les deux vulnérabilités dans SharePoint (CVE-2019-0594 et CVE-2019-0604) permettent à un utilisateur malveillant d’exécuter du code dans le contexte d’un pool d’applications SharePoint et du compte de la ferme de serveurs SharePoint. L’utilisateur malveillant a besoin de droits spéciaux pour réaliser cette action. Le correctif est hautement prioritaire pour tous les serveurs SharePoint.

DHCP

Une vulnérabilité affecte le serveur DHCP de Windows. Classée comme critique. Elle peut faciliter l’exécution de code à distance.

Tout attaquant qui envoie des paquets à un serveur DHCP. Ce correctif doit donc être une priorité pour tous les déploiements DHCP Windows.

Correctifs Adobe

Pour conclure, Adobe a également publié des correctifs pour Acrobat/Reader, Flash, ColdFusion et Creative Cloud. Les patches Acrobat/Reader corrige 71 CVE.

Classé comme important par Adobe, le patch pour Flash corrige une vulnérabilité de type « lecture hors limites » pouvant entraîner la divulgation d’informations. Pour sa part, Microsoft considère cette vulnérabilité comme critique et pouvant entraîner une exécution de code à distance.

Le correctif pour ColdFusion permet de traiter deux vulnérabilités, l’une étant classée comme critique. La vulnérabilité de désérialisation Java doit être corrigée dès que possible car son exploitation peut entraîner l’exécution de code à distance. Une procédure plus complète sera peut-être nécessaire après le déploiement de la mise à jour. (Par Jimmy Graham/Qualys)

Cybercriminels : évolution des systèmes sophistiqués de menaces

Utilisation massive des attaques par email, détection difficile des attaques phishing ou encore chute des ransomwares… Quelles ont été les tendances des cybercriminels ce dernier trimestre ?

Dans son Rapport Trimestriel Q4 2018, Proofpoint met en lumière l’évolution des systèmes sophistiqués de menaces, que ce soit à travers les emails, les réseaux sociaux ou plus largement sur internet. Conçu pour mieux combattre les menaces d’aujourd’hui et anticiper les attaques émergentes, il permet de découvrir les tendances en matière de cyberattaques.

Parmi les principales menaces du dernier trimestre 2018, nous notons Une utilisation massive des attaques BEC contre des entreprises. Une augmentation des fraudes par email de 226% au quatrième trimestre et de 476% par rapport au quatrième trimestre 2017. Les chevaux de Troie bancaires restent la principale menace véhiculée par email : ils représentent 56% de toutes les charges utiles malveillantes au quatrième trimestre ; parmi celles-ci, 76% des attaques proviennent de Emotet. Egalement, les chevaux de Troie d’accès à distance représentaient 8,4 % de toutes les charges utiles malveillantes au quatrième trimestre et 5,2 % pour l’année, marquant un changement significatif par rapport aux années précédentes où ils étaient rarement utilisés.

Les ransomware toujours très présents

Les ransomwares ont chuté à seulement 0.1% du volume total de messages malveillants. Les messages malveillants qui contiennent de fausses mise à jour ou lien de téléchargement corrompus ont grimpé à plus de 230 % en 1an. Les messages exploitant des URL malveillantes se sont révélés plus nombreux que les messages contenant des pièces jointes.

Les attaques sur le web : quand les cryptomonnaies se font miner. L’activité de Coinhive, ce logiciel de minage de moneros, a littéralement explosé en décembre (augmentation de 23 fois la moyenne de l’année en deux semaines). Dans l’ensemble, l’activité Coinhive a continué de croître lentement, à l’exception de ce pic. Il y a eu une augmentation de 150% de menace ciblant l’humain, bien qu’il s’agisse d’une croissance plus lente que les trimestres précédents. Ce chiffre confirme l’importance des techniques d’ingénierie sociale.

Sur les réseaux sociaux, les attaques par « angler phishing » restent difficiles à détecter. Le phishing sur les réseaux sociaux, communément appelé ‘angler phishing a augmenté de 442 % par rapport à l’année précédente. En revanche, les liens de phishing sur les réseaux sociaux diminuent à mesure que les plateformes renforcent leurs algorithmes pour contrer ce problème. Le phishing reste malgré tout une technique difficile à détecter car les attaques sont causées par des interactions humaines. (Le rapport)

les logiciels malveillants dédiés aux cryptomonnaies touchent 10 fois plus d’entreprises que les ransomwares

Les extracteurs de cryptomonnaie touchent 10 fois plus d’entreprises que les logiciels rançonneurs. Le Rapport Sécurité 2019 de Check Point révèle pourtant que seul 1 professionnel de l’informatique sur 5 anticipe les infections.

La seconde partie de son Rapport Sécurité 2019 souligne combien les outils et les services utilisés pour mener des activités cybercriminelles se sont démocratisés. Non seulement les méthodes d’attaque se sont perfectionnées mais elles sont désormais accessibles à toute personne disposée à en payer le prix, et c’est précisément rendu possible grâce au marché en plein essor des logiciels malveillants sous forme de service.

Cette seconde partie du rapport révèle les principales tendances en matière de cyberattaques observées en 2018, et pointe du doigt la croissance significative du nombre d’attaques furtives et complexes conçues pour échapper aux équipes de sécurité des entreprises. Il précise également les types de cyberattaques que les équipes informatiques et de sécurité des entreprises considèrent comme représentant la plus grande menace pour eux.

Les éléments clés du rapport

  • Les extracteurs de cryptomonnaie s’activent sur les réseaux sans être détectés : Les extracteurs de cryptomonnaie ont infecté 10 fois plus d’entreprises que les logiciels malveillants en 2018, mais seulement un professionnel de la sécurité informatique sur cinq a été en mesure de détecter une infection sur son réseau. 37 % des entreprises dans le monde ont été touchées par des extracteurs de cryptomonnaie en 2018. 20 % des entreprises continuent d’être touchées par ce phénomène chaque semaine, malgré une baisse de 80 % de la valeur des cryptomonnaies.
  • Les risques présentés par les extracteurs de cryptomonnaie sont sous-estimés par les entreprises : Lorsque CP a demandé aux entreprises quelles étaient les menaces les plus importantes pour leur entreprise, 16 % seulement des professionnels de l’informatique ont cité les extracteurs de cryptomonnaie, contre 34 % pour les attaques DDoS, 53 % pour les fuites de données, 54 % pour les logiciels rançonneurs et 66 % pour le phishing. C’est assez préoccupant, car les extracteurs de cryptomonnaie peuvent facilement servir de portes dérobées pour télécharger et activer d’autres types de logiciels malveillants. 
  • Les logiciels malveillants sous forme de service se développent : Le programme d’affiliation du logiciel malveillant sous forme de service GandCrab permet désormais à des amateurs de se lancer dans le business lucratif des logiciels rançonneurs. Ils conservent jusqu’à 60 % du montant des rançons perçues auprès des victimes et les développeurs en conservent jusqu’à 40 %. GandCrab compte plus de 80 affiliés actifs, et plus de 50 000 victimes ont été infectées en seulement deux mois en 2018, totalisant entre 300 000 et 600 000 dollars de rançons. 

« La seconde partie de notre Rapport Sécurité 2019 montre comment les cybercriminels s’intéressent à de nouvelles approches furtives et de nouveaux modèles commerciaux, tels que les programmes d’affiliation de logiciels malveillants, afin de maximiser leurs revenus illégaux tout en réduisant le risque d’être détectés. Même s’ils agissent à l’abri des regards on ne doit pas les oublier. Bien que discrètes, les cyberattaques de 2018 ont été nombreuses et préjudiciables, » déclare Thierry Karsenti, Vice-Président EMEA Sales Engineering de Check Point Software Technologies. « Grâce à notre rapport sécurité et aux analyses des évolutions récentes qu’il propose, les entreprises peuvent mieux appréhender les menaces auxquelles elles sont confrontées, et mieux anticiper pour qu’elles n’aient pas d’incidence sur leurs activités. »

Le Rapport Sécurité 2019 s’appuie sur des données provenant du plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données sur les menaces et des tendances en matière d’attaques issues d’un réseau mondial de capteurs ; d’études effectuées par Check Point au cours des 12 derniers mois ; et d’une toute nouvelle enquête menée auprès de professionnels de l’informatique et de cadres supérieurs, qui évalue leur niveau de préparation face aux menaces actuelles. Le rapport examine les toutes dernières menaces émergentes dans différents secteurs d’activité, et fournit un aperçu complet sur les tendances observées dans le paysage des logiciels malveillants, des vecteurs de fuites de données émergents et des cyberattaques commanditées par des États.

Google Play : le premier malware capable de détourner des crypto-monnaies par copier-coller.

Des chercheurs découvrent dans le Google Play Store le premier malware Android capable de remplacer le contenu du presse-papier de l’appareil infiltré. De type « Clipper », ce code malveillant très spécifique cible les utilisateurs des crypto monnaies Bitcoin et Etherum, et il a pour objectif de rediriger les fonds transférés depuis le portefeuille (le « wallet ») de la victime vers celui du criminel en changeant l’adresse de destination au moment où celui-ci est copié-collé.

« Cette découverte montre que de tels Clippers capables de détourner des fonds ne sont plus réservés aux environnements Windows ou à des forums Android de seconde zone. Désormais, tous les utilisateurs Android doivent s’en méfier », explique Lukáš Štefanko, le chercheur ESET à l’origine de cette découverte.

Ce nouveau Clipper profite du fait que bon nombre d’utilisateurs de crypto monnaies entrent rarement manuellement les adresses de portefeuilles, car elles représentent souvent de longues et fastidieuses chaînes de caractères. Ils préfèrent copier l’adresse depuis un document, puis la coller dans le wallet. Et c’est à ce moment, lorsque l’adresse est encore dans le presse-papier Android, que le malware est capable de la remplacer par une autre, appartenant au criminel.

Les premiers Clippers sont apparus dans l’écosystème Windows en 2017. En 2018, les chercheurs découvraient même trois applications de ce type sur le site de téléchargement downolad.cnet.com, l’une des plateformes de téléchargement le plus populaire au monde. En août de la même année apparaissait le premier Clipper pour Android. Distribué que sur des forums de piratage underground. Depuis, il est présent sur de nombreuses places de marché alternatives (des « App Stores » non-officiels).

Cependant, à ce stade, les utilisateurs qui se cantonnaient au Google Play Store officiel n’avaient rien à craindre… jusqu’à aujourd’hui !

Mais tout a changé depuis cette découverte par les chercheurs du premier Clipper pour Android sur le store Android officiel. « Nous avons heureusement détecté ce malware peu de temps après qu’il ait été introduit sur la plateforme. Nous avons immédiatement alerté l’équipe sécurité de Google, qui l’a rapidement supprimé », explique Lukáš Štefanko.

Ce Clipper découvert par les équipes ESET imite un service légitime appelé MetaMask, qui permet de faire fonctionner des applications Ethereum décentralisées dans un navigateur, sans nécessiter un nœud complet. MetaMask existe sous la forme d’un plugin pour les navigateurs Chrome et Firefox pour ordinateurs desktops, mais il n’a pas de version mobile.

« Il y a manifestement de la demande pour une version mobile de MetaMask, et les criminels le savent. C’est pour cela qu’ils ont décidé d’y répondre en imitant ce service sur le Google Play Store » explique Lukáš Štefanko.

Si d’autres malwares ont par le passé déjà tenté de détourner des crypto monnaies de la sorte, ils le faisaient de manière relativement grossière, en dirigeant leurs victimes vers de faux formulaires contrôlés par l’attaquant. « Mais avec un Clipper installé sur son téléphone, la fraude devient extrêmement simple : ce sont les victimes elles-mêmes qui envoient, malgré elles, directement les fonds au criminel ! », précise Lukáš Štefanko.

Cette découverte d’un malware de type Clipper sur le Google Play Store officiel devrait servir de rappel aux utilisateurs Android qu’il est impératif de respecter les bonnes pratiques de sécurité élémentaires.

Pour se protéger de tels malwares Android, nous vous conseillons

  • Mettez votre appareil régulièrement à jour et utilisez une solution de sécurité fiable
  • Cantonnez-vous au Google Play Store officiel pour télécharger vos applications mobiles (malgré cette découverte, il demeure largement plus sûr que les plateformes non officielles)
  • Consultez toujours le site web officiel du développeur de l’application que vous vous apprêtez à télécharger, et recherchez-y un lien vers la véritable application sur le Google Play Store. Si le site officiel ne mentionne aucune application mobile, considérez avec précaution toute application que vous auriez trouvé via le moteur de recherche du Store
  • Vérifiez avec attention chaque étape de tout processus qui implique des informations sensibles, notamment les manipulations de fonds (virtuels ou non !). Et lorsque vous utilisez le presse-papier, prenez le temps de contrôler que ce qui a été collé correspond bien à ce que vous avez copié.