Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

backdoor, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Social engineering

Quand les virus informatiques détruisent nos complexes industriels

Fin décembre, le gouvernement allemand a émis un rapport concernant une cyber-attaque contre une aciérie, qui a eu pour conséquence des dommages conséquents causés à l’usine. L’événement a été largement médiatisé depuis, de la BBC à Youtube ; le SANS Institute (SysAdmin, Audit, Network, Security) a notamment fourni une analyse détaillée de l’attaque. Nombre de ces rapports, comme celui de Wired, ont désigné l’attaque comme « le second cas confirmé dans lequel une attaque numérique a entraîné la destruction physique d’équipements », la première étant Stuxnet.

L’attaque s’est produite seulement quelques semaines après celles de BlackEnergy, ce qui a attiré mon attention, ce cas-ci constituant une attaque bien plus fondamentale contre une infrastructure majeure. L’attaque s’est concentrée sur la contamination de composants d’interface homme-machine issus de divers fournisseurs. De même que dans l’attaque sur des infrastructures américaines de gaz naturel rapportée par US-Cert en 2013, BlackEnergy représente une initiative élargie contre des capacités industrielles, bien plus sérieuse que l’attaque unique de l’aciérie allemande.

La visibilité que donne cet incident quant au risque de cyber-attaques est essentielle ; elle nous avertit que les attaques ciblées contre l’Internet des Objets en général et contre les infrastructures essentielles en particulier doivent être prises au sérieux. Certains historiens des technologies désignent juin 2010 comme le moment où tout a changé. C’est le moment où Stuxnet a frappé et aurait neutralisé un cinquième des centrifugeuses nucléaires en Iran. Depuis, le public n’a eu connaissance que de quelques autres cas d’usage de cyber-armes, mais ne vous y trompez pas : depuis 2010, les pays et « des groupes renégats » collectent des renseignements en masse et mettent au point des cyber-armes dont il peut être facilement fait usage contre un ennemi.

Les anomalies et interruptions consécutives de la connexion internet en Corée du Nord sont attribuées, sans confirmation, à des représailles suite à la récente agression d’une entreprise basée aux Etats-Unis. Suivant cette tendance, il n’est pas inimaginable que les guerres du futur se déroulent largement sur Ethernet, infligeant aux infrastructures des dommages bien plus importants et coûteux que nous ne pouvons l’imaginer.

Ce n’est pas de la science-fiction. Le directeur de la NSA, Michael Rogers, l’a annoncé publiquement : la Chine pourrait neutraliser la totalité du réseau électrique des Etats-Unis et d’autres attaques similaires pourraient être lancées, constituant des menaces concrètes pour les simples citoyens. Le trojan HAVEX récemment découvert en est un autre exemple. Ce malware a infiltré un nombre indéterminé d’infrastructures essentielles en s’intégrant à des mises à jour logicielles diffusées par des fabricants de systèmes de contrôle. Ces attaques impactent des systèmes sur lesquels nous nous appuyons quotidiennement, notamment des systèmes utilitaires, des raffineries, des systèmes de défense militaire, ou des usines de traitement des eaux.

Avec notre dépendance accrue aux technologies de l’information et nos systèmes interconnectés, nos efforts pour assurer à ces systèmes des défenses appropriées n’ont pas suivi le rythme. Par exemple, un simple pare-feu et des technologies de sécurité basées sur des règles ne garantissent pas la sûreté d’environnements diffusés ou virtuels, ni ne protègent d’attaques « jour zéro » ciblées où aucune signature n’a été développée. Les cybercriminels de niveau corporatif et les cyber-terroristes d’échelle nationale peuvent facilement tirer parti de ces brèches dans notre armure défensive et lancer la prochaine attaque d’envergure.

Lors de la mise en place de nouvelles technologies, il est essentiel de faire de la sécurité un enjeu du débat plutôt que d’y faire face par un ajout après-coup ou même suite à une attaque. Notre capacité à sécuriser les intérêts commerciaux et intérêts nationaux requiert une posture « vers l’avant » contre les scénarios de plus en plus plausibles où une arme lancée contre nous sera peut-être bien plus silencieuse mais bien plus dévastatrice lorsque nous ferons face aux cyberguerres.  (Par Christian Hiller, Président, EMC France)

Apple, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, DDoS, Emploi, Entreprise, Fuite de données, Leak, Logiciels, Microsoft, Mise à jour, Piratage, Propriété Industrielle

« Etat des lieux de l’Internet » du 4ème trimestre 2014

Un commentaire

Akamai Technologies, Inc. fournisseur en services de réseaux de diffusion de contenu (CDN), vient de publier son Rapport « Etat des lieux d’internet » du 4ème trimestre 2014. Établi à partir des données recueillies par l’Akamai Intelligent Platform™, ce rapport permet de mieux comprendre les principales statistiques mondiales, notamment les vitesses de connexion et adoption du haut débit sur les réseaux fixes et mobiles, le trafic global des attaques, préparation des réseaux au format 4K, épuisement des adresses IPv4 et mise en œuvre d’IPv6. Le rapport analyse aussi plusieurs failles de sécurité très connues, dont les failles Poodle et de type DNS flood, et les attaques UpnP et Yummba Webinject.

« En 2014, nous avons observé une croissance globale de tous nos principaux indicateurs : connectivité Internet, adoption du haut débit et préparation au passage à la vidéo 4K », indique à DataSecurityBreach.fr David Belson, l’auteur du rapport. « Ces tendances positives sont un encouragement au vu d’une étude récente qui révèle que 4,4 milliards de personnes n’ont pas accès à l’Internet. Il est donc plus que nécessaire de continuer nos efforts pour améliorer et déployer l’infrastructure Internet dans le monde. »

Vitesses moyennes de connexion et connectivité haut débit : la croissance positive à long terme se poursuit en Europe
Pour le 3ème trimestre consécutif, la vitesse de connexion moyenne dans le monde est restée supérieure au seuil du haut débit (fixé à 4 Mbps), avec 4,4 Mbps, soit une augmentation de 0,7 % par rapport au trimestre précédent. Avec une vitesse de connexion moyenne de 14,6 Mbps au 4ème trimestre (en hausse de 3,5 %), la Suède devance de peu la Suisse, et se classe en tête des pays européens pris en compte dans l’étude. La Suisse, qui détenait la première place depuis trois trimestres consécutifs, se place au 2ème rang, avec, 14,5 Mbps, comme au trimestre précédent. Ces deux pays, ainsi que les Pays-Bas, l’Irlande, la République tchèque, la Finlande, le Danemark, la Roumanie, la Norvège, le Royaume-Uni et la Belgique, enregistrent une vitesse de connexion moyenne supérieure au seuil de 10 Mbps, qui définit le très haut débit.

Par rapport à l’année précédente, les vitesses de connexion moyennes sont unanimement à la hausse en Europe. L’augmentation la plus faible concerne l’Autriche, avec 3,9 %, et la plus forte la Roumanie, avec un taux de croissance annuel de 61 %. En outre, la Finlande, la Suède et le Portugal enregistrent des augmentations de plus de 30 % par rapport au quatrième trimestre 2013.

Le pic moyen de vitesse de connexion a légèrement augmenté au 4ème trimestre, passant à 26,9 Mbps, soit 8,4 %. En Europe, les variations de ce trimestre oscillent de 1,3 % au Portugal (44,3 Mbps) à 14 % en Roumanie (67 Mbps). Les modifications par rapport à l’année précédente sont également à la hausse. L’Autriche, avec une augmentation de 9,4 %, est le seul pays européen à rester en dessous d’un taux de croissance annuelle de 10 %, tandis que la Finlande fait un impressionnant bond en avant de 40 %.

Les taux d’adoption du très haut débit (>10 Mbps) sont en hausse de 2,9 % au 4ème trimestre, faisant suite à un léger déclin au 3ème trimestre. En Europe, dans trois des pays analysés, plus de la moitié des adresses IP individuelles se connectaient à Akamai à plus de 10 Mbps en moyenne. La Roumanie, avec une hausse de 11 % par rapport au trimestre précédent, est repassée à un taux d’adoption du très haut débit de 55 %, rejoignant la Suisse (56 %) et les Pays-Bas (56 %). Le taux de croissance trimestriel a varié entre 1 % en Norvège et 17 % en Espagne. L’examen de la croissance par rapport à l’année précédente fait état d’une augmentation de 8 % ou plus dans tous les pays européens analysés. En outre, le Portugal et la Roumanie ont constaté des taux d’adoption du très haut débit qui ont plus que doublé depuis l’an dernier.

Le taux d’adoption du haut débit (>4 Mbps) a légèrement baissé au 4ème trimestre, soit une perte de 0,7% qui l’a stabilisé à 59 %. Au cours du trimestre, ce taux a atteint 90% ou plus dans trois pays européens : la Suisse (93 %), le Danemark (92 %) et les Pays-Bas (91 %). Dans tous les autres pays analysés, plus de 60 % des adresses IP individuelles se connectaient à Akamai à des vitesses moyennes supérieures à 4 Mbps.

Le 4ème trimestre a été marqué par une série d’annonces qui devraient dynamiser les initiatives autour du haut débit dans toute l’Union européenne. En novembre dernier, le gouvernement hongrois a ainsi déclaré son intention de consacrer une enveloppe de €586 millions pour implanter l’Internet haut débit sur tout le territoire d’ici 2018. La Commission européenne a pour sa part annoncé un plan de €315 milliards destiné à améliorer l’infrastructure et le haut débit.

Préparation au format 4K : la connectivité ultra-rapide de plus en plus accessible et répandue
Akamai avait intégré un nouvel indicateur, celui de la « Préparation à la technologie 4K », à son Rapport Etat des lieux de l’internet – 1er trimestre 2014. Il continue à dresser la liste des pays susceptibles de supporter des vitesses de connexion supérieures à 15 Mbps, car les streamings vidéo Ultra HD à débit adaptatif exigent généralement une bande passante comprise entre 10 et 20 Mbps. Les résultats obtenus ne tiennent pas compte des autres facteurs de préparation, tels que l’existence de contenu 4K ou de téléviseurs et lecteurs médias compatibles 4K.

Au 4ème trimestre 2014, dans neuf des pays européens analysés, au moins une adresse IP sur cinq se connectait à Akamai à des vitesses moyennes supérieures à 15 Mbps : la Suède, la Suisse, les Pays-Bas, la Roumanie, la Norvège, le Royaume-Uni, le Danemark, la Finlande et la République tchèque.

Au cours de ce trimestre, la Suède s’est classée première en Europe, avec le plus haut taux de préparation au 4K : 31 %. Elle reste toutefois talonnée de près par la Suisse et les Pays-Bas avec des taux de 30 %. Par rapport à l’année précédente, de fortes hausses de la préparation au 4K ont été observées dans tous les pays européens. Trois d’entre eux ont vu leur taux plus que doubler par rapport au quatrième trimestre de 2013 : la Roumanie (320 %), le Portugal (204 %) et l’Espagne (102 %). Dans huit autres pays européens, ce taux a dépassé une hausse annuelle de 40 % : la Hongrie (94 %), la Slovaquie (68 %), la Suède (61 %), la Finlande (55 %), le Danemark (50 %), la Suisse (50 %), la Norvège (50 %) et le Royaume-Uni (42 %).

Attaques et sécurité : les attaques contre le port 23 ont plus que doublé
Akamai gère un ensemble distribué d’agents anonymes, déployés sur tout l’Internet, et dont la mission est de consigner les tentatives de connexion pouvant être considérées comme des attaques. S’appuyant sur ces données, Akamai peut ainsi identifier les principaux pays à l’origine des attaques et les ports visés en priorité. Toutefois, le pays d’origine identifié par son adresse IP source n’est pas forcément celui dans lequel réside le hacker.

Au 4ème trimestre 2014, Akamai a observé des attaques en provenance de 199 pays ou zones géographiques distincts. Comme vu précédemment, la Chine reste loin devant les autres pays avec un taux de 41 %. Elle est ainsi à l’origine de trois fois plus d’attaques que les États-Unis (13 %). Ce trimestre, l’Allemagne a rejoint le groupe des 10 principaux pays incriminés, avec un taux d’attaques de 1,8 % de la totalité observée (soit une hausse de 0,6 % au 3ème trimestre). La majorité des attaques a cependant pour épicentre la région Asie Pacifique (59 %), suivie de l’Europe (19 %) soit une forte hausse (11 % au trimestre précédent).

Au total, les attaques visant les 10 ports principaux ont représenté 79 % du trafic au 4ème trimestre, soit une hausse de 38 % par rapport au trimestre précédent. Le Port 23 (Telnet) reste la cible favorite, avec 32 % des attaques constatées, soit une hausse 2,5 fois supérieure aux niveaux antérieurs. Les Ports 445 (Microsoft-DS), 8080 (HTTP Alternate), 3389 (services Microsoft Terminal) et 22 (SSH) ont également fait l’objet d’attaques.

Attaques par déni de service distribué (DDoS) en hausse en Europe ce trimestre
Le rapport comprend également une étude des attaques DDoS s’appuyant sur les observations de ses clients. Ces derniers ont signalé 327 attaques au 4ème trimestre 2014, soit une augmentation de plus de 20 % par rapport au trimestre précédent. Les secteurs du commerce et des grandes entreprises sont majoritairement visés.

En Europe, les attaques DDoS sont en hausse de 18 % par rapport au trimestre précédent. Une comparaison avec l’année précédente montre que le taux de ces attaques est beaucoup plus élevé en Europe qu’aux Amériques et en Asie Pacifique, soit une augmentation de 28 % (167 attaques en 2013 contre 214 attaques en 2014).

IPv4 et IPv6 : les pays européens restent les leaders de l’adoption d’IPv6
Au 4ème trimestre 2014, environ 803 millions d’adresses IPv4 originaires de 239 pays/zones géographiques différents étaient connectées à l’Akamai Intelligent Platform. Le nombre d’adresses IPv4 individuelles détectées dans le monde par Akamai a augmenté d’environ 12 millions d’un trimestre sur l’autre. Se classant parmi les 10 premiers au 4ème trimestre, le Royaume-Uni et la Corée du sud affichent les hausses les plus importantes, avec respectivement 8,1 % et 6,6 % par rapport au trimestre précédent.

Les pays européens ont confirmé leur domination en matière d’adoption de l’IPv6, en se classant parmi les 10 premiers dans le monde. Un nouveau-venu, la Norvège, a enregistré un spectaculaire bond en avant de 88 % de son trafic Ipv6 par rapport au trimestre précédent. La Belgique reste cependant le chef de file, avec 32 % de demandes de contenu transitant par IPv6, soit plus du double de l’Allemagne. Comme aux trimestres précédents, les opérateurs câble et téléphonie mobile restent la principale source des demandes IPv6 adressées à Akamai. Beaucoup d’entre eux sont des leaders de l’adoption IPv6 dans leurs pays respectifs. Les Belges Verizon Wireless et Brutele transmettent plus de la moitié des demandes à Akamai via IPv6, talonnés par Telnet. Quant aux opérateurs allemands Kabel Deutschland, Kabel BW et Unitymedia, au 4ème trimestre, plus d’un quart de leurs demandes à Akamai passent par IPv6.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Particuliers, Vie privée, VPN

Protégez vos fesses sur Internet avec HMA

2 commentaires

HideMyAss! est un service permettant de surfer chiffré et en monde anyme. HMA vous permet d’utiliser un VPN, un tunnel qui chiffre les informations qui transitent entre vous et les réseaux que vous pouvez utiliser, visiter, exploiter : FTP, IRC, web… Bilan, vous surfez de Paris, HMA permet de modifier cette situation géographique en faisant croire que vous êtes à New-York, Luxembourg ou sur une île perdue dans l’océan atlantique. Plus de 110,000 adresses IP disponibles, 174 pays, dont une centaine d’emplacements en Europe et quelques 831 emplacements numériques disponibles partout dans le monde. Un service payant, mais largement utile qui fonctionne sur PC, MAC, tablette, ordiphone, … 11 euros par mois ; 50€ euros pour un semestre ; 79€ pour une année.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Social engineering, Virus

Equation Group : nouvelles tactiques de cyber espionnage

Les attaques de cyber espionnage commanditées par des Etats gagnent en complexité pour échapper au radar de systèmes de détection de plus en plus efficaces. Cette nouvelle tendance est confirmée par une analyse des spécialistes de Kaspersky Lab, centrée sur la plate-forme de cyber espionnage EquationDrug.

EquationDrug est la principale plate-forme d’espionnage développée par Equation Group et utilisée depuis plus d’une décennie, bien qu’à présent largement remplacée par GrayFish, une plate-forme encore plus sophistiquée. Les tendances tactiques confirmées par l’analyse d’EquationDrug ont été observées en premier par Kaspersky Lab au cours de ses recherches sur les campagnes de cyber espionnage Careto et Regin notamment.

Des techniques qui évoluent pour rester toujours plus indétectables
Les experts ont observé qu’après les succès croissants du secteur dans la mise au jour des groupes à l’origine des menaces persistantes avancées (APT), les plus élaborés d’entre eux s’attachent désormais à multiplier le nombre de composants de leur plate-forme malveillante afin d’en réduire la visibilité et d’en améliorer la discrétion. Les dernières plateformes comportent de nombreux modules qui leur permettent de sélectionner et de réaliser un large éventail de fonctions différentes, selon les victimes ciblées et les informations en leur possession. Selon les estimations de Kaspersky Lab, EquationDrug comprend 116 modules distincts.

« Les auteurs d’attaques commanditées par des Etats cherchent à créer des outils de cyber espionnage plus stables, invisibles, fiables et universels. Ils se concentrent sur le développement de frameworks permettant d’intégrer ces codes dans des éléments personnalisables sur des systèmes actifs et offrant un moyen sûr de stocker l’ensemble des composants et des données sous une forme cryptée, inaccessible au commun des utilisateurs », explique Costin Raiu, Directeur de l’équipe GReAT de Kaspersky Lab. « La sophistication d’un tel framework distingue ce type de menace des cybercriminels traditionnels, qui préfèrent se focaliser sur les capacités du code malveillant, conçu dans l’optique de gains financiers directs. »

D’autres caractéristiques différencient les tactiques des auteurs d’attaques commanditées par des Etats, comparés aux cybercriminels classiques :

·         Echelle. Les cybercriminels traditionnels diffusent en masse des e-mails contenant des pièces jointes malveillantes ou infectent des sites Web à grande échelle, tandis que les acteurs étatiques privilégient des frappes chirurgicales extrêmement ciblées, n’infectant qu’une poignée d’utilisateurs spécifiques.

·         Personnalisation. Tandis que les cybercriminels classiques réutilisent généralement du code source disponible dans le domaine public, à l’exemple des chevaux de Troie de sinistre réputation Zeus ou Carberb, les acteurs étatiques confectionnent des malwares personnalisés, y intégrant même des restrictions qui empêchent leur décryptage et leur exécution en dehors de l’ordinateur ciblé.

·         Extraction d’informations sensibles. Les cybercriminels tentent en général d’infecter le plus grand nombre possible d’utilisateurs. Ils ne disposent cependant pas de suffisamment de temps ni d’espace de stockage pour examiner manuellement chacune des machines infectées et analyser l’identité de leur propriétaire, la nature des données qu’elle renferme et le type des logiciels qui y sont exécutés, puis transférer et conserver la totalité des informations potentiellement intéressantes.

o    En conséquence, ils codent des malwares de vol « tout en un » qui se bornent à n’extraire que les données les plus précieuses (mots de passe ou numéros de cartes de crédit, par exemple) sur les machines des victimes, une activité susceptible d’attirer rapidement sur eux l’attention de tout logiciel de sécurité installé.

o    Par contre, pour leur part, les auteurs des attaques étatiques, disposent de ressources suffisantes pour stocker autant de données qu’ils le souhaitent. Afin de passer inaperçus des logiciels de sécurité, ils évitent d’infecter des utilisateurs au hasard et font plutôt appel à un outil générique de gestion de systèmes à distance, capable de copier toutes les informations éventuellement nécessaires, quelle qu’en soit la quantité. Cela risque toutefois de jouer contre eux car le transfert de volumes massifs de données pourrait ralentir la connexion réseau et éveiller les soupçons.

« Il peut sembler inhabituel qu’une plate-forme de cyber espionnage aussi puissante qu’EquationDrug n’offre pas toutes les capacités de vol en standard au cœur de son code malveillant. L’explication tient au fait que ses concepteurs préfèrent personnaliser l’attaque pour chacune de leurs victimes. Ce n’est que s’ils ont décidé de vous surveiller activement et que les produits de sécurité sur vos machines ont été neutralisés que vous recevrez un module espionnant en direct vos conversations ou d’autres fonctions spécifiques liées à vos activités. Nous pensons que la modularité et la personnalisation vont devenir la marque distinctive des attaques étatiques à l’avenir », termine Costin Raiu.

backdoor, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Sauvegarde, Vie privée

1 milliard de données personnelles identifiables divulguées en 2014

L’équipe de recherche et développement IBM X-force vient de publier son rapport trimestriel sur son analyse des menaces avancées. Ce rapport dévoile qu’au moins 1 milliard de données personnelles identifiables (PII) ont été divulguées en 2014.

Le rapport 2015, qui met également en évidence les résultats du dernier trimestre 2014, a recensé plus de 9 200 nouvelles failles de sécurité affectant plus de 2 600 fournisseurs, ce qui représente une augmentation de 9,8% par rapport à 2013 et constitue l’augmentation la plus importante en une seule année depuis que le rapport X-Force a été créé il y a 18 ans.

Selon ce rapport (qui ne prend en compte que les informations d’IBM, NDR), le nombre total de failles enregistrées en 2014 était de près de 20% plus élevé qu’en 2013 (où l’on enregistrait 800 millions de données divulguées). 74,5%, le nombre d’incidents enregistrés aux Etats-Unis, ce qui est beaucoup plus élevé que dans les autres pays. Une majorité (40,2%) des types d’attaques les plus courants n’ont pas été identifiés. Les logiciels malveillants (malwares) et les DDoS (déni de service distribué) arrivent en seconde position avec un taux de 17,2% chacun. La divulgation par l’US-CERT d’une classe de vulnérabilités affectant des milliers d’applications Android qui mettent à mal les certificats SSL représentent 15% du total pour l’année, portant peu à peu le décompte final à un nouveau sommet historique.

Les chercheurs attribuent largement ces chiffres croissants à l’augmentation de l’indifférence des développeurs en matière de sécurité. Ces derniers ont été lents à mettre en œuvre des « patches » en dépit des avertissements et de la sensibilisation accrue aux vulnérabilités. En fait, 10 des 17 (59%) applications bancaires utilisant Apache Cordova qui ont été initialement divulguées en octobre 2014 étaient encore vulnérables en janvier de cette année.

Le rapport montre également une augmentation des vulnérabilités de « conception », qui sont de plus en plus meurtrières, très reconnaissables, ayant des noms et logos accrocheurs (par exemple : Heartbleed et Shellshock) et qui devraient désormais être prises en compte dans la conception et le développement. Ces vulnérabilités ont révélé des failles facilement exploitables dans les systèmes de base et les bibliothèques sous-jacentes qui supportent presque toutes plateformes web et les systèmes de gestion de contenu habituels.

BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage

Sécurisation des données à l’heure du cloud

La sécurisation des données est un enjeu colossal à l’heure du cloud, notamment pour les entreprises et collectivités locales. Quatre choses essentielles doivent absolument être prises en compte.

Ces choses essentielles sont la sauvegarde, la sécurité des données personnelle et professionnelle, les usages de l’informatique et de l’importance de l’information/formation.

Sauvegarde
Les entreprises et les collectivités doivent faire face à un environnement toujours plus hétérogène et l’utilisation de plus en plus fréquente de l’informatique dématérialisée en fait partie. De nombreuses entreprises gèrent donc aujourd’hui des environnements physiques, des environnements virtuels ainsi que des environnements Cloud. De nombreuses entreprises recherchent une méthode efficace pour simplifier leurs processus de sauvegarde. Il peut être intéressant de penser la préservation des données au cœur même des logiciels ou avec les services Cloud. Mesures : Possibilité de revenir à une situation antérieure, si erreur lors d’une procédure lourde telle que la préparation du budget.

« Scheduler » : messages de recommandations au cœur des logiciels lors d’opérations particulières (ex. avant de commencer le budget, « nous vous conseillons de faire un archivage »).

Sécurité des données
Un exemple : 19.000 attaques de sites web suite aux attentats de Charlie Hebdo, y compris ceux des collectivités locales. Les collectivités et les entreprises ont souvent peu conscience des enjeux liés à la sécurité des données. Mais la sécurité est un travail d’équipe et il faut que les prestataires de Cloud ou de logiciels et leurs clients travaillent main dans la main pour proposer une sécurité optimum. Ce n’est pas au fournisseur de gérer la sécurité de son client, car ce dernier en est en fait le seul maître. Le fournisseur de Cloud met à disposition des outils permettant la mise œuvre d’une politique de sécurité, mais c’est au client de les utiliser à bon escient et de prendre conscience de la dangerosité de mettre à disposition des données informatiques, y compris en interne. 60% des piratages trouvent leur source en interne.

Mesures : Mettre en place des droits d’accès aux données restreints, gérer finement les profils d’utilisateurs ; mettre en place une charte informatique pour éduquer en interne et informer sur ce qu’il est possible de faire ou non ; ne pas hésiter à prendre conseil auprès de son prestataire informatique.

Usages de l’informatique
Les risques viennent souvent d’une méconnaissance de l’informatique et du web. Il faut être vigilant et ne pas « sortir » n’importe quelles données de la collectivité ou de l’entreprise. Attention également à ne pas télécharger n’importe quoi. Bien souvent, les entreprises et les communes ne savent pas si leurs sauvegardes sont bonnes. Elles sont formées par leur prestataire, mais elles ne se soucient pas vraiment, ne vérifient pas. Il n’y a pas de test de restauration, ce qui engendre parfois de mauvaises surprises …

Mesures : Formation, « éducation », aider à faire prendre conscience. Rappeler que les données ne doivent pas être sauvegardées que sur le poste mais aussi et surtout sur le serveur.

Importance de l’information/formation
Avant de sécuriser les réseaux, il faut éduquer les utilisateurs, mais aussi les cadres sur les enjeux, risques et bonnes pratiques. Par exemple, méconnaissance de la différence entre un virus et un malware. Un virus s’installe à votre insu sur votre machine et vient corrompre un programme existant. En revanche, un malware est interprété par le système comme un programme installé par l’utilisateur : en cliquant sur une PJ, en installant un petit programme, etc. Ainsi les antivirus sont inutiles face à cette menace ! Seule la vigilance de l’utilisateur peut le protéger.

Mesures : Etre vigilant sur l’ouverture de PJ quand on ne sait pas de qui vient le courriel. Se méfier des mails étrangers. Ne pas aller sur n’importe quel site et installer n’importe quel programme et ne pas hésiter à se tourner vers son prestataire informatique en cas de question.

backdoor, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Particuliers, Piratage, Vie privée, Virus

Découverte d’une nouvelle technique de camouflage dans un malware

Les experts de l’éditeur allemand G DATA ont découvert de nouveaux programmes malveillants liés à un botnet Andromède. Un de ces codes, qui se distribue via des macros dans les documents Word manipulés, utilise une technique rare de camouflage par stéganographie. « Le malware se comporte comme une poupée russe sur le système. Il révèle progressivement son objectif« , explique à DataSecurityBreach.fr Ralf Benzmüller, directeur du G Data SecurityLabs. « Les systèmes infectés sont destinés à être utilisés comme PC zombies dans le botnet Andromède / Gamarue« .

Infection en 5 étapes
Le début de l’attaque s’effectue par un document MS Word manipulé. Un tel document se propage par e-mails de spam. Dans le cas étudié, le nom du document suggère qu’il s’agit d‘un contrat. En ouvrant le document et en activant les Macros Office, la victime active une série d’actions qui vont amener à l’infection. Un premier programme déchiffre un second code stocké dans une image (stéganographie). Celui-ci lance en cascade un troisième code en mémoire (le payload) qui injecte la charge utile dans le système. Ce dernier programme malveillant, msnjauzge.exe, intègre une entrée de démarrage automatique dans le Registre pour survivre au redémarrage système : le système cible est infecté.

Le Botnet Andromède identifié
Le fichier msnjauzge.exe est le point d’entrée d’un botnet bien connu appelé Andromède, aussi connu sous le nom de Gamarue. Ce botnet est connu pour avoir livré le cheval de Troie bancaire ZeuS en 2011. Lors de cette analyse, le serveur C&C contacté par l‘échantillon étudié était en ligne, mais n’avait pas délivré de code supplémentaire sur la machine infectée. Par conséquent, l’utilisation prévue pour ce botnet n‘est pas encore déterminée. (Gdata)

Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Justice, Leak, loi, Mise à jour, Paiement en ligne, Piratage, Sécurité

Mot de passe inchangé : les sociétés de maintenance responsables

2 commentaires

Pour ne pas avoir formé et informé son client sur la bonne gestion de ses mots de passe, une société de maintenance condamnée en France.

Le site Legalis est revenu, dernièrement, sur l’arrêt de la cour d’appel de Versailles et du tribunal de commerce de Nanterre. Ce dernier a jugé qu’une société en charge de la maintenance informatique d’une entreprise avait pour obligation de sensibiliser son client à la sécurité informatique et à la bonne gestion de ses mots de passe. Le professionnel de l’informatique n’avait pas sensibilisé son client à la nécessité de changer le mot de passe de son PABX (Private Automatic Branch eXchange), un standard  téléphonique informatisé.

Bilan, le tribunal a considéré qu’il y avait une faute par négligence. Le client était dans une situation de grande vulnérabilité en raison d’un mot de passe faible. Tout avait débuté après le piratage d’un loueur de véhicules. Son standard avait été piraté. Le PABX avait été exploité par un pirate après avoir trouvé le mot de passe de ce dernier, un mot de passe usine (0000) qui n’avait jamais été changé. 12,208€ avaient ainsi été perdus par le loueur.

Le tribunal a obligé la société de maintenance à payer la somme. « Il revient à l’utilisateur de gérer la sécurité de son matériel, à condition toutefois qu’il ait été informé de cette nécessité et qu’on lui ait montré comment procéder » indique Legalis. Il incombait au prestataire des missions d’information, d’assistance et de formation ainsi qu’une visite annuelle de vérification de l’état de sécurisation de l’installation téléphonique, et donc de faire changer, régulièrement le dit mot de passe.

Des attaques fréquentes
Début février 2015, des pirates informatiques, spécialisés dans la téléphonie (des phreakers, NDR), avaient utilisé ce fameux mot de passe usine pour piéger le standard de la mairie de Licques. Le pirate avait ensuite permis à des tiers de téléphones vers l’île de l’Ascension, au sud de l’Équateur. En 2013, ce fût la Mairie de Pessac à se retrouver avec une facture de 15.000€. Dans le Nord de la France, l’école de musique municipale d’une ville de la banlieue de Lille se retrouvait, elle aussi, avec une fuite téléphonique dés plus couteuse. Même sanction pour une entreprise du Pays châtelleraudais. Début mars 2015, la société a découvert, via sa facture téléphonique, qu’un malveillant était passé dans ces autocommutateurs afin d’obtenir un accès gratuit au réseau téléphonique. Les Cyber Gendarmes enquêtent.

 

Banque, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Justice, Leak, loi, Mise à jour, Patch, Piratage, Social engineering

Cyber-protection des entreprises : bientôt les vraies questions

Un sujet qui ne les concerne pas. C’est sans doute ainsi que les citoyens, s’ils étaient interrogés, qualifieraient la question des moyens utilisés par les entreprises pour lutter contre les cyber-menaces.

Normal. Après tout – et heureusement – aucun drame de type coupure généralisée de l’électricité revendiquée par des pirates n’est survenu, mettant de facto ce thème aux allures techniques à la une des médias et des préoccupations. Plus de 25 000 sites ont certes été piratés suites aux drames de janvier, mais les autorités ont rapidement calmé les esprits en rappelant qu’il s’agissait d’actes de cyber vandalisme et de communication, non de cyber guerre – aucune donnée n’a été volée, aucun système industriel n’a été détruit. Quelques attaques informatiques ont par ailleurs été médiatisées – celle de Home Dépôt en septembre dernier, puis celle de Sony Pictures, entre autres. Mais pour les citoyens, ces affaires semblent bien éloignées …

Double erreur d’interprétation. D’abord parce ces organisations, comme toutes les autres grandes entreprises, avaient bien sûr déployé la batterie traditionnelle de solutions de sécurité. Simplement, cette dernière ne suffit plus, désormais, pour détecter rapidement une attaque, la comprendre, et en limiter ainsi les impacts – ce sont d’ailleurs les pirates qui ont révélé leurs méfaits à Sony, après plusieurs semaines de vols de données. L’entreprise, elle, n’avait rien vu. Ensuite parce que les organisations françaises ne savent pas exactement dans quelle mesure elles peuvent utiliser les nouvelles techniques d’analyse et de détection faute d’avoir la réponse à une question clef : jusqu’où peuvent-elles aller dans la surveillance de leur réseau tout en respectant la vie privée de leurs employés ? Et cette question, elle, concerne directement tous les citoyens…

Car hélas les attaques les plus visibles sont souvent les moins graves – on l’a vu en janvier. Ce sont celles qui ne se voient pas qui font le plus de dégâts. Or, ce sont justement celles-là que les entreprises sont de moins en moins capables de détecter, pour une raison en simple : une part croissante des flux qui transitent sur leurs réseaux sont chiffrés, c’est-à-dire rendus illisibles par Google, Yahoo et autres géants de la high-tech – un phénomène qui s’est accentué après l’Affaire Snowden. Le problème n’en serait pas un si tous ces flux étaient d’ordre professionnel – dans ce cas, les entreprises ne se poseraient pas la question de savoir si elles peuvent les déchiffrer et les analyser. Elles le feraient, c’est tout. Mais l’infrastructure de nos entreprises est également utilisée par les employés à des fins personnelles, et cela de manière tout à fait légale. Les données échangées et stockées sur les ordinateurs peuvent tout naturellement avoir une composante personnelle, donc confidentielle. Les salariés seraient-ils alors prêts à laisser leur employeur déchiffrer ces traces personnelles – et renoncer ainsi à une partie de leur intimité – pour que leur entreprise puisse mieux se protéger et empêche les pirates d’utiliser les flux chiffrés comme des tunnels d’accès direct, sans péage, à son système d’information ? Sous quelles conditions pourraient-ils l’accepter ? Sur ces sujets la législation aujourd’hui se tait et le débat, d’ordre sociétal autant qu’économique, peine à être lancé.

Le sera-t-il à court terme ? C’est fort probable. Non à l’initiative des entreprises ou des pouvoirs publics – dans le contexte économique actuel, les premières ont en effet d’autres sujets de préoccupation. Les autorités, elles, subissent déjà des polémiques de type – « sécurité vs liberté » – depuis qu’elles travaillent sur l’échange des données des passagers aériens, pour lutter contre le terrorisme. En fait, ce sont plutôt les citoyens eux-mêmes qui pourraient bien mettre la question à l’ordre des débats publics. Aux États-Unis en effet les employés de Sony Pictures ont intenté une action en justice contre l’entreprise pour défaut de protection de leurs données personnelles – ces dernières ayant été volées par les pirates. Ont-ils vraiment conscience de ce qu’impliquerait la mise en œuvre d’une protection plus efficace ? La démarche sera-t-elle répliquée en France ? Nul ne le sait. Mais les débats, c’est certain, ne font que commencer. En échange de moyens accrus pour faire face aux cyber-menaces, indispensables, il faudra bien définir de nouvelles garanties pour les individus. La cyber-protection des entreprises, y a-t-il quelqu’un qui ne se sente pas concerné ? (Par Dominique Loiselet, Directeur France et Afrique francophone de Blue Coat)

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle, Sauvegarde

Pour une meilleure défense contre les attaques avancées

Kill Chain 3.0 : mettre à jour la Cyber Kill Chain pour une meilleure défense contre les attaques avancées.

Tous les responsables de la sécurité des réseaux ont déjà entendu parler de la Kill chain – une méthode de défense conçue pour combattre efficacement les cyber attaques avancées ou APT. Cette méthode comporte sept étapes pour l’attaquant, et propose un mode spécifique de défense pour chacune d’elles. Les étapes de la kill chain comprennent :

·         Reconnaissance – S’informer sur la cible en utilisant de nombreuses techniques.
·         Armement – Combiner le vecteur d’attaque avec un contenu malicieux.
·         Livraison – Transmettre le contenu malicieux avec un vecteur de communications
·         Exploitation – Profiter d’une faiblesse logicielle ou humaine pour activer le contenu malicieux
·         Installation – Installer durablement le contenu malicieux sur un ordinateur hôte individuel
·         Commande & Contrôle (C2) – Le malware appelle l’attaquant, qui en prend la contrôle
·         Actions prévues – L’attaquant vole ou fait ce qu’il avait prévu de faire.

Les professionnels de la sécurité réseau ont des opinions diverses quant à l’efficacité de la kill chain en tant que méthode de défense. Certains l’adorent, décrivant comment leurs équipes de sécurité l’utilisent, tandis que d’autres indiquent qu’il lui manque certains détails cruciaux, et qu’elle n’est adaptée qu’à certains types d’attaques. Les deux interprétations ont chacun leur part de vérité, mais il existe trois étapes simples pour rendre la kill chain encore plus efficace, appelons la Kill Chain 3.0.

Tout d’abord, il convient de modifier les étapes de la kill chain telle que décrite plus haut. Si l’on utilise la kill chain en tant qu’outil de défense, alors chacune des mailles de la chaîne doit donner lieu à une ou des actions de défense. Par exemple, l’étape Armement de la kill chain n’est pas réellement exploitable par les défenseurs. Dès lors pourquoi faire apparaître une étape qui n’a pas grand-chose à voir avec la défense ? Par ailleurs, comme beaucoup l’ont déjà fait remarquer, la kill chain actuelle se concentre avant tout sur l’intrusion initiale, et pas assez sur la façon dont les auteurs des attaques avancées exploitent leur premier point d’entrée pour se répandre dans l’ensemble du réseau de leur victime. La kill chain doit inclure une étape pour les mouvements latéraux et la modification des droits d’accès en local. De ce fait, la chaîne devrait être modifiée de la façon suivante :

·         Reconnaissance
·         Armement Livraison
·         Exploitation
·         Installation Infection
·         Commande & Contrôle

Ø  Mouvement Latéral & Pivotement

·         Objectifs/Exfiltration

Après cette simple modification, à chaque étape de la kill chain correspondent des moyens de défense adaptés. Par exemple, la détection des ports et des adresses IP et la traduction d’adresses NAT seront efficaces à l’étape Reconnaissance ; le blocage des ports firewall, l’IPS et le contrôle applicatif le seront à l’étape Livraison ; .le Patching et l’IPS le seront à l’étape Exploitation ; La segmentation du réseau le sera à l’étape Mouvement Latéral, et ainsi de suite.

Ensuite, il convient de retenir qu’il est important d’avoir des défenses pour chacune des étapes de la kill chain, et que chacune des étapes à la même importance. Un des concepts à la base de la kill chain est que plus tôt dans le cycle vous prévenez une attaque, meilleur c’est. Bien que cela soit techniquement vrai, ceci explique également pourquoi beaucoup se concentrent sur des mesures de protection lors des premières étapes de la kill chain, et consacrent moins de temps et d’efforts à protéger les étapes suivantes, même si ces défenses ont le pouvoir de contenir ou de limiter significativement les conséquences d’une intrusion réussie. En vérité, les attaques les plus sophistiquées contourneront ou éluderont souvent les défenses mises en place sur les premières étapes. Si l’entreprise ne s’est pas suffisamment concentrée sur les défenses adaptées aux étapes suivantes, telles que la détection des botnets, la prévention des pertes de données et la segmentation du réseau interne, elle n’exploite pas toutes ses chances de prévenir une attaque majeure. En bref, la bataille n’est pas perdue après une infection initiale si l’on a consacré toute son attention aux défenses lors des étapes suivantes de la Kill Chain 3.0.

Enfin, il est nécessaire de disposer d’un outil d’affichage qui permette de visualiser l’ensemble des sept étapes de la kill chain. Celle-ci est parfaite pour mettre en valeur chacune des zones où peut être stoppée une attaque sur le réseau, mais s’il n’est pas possible de contrôler le parcours d’une attaque au travers de chacune des étapes, l’entreprise se prive d’elle-même de données critiques qui pourraient l’aider à se protéger. Les outils d’affichage et d’analytiques doivent être des composants clés de la Kill Chain 3.0. Si l’entreprise ne dispose pas d’un outil de reporting capable de rassembler les logs de tous ses contrôles de sécurité, et de corréler différentes alertes en un seul et même incident, elle a de fortes chances de manquer les signes d’une attaque sophistiquée.

Pour récapituler : modifiez un peu les étapes de la kill chain, accordez la même importance à chacune des étapes – y compris les dernières, et dotez-vous d’un outil de reporting et d’affichage capable de contrôler l’ensemble du processus, et vous obtenez la Kill Chain 3.0, une méthode optimisée pour se protéger au mieux contre les attaques avancées. (Par Pierre Poggi, Country Manager France de WatchGuard)

Argent, Arnaque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Paiement en ligne, Particuliers, Piratage, Social engineering, Virus

Prudence au fichier CHM dans les courriels

Selon Bitdefender, leader technologique des solutions antimalware et expert en cybersécurité, une nouvelle vague de spam a récemment touché des centaines de boites e-mail avec une pièce jointe malveillante « .chm » afin de répandre le tristement célèbre ransomware Cryptowall.

Le .chm est une extension de fichier Microsoft utilisée pour les fichiers d’aide dans les logiciels ou sur Internet. Les fichiers CHM sont particulièrement interactifs et utilisent de nombreuses technologies dont JavaScript, qui peut rediriger un utilisateur vers une URL externe en ouvrant simplement le fichier CHM. Les attaquants exploitent cette possibilité pour y rattacher une charge malveillante, cette méthode est parfaitement logique puisque moins l’utilisateur a d’actions à réaliser plus il a de chance d’être infecté facilement.

Cryptowall est une version avancée de Cryptolocker, un ransomware connu pour dissimuler sa charge malveillante sous couvert d’applications ou des fichiers sains. Une fois lancé, le malware chiffre les documents de l’ordinateur infecté afin que les pirates puissent obtenir une somme d’argent en échange de la clé de déchiffrement. Parmi les règles de base pour se protéger au maximum des pertes de données liées à ce type d’attaques, il convient de réaliser très régulièrement des sauvegardes de ses documents sur un disque externe au réseau.

Le .chm est une extension de fichier Microsoft utilisée pour les fichiers d’aide dans les logiciels ou sur Internet. Il s’agit de fichiers qui embarquent du HTML, des images et du code JavaScript, ainsi qu’une table des matières avec des liens hypertextes – pour avoir une idée, lancez par exemple l’aide de Windows (touche F1).

Adobe, Cybersécurité, Entreprise, Fuite de données, Logiciels, Microsoft, Mise à jour, Patch, Propriété Industrielle

Patch Tuesday de mars 2015

Tout comme le mois dernier, davantage de vulnérabilités sont encore traitées par rapport à un mois classique. À moins qu’il ne s’agisse d’un nouveau rythme concernant les correctifs des failles de Microsoft et Adobe, avec un ensemble d’autres failles de sécurité à résoudre.

Les correctifs de Microsoft sont au nombre de 14 pour mars, dont 5 critiques. La priorité absolue est le bulletin MS15-018 consacré à Internet Explorer (IE). Toutes les versions d’IE sont concernées, depuis IE6 (sur Windows Server 2003) jusqu’à IE11. La nouvelle version traite 12 vulnérabilités, dont 10 critiques et exploitables pour exécuter du code sur la machine ciblée. L’une des vulnérabilités a été publiquement révélée, mais elle n’est pas du type Exécution de code à distance, ce qui atténue un peu l’exposition. Scénario typique : un attaquant injecte du code HTML malveillant sur un site Web sous son contrôle puis il incite la machine cible à se rendre sur ce site. Il peut aussi pirater un site sur lequel la cible se rend habituellement et tout simplement attendre que cette dernière se rende sur ledit site. MS15-019 est le bulletin frère de MS15-018 et corrige le composant VBScript pour IE6 et IE7 qui est résolu dans MS15-018 pour les navigateurs plus récents. Commencez par installer ce bulletin.

MS15-022 est le second bulletin le plus important en termes de sévérité. Il corrige cinq vulnérabilités dans Microsoft Office, l’un d’elle étant critique dans l’analyseur RTF. En effet, ce dernier peut être exécuté automatiquement dans la zone d’aperçu lors de la réception d’un courriel si bien que Microsoft classe cette vulnérabilité comme critique. Cependant, comme deux des vulnérabilités restantes permettent à un attaquant d’exécuter du code à distance, nous positionnons ce bulletin en tête du classement d’aujourd’hui.

MS15-021 résout huit vulnérabilités liées aux polices sous Windows. En effet, un attaquant qui incite un utilisateur à visualiser une police altérée peut lancer une exécution de code à distance sur la machine ciblée. Les attaques peuvent être lancées via des pages Web ou des documents, au format PDF ou Office.

Stuxnet
MS15-020 est le dernier bulletin critique de la série pour le mois de mars. Il concerne un attaquant qui peut inciter un utilisateur à parcourir un répertoire d’un site Web ou à ouvrir un fichier. Le système Windows Text Services contient une vulnérabilité qui permet à l’attaquant de lancer une exécution de code à distance sur la machine cible. Ce bulletin comprend aussi un correctif pour CVE-2015-0096, une vulnérabilité associée à la vulnérabilité Stuxnet d’origine CVE-2010-2568. HP ZDI a rapporté cette vulnérabilité à Microsoft et fournit une bonne description technique sur son blog.

Test Fuzzing
Tous les bulletins restants sont moins critiques, c’est-à-dire seulement importants, dans la mesure où les vulnérabilités concernées ne permettent typiquement pas à un attaquant d’exécuter du code à distance. Ces dernières sont plutôt des fuites d’information ou n’autorisent qu’une élévation locale de privilèges. Les bulletins MS15-024 et MS15-029 traitent des bugs découverts via l’outil afl-fuzz de lcamtuf et que ce dernier améliore sans cesse et rend toujours plus intelligent. Jetez un coup d’œil sur son blog pour lire une série de posts sur afl-fuzz.

Serveurs
MS15-026 est un bulletin pour Microsoft Exchange qui résout plusieurs élévations de privilèges et problèmes de fuites d’information. Consultez ce bulletin si vous utilisez Outlook Web Access. FREAK cible aussi les serveurs, même si de manière différente. Côté serveur, si vous désactivez le chiffrement de type Configuration d’exportation, vos utilisateurs ne pourront pas être victimes de la vulnérabilité FREAK, même si leurs clients ne sont pas patchés.

Adobe
Adobe diffuse aussi une mise à jour (APSB15-05) pour Flash que Microsoft intègre à Internet Explorer, qui sera publiée ce jeudi. Explication de Microsoft dans le correctif KB2755801 : « Le 10 mars 2015, Microsoft a publié une mise à jour (3044132) pour Internet Explorer 10 sur Windows 8, Windows Server 2012, Windows RT ainsi que pour Internet Explorer 11 sur Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows Technical Preview et Windows Server Technical Preview. Cette mise à jour concerne les vulnérabilités décrites dans le bulletin de sécurité Adobe APSB15-05 (disponible le 12 mars 2015). Pour plus d’informations sur cette mise à jour, y compris les liens de téléchargement, voir l’article 3044132 dans la base de connaissances Microsoft. »

Appliquez les correctifs aussi vite que possible mais vérifiez aussi votre exposition à Superfish et sachez que certaines applications modifient votre magasin de certificats racine pour espionner vos communications. (Par Wolfgang Kandek, CTO, Qualys Inc.)

BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage

Cyber-Attaques : 95% des sites Web et eCommerce démunis

Peu sensibilisées et mal protégées, les petites et moyennes entreprises représentent des cibles de choix pour les hackeurs et fraudeurs. La plupart se feront piratées sans même le savoir. Au menu : défiguration du site, indisponibilité du site, compromission du site, vol de données client et vol d’identité, sans parler des fraudes. Le sujet vital de la cybersécurité web est étrangement peu abordé dans les débats eBusiness & eCommerce. Face à ce constat, quelles sont les options qui s’offrent aux PME ? Guides de recommandations, achats de produits et technologies, prestations ou sous-traitance spécialisées ?

Régis Rocroy, fondateur d’OZON, une startup spécialisée en Cybersécurité Web & eCommerce, nous explique que  Depuis 3 ans, nous assistons à une recrudescence des cyber-attaques & fraudes sophistiquées qui représentent des menaces persistantes pour près de 95 % des sites eCommerce. Les mesures de sécurité d’autrefois (firewall réseau et SSL/TLS) ne sont plus suffisantes.

Malheureusement, il est parfois nécessaire d’attendre l’incident pour sensibiliser (cf 25.000 sites web piratés en Janvier 2015). « Nous avons conçu la solution OZON afin de permettre aux petites et moyennes entreprises du monde entier de développer leurs activités eBusiness & eCommerce à l’abri des cyber-attaques et fraudes sophistiquées. Une sorte d’assurance tout risque numérique web. Avec une solution SaaS clé-en-main, transparente et économique, OZON lève les barrières financières et techniques d’accès à des technologies de sécurité coûteuses et complexes.« 

Une récente étude dévoile d’ailleurs que le budget moyen alloué à la sécurité de l’information a baissé de plus de 4% depuis un an. Pourtant, le risque a doublé pour les entreprises par rapport à 2013 et le nombre de cyber-attaques recensées en 2014 est en hausse de 48 % dans le monde, atteignant un nombre total de 42,8 millions, soit l’équivalent de 117 339 attaques par jour pour un coût de 2,7 millions de dollars.

Cybersécurité, Entreprise, Fuite de données, Identité numérique, Leak, Particuliers, Piratage, pourriel, Scam, Social engineering, spam, Vie privée

Direction la prison pour un milliard de mails volés

Le Département de la Justice américaine, le DoJ, vient d’inculper trois pirates informatiques considérés par la justice US comme étant les plus importants voleurs de mails de l’Internet. Comme l’explique zataz.com, les trois internautes, l’un d’eux est toujours en fuite, ont volé un milliard d’adresses mails via 8 sociétés américaines. Des attaques, et des ponctions, qui ont été orchestrées durant 3 ans, entre 2009 et 2012.

ZATAZ explique que trouver des millions d’adresses électroniques est un jeu d’enfant « trouver des mails sur la toile, c’est comme chercher un grain de sable sur une plage de Dunkerque… Il y en a partout !« . La référence des magazines électroniques (qui fêtera ses 18 ans en juin 2015, NDR) indique que certains Dorks Google permettent à eux seuls d’en collecter des centaines de millions.

Android, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Sécurité, Smartphone, Téléphonie

Sikur dévoile son Smartphone à haute sécurité

La société brésilienne Sikur a lancé le forfait GranitePhone et un système d’exploitation conçu afin d’éviter les fuites d’informations. Les premières unités de l’appareil seront disponibles sur le marché au cours du premier trimestre 2015.

Sikur a présenté lors du MWC2015 un nouveau smartphone. L’appareil a été spécifiquement conçu pour échanger des informations confidentielles et sensibles, sans affecter sa vitesse et son efficacité. Le GranitePhone, dont le lancement a eu lieu à Barcelone, est le fruit d’années de recherche dans le domaine de la défense nationale, gouvernementale et de la communication des multinationales. Il garantit la confidentialité des appels privés, messages, documents et de la messagerie instantanée. L’appareil possède toutes les caractéristiques d’un smartphone de pointe sans risque de fuite d’informations ni perte de données professionnelles.

La sécurité est un problème qui préoccupe les dirigeants et institutions gouvernementales du monde entier.  Une enquête menée par le Ponemon Institute en 2014, a montré que 60 % des sociétés interrogées ont déjà traité plusieurs cas de fuites de données au cours des deux dernières années. « Au début, nous pensons que nous allons d’abord servir les gouvernements et les entreprises. Ensuite, plus les particuliers vont se rendre compte de la valeur des informations qu’ils partagent, telles que leurs habitudes de consommation et leur localisation géographique, cela changera et un nouveau marché des consommateurs s’ouvrira à nous » prédit à DataSecurityBreach.fr Cristiano Iop Kruger, PDG de Sikur.

Le GranitePhone offre de haut niveaux de cryptage, de contrôle pour les entreprises et de gestion de l’appareil. Par exemple, en cas de perte ou de vol, vous pouvez vous connecter à distance sur le nuage de Sikur et y détruire toutes les informations contenues sur le portable.  À l’avenir, une boutique d’applications proposera des applications de sécurité exclusivement testées et homologuées par Sikur. Contrairement aux autres solutions de sécurité, le GranitePhone ne se limite pas seulement à proposer des solutions d’application encryptées. Le forfait application fait partie du matériel intégré, puisque l’appareil à à « sécurité intrinsèque » a été conçu pour protéger toutes les couches internes du dispositif, visant à combler toutes les lacunes de protection de la vie privée pouvant entraîner le vol, la divulgation ou l’espionnage de données.

Face à la demande importante des sociétés et des gouvernements pour des projets de sécurité et de protection en Amérique latine, au Moyen-Orient et aux États-Unis, le premier lot d’appareil devrait être disponible au cours du premier trimestre 2015.

Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, Justice, Leak, Particuliers, Piratage

Julian Assange : « Aucun citoyen européen n’est à l’abri »

Un commentaire

Début de semaine, Julain Assange était sur l’antenne d’Europe 1, dans la matinale de Thomas Sotto. Le fondateur de Wikileaks est revenu sur les révélations de ces derniéres semaines.

On entend parler de vous depuis des années mais qui est Julien Assange ? Justicier, illuminé, résistant, mégalo ? « Je ne sais pas ! Si vous lisez la presse, tous ces qualificatifs et bien d’autres ont été utilisés ! Tortureur de chats, agent du Mossad et j’en passe…« 

Comment vous vous définissez ? « Vous savez que j’ai étudié la physique pendant très longtemps alors, qu’est-ce que je fais ? Je m’efforce de faire en sorte que les êtres humains aient accès à des informations auxquelles ils n’ont pas accès autrement. Habituellement, ce sont des informations qui sont censurées mais elles sont précieuses pour nous permettre de mieux comprendre notre environnement et faire advenir la Justice ! Ce n’est pas systématiquement le cas mais de même que pour comprendre le monde et être civilisé, il est indispensable de savoir lire et écrire, l’accès à ces informations est également essentiel.« 

Wikileaks aura 10 ans l’an prochain. Vous ne craignez pas d’alimenter une grande théorie du complot mondial ? « Je suis assez agacé par les théoriciens du complot, pour une raison très simple ! Au quotidien, nous publions des documents sur les agissements effectifs des gouvernements concernés ! Il n’y a rien qui concerne des extra-terrestres ou des aliens, rien de tel, mais bien des manœuvres géopolitiques secrètes qui vont à l’encontre de l’intérêt du public ! Il me semble que c’est là-dessus que les gens devraient se concentrer !« 

Le chef de ces manipulateurs s’appelle Barack Obama ? « J’aimerais le croire ! Ce serait très confortable de croire que le monde est aussi simple que cela et que les responsables que nous élisons, ou non, sont effectivement ceux qui gèrent le monde ! Malheureusement, les choses ne fonctionent pas comme cela ! Nous voyons l’émergence progressive d’un véritable régime de surveillance de masse parfaitement Orwellien, qui est le fait principalement des gouvernements américains et britanniques, mais auxquels s’associent 38 autres pays ! Téléphones et disques durs du monde entier sont sur surveillance, à quoi s’ajoute la coopération d’entreprises comme Google. Je crois que tout cela rend le monde très vulnérable et fait planer une véritable menace sur le monde contemporain. »

Et la France ? « Pendant longtemps, la France a également disposé d’un régime de surveillance assez agressif, que ce soit à l’intérieur ou à l’extérieur du territoire mais ce régime est resté insignifiant comparé aux systèmes mis en place par le Royaume-Uni ou les USA. En théorie, la France doit encore avoir la capacité d’assurer son indépendance par rapport au reste du monde occidental. En pratique, le niveau d’investissement américain en France, et inversement les investissements français aux USA, les accords d’échange de renseignements, ont largement affaibli cette position et cette capacité théorique d’indépendance. Il est bien possible qu’il soit trop tard aujourd’hui pour que la France retrouve cete indépendance. On sait que nous avons en France des collaborateurs auxquels nous tenons beaucoup, la France est un pays important pour Wikileaks en tant qu’organisation, mais la France a également un rôle important à jouer pour l’indépendance européenne. »

Edward Snowden : les USA veulent le juger, il a trouvé refuge en Russie. On se demande si vous n’êtes pas instrumentalisés, marionnettes de Poutine ? (Rires.) « La réponse est facile : c’est non ! Je sais de quoi je parle : les USA ont essayé d’arrêter Edward Snowden à Hong-Kong afin d’organiser son extradiction, cela aurait constitué un symbole extraordinairement négatif pour la liberté d’expression et aurait envoyé un très mauvais signal à tous les lanceurs d’alerte. Voilà pourquoi nous avons envoyé une de nos journalistes et conseillers juridiques à Hong-Kong, nous avons facilité sa sortie et bien sûr Snowden a fini en Russie. Cela pour une raison très simple : tandis qu’il était en route vers l’Amérique Latine, les USA ont annulé son passeport ! Il ne pouvait plus quitter le territoire russe ! Son billet d’avion devait l’amener à Cuba. Le gouvernement américain a annulé son passeport. Pourquoi ont-ils fait quelque chose d’aussi imbécile ? Parce que les services américains sont incompétents ! Tous ces services étaient en train de chasser Edward Snowden, et nous l’équipe de Wikileaks les avons pourtant battus ! Ca représente une lueur d’espoir pour les éditeurs indépendants et pour l’Europe.« 

De fait, ne devenez-vous pas une sorte d’allié de Poutine face aux USA ? « La Russie ne m’a pas accusé d’espionnage, les USA si ! Je ne suis pas seul dans ce cas-là, les USA en veulent à un grand nombre de personnes, ils ont effectué des descentes policières aux domiciles de 80 personnes et plus, les USA ont placé un grand nombre de mes amis derrière les barreaux, ils ont mis en place un système de surveillance de l’ensemble des internautes et je pèse mes mots ! Aucun citoyen européen, où qu’il se trouve, n’est à l’abri de ce programme de surveillance !« 

Nous sommes à l’ambassade d’Equateur à Londres. Si vous en sortez, vous serez arrêté et extradé vers la Suède où deux femmes ont porté plainte pour agression sexuelle et viol. Vous êtes innocent ? « Oui !« 

Pourquoi ne pas aller le prouver en vous présentant à la justice suédoise ? « Je me suis rendu en Suède, j’y ai passé du temps. Les accusations ont été abandonnées en Suède et ressuscités juste après la publication de nos documents ! Voilà pourquoi nous sommes aussi méfiants vis à vis de la Suède. Si les enquêteurs suédois souhaitent me poser des questions, ils peuvent parfaitement m’appeler, venir ici au Royaume-Uni, un grand nombre de procédures peuvent être  utilisées en l’espèce. »

Depuis plus de deux ans, vous êtes dans cette ambassade sombre, sans cour, sans jardin. En août, vous avez dit que vous alliez partir sous peu. Vous allez rester jusqu’à quand ? « C’est une question très amusante ! Je n’ai jamais déclaré que je quitterais bientôt l’ambassade ! Ce sont des propos attribuables à la presse de Murdoch qui a d’ailleurs déclaré que j’étais prêt à sortir de cette ambassade pour me faire arrêter immédiatement : c’est une pure invention ! En ce qui concerne ma situation présente, je dirais que la surveillance dont je fais l’objet est illégale, le fait que tous mes visiteurs soient passés au crible présente des difficultés pour mon travail, mais je crois que c’est vraiment la menace qui plane sur ma famille, mes enfants, qui me pèse le plus. Eux n’ont rien demandé. »

Votre avenir, vous le voyez comment ? « Je crois que mes circonstances présentes resteront inchangées pendant assez longtemps. »

Vous resterez là des années s’il le faut ? « Si on compare ma situation actuelle à celle qui serait la mienne aux USA, je crois que mes circonstances présentes sont bien meilleures ! La vie est difficile bien entendu, par certains côtés : contrairement à des détenus de droit commun je n’ai aucune opportunité d’exercice physique, ça c’est un aspect assez difficile. Je sais que si je devais effectivement finir aux USA, je me batterais  très certainement, et il en coûterait, croyez-moi, politiquement, au gouvernement américain, que de me faire tomber. »

Quelle prochaine bombe sortira Wikileaks ? « Si je réponds à cette question, ce sera votre bombe et plus la mienne !«  (Merci à Europe 1 de nous avoir envoyé l’interview, NDLR)

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Sécurité, Smartphone

Découvrir la fraude avant qu’elle ne se produise

Mobileum annonce un système d’analyse anti-fraude qui découvre les fraudes aux télécommunications avant qu’elles ne se produisent.

Cette approche prédictive basée sur l’apprentissage des machines détecte la fraude en temps réel. Mobileum, société spécialisée dans les solutions d’analyse pour la transformation des entreprises de télécommunications, a fait à DataSecurityBreach.fr du lancement du système d’analyse anti-fraude Mobileum, une solution de prévention de la fraude, prédictive, basée sur l’apprentissage des machines, qui aidera les opérateurs téléphoniques à enrayer leurs pertes de revenus grâce à une détection en temps réel.

Les fraudes dans le domaine des télécommunications continuent de constituer une sérieuse menace pour les opérateurs du secteur, érodant leurs profits et touchant leur image de marque. Avec plus de 46 milliards de dollars de pertes de revenus, le secteur des télécommunications ne le cède qu’aux banques en ce qui concerne les pertes dues aux fraudes. Pour certains opérateurs, les pertes causées par les fraudes augmentent chaque année plus vite que les revenus engrangés par leurs services. Les systèmes conventionnels de gestion de la fraude comprennent les types de fraudes connus et ils contiennent des protocoles intégrés pour détecter les modalités connues de commettre une fraude, mais ces systèmes sont dans l’incapacité de faire jeu égal avec les
fraudeurs qui innovent et évoluent constamment.

« Lorsque nous abordons le sujet de la fraude aux télécommunications, il existe des » inconnues connues « , ainsi que des « inconnues inconnues » que les systèmes de gestion de la fraude basés sur des protocoles ne peuvent déceler. Et même si ces systèmes conventionnels détectent à retardement de nouveaux types de fraude, ce temps de latence au niveau de la détection rend celle-ci inutile car les fraudeurs ont alors déjà modifié les règles du jeu. Les techniques de fraude de cette année ne sont pas les mêmes que celles de l’an dernier « , a déclaré à DataSecurityBreach.fr Sudhir Kadam, vice-président et responsable du service d’analyse à Mobileum.  » Notre solution avancée d’analyse fait passer les opérateurs de communications mobiles d’une ère de plus en plus inefficace de solutions basées sur des protocoles vers un univers de l’apprentissage prédictif des machines, sans qu’il y ait besoin de comprendre des algorithmes complexes, afin de combattre la fraude et de mettre fin aux pertes de revenus « .

La solution d’analyse anti-fraude de Mobileum fonctionne sur sa plateforme de mégadonnées et d’analyse en attente de brevet baptisée Wisdom, capable d’exploiter des milliards de transactions anodines en temps réel afin d’y découvrir des formes anormales de comportements fraudeurs en émergence. Cela aide à élargir le filet dans lequel intercepter les écarts par rapport aux types connus de fraudes et à identifier les fraudes inconnues concernant les communications vocales, de données et de texte, ainsi que les scénarios de fraude internationale et d’itinérance.

Mobileum a évoqué qu’un opérateur américain de premier plan était devenu son premier client pour l’analyse anti-fraude en décembre 2014.

backdoor, Cybersécurité, Entreprise, Espionnae, Facebook, Fuite de données, Leak, Particuliers, Piratage, Social engineering

Accéder à votre compte Facebook sans mot de passe, facile !

3 commentaires

Voilà qui va être apprécié chez les amateurs du réseau communautaire. Les employés de Facebook peuvent accéder à votre compte, sans utiliser votre mot de passe. Facebook explique que cela reste cependant très contrôlé !

On ne rigole pas, et on se dit que Facebook croit vraiment ce qu’il tente de raconter aux internautes. Accéder à votre compte Facebook est très simple pour un employé, il lui suffit de cliquer sur le logiciel local et le voilà dans votre espace, sans avoir à utiliser, ni même connaitre votre mot de passe. Facebook explique que cela reste cependant très contrôlé !

La découverte a été faite par un Paavo Olavi Siljamäki, un DJ producteur, en visite dans les locaux de Facebook. Il explique, sur son compte FB, avoir vu de ses petits yeux un employé de Facebook accéder à son compte, sans utiliser le moindre sésame. « Des gens sympas là-bas nous ont donné de bons conseils sur la façon d’utiliser au mieux Facebook. Puis on m’a demandé si j’étais d’accord pour regarder mon profil (…) Un ingénieur de Facebook peut alors se connecter directement sur mon compte, regarder tout mon contenu privé sans me demander mon mot de passe« .

Le plus fou est que Paavo a ensuite regardé, chez lui, son compte Facebook. Sa page ne lui a pas indiquer cette visite particulière.  « Nous avons des contrôles administratifs, techniques et physiques très rigoureux quant à l’accès aux informations de nos utilisateurs » indique Facebook à Venture Beat. Bref, Paavo a donné son accord, et l’employé est rentré !

 

Argent, Arnaque, Contrefaçon, Cybersécurité, Entreprise, escroquerie, Fuite de données, Particuliers

Des milliers de sites Français touchés par du viagra aggressif

Plus de 4500 sites français, en .fr, touchés en février par une opération de piratage d’envergure. Le site ZATAZ.COM explique que ce piratage de masse visait à diffuser des liens et des pharmacies illicités dans les sites infiltrés.

Alors que nous aurions pu penser que les administrateurs et autres webmasters de sites Internet avaient compris la leçon après les piratages de dizaines de milliers de sites Français, en janvier 2015, la révélation de zataz.com montre une fois de plus que de trop nombreux gestionnaires de sites Internet se moquent de la sécurité pensant que cela ne leur arrivera jamais. Le webzine zataz explique que plus de 4.500 sites en .fr « et 50 fois plus dans le monde » ont été touchés par une infiltration de masse. Mission des pirates, cacher des liens et des pages renvoyant sur des pharmacies illicites.

Dans l’émission de ce 1er mars 2015, zatazweb.tv montre en image le cas de plusieurs mairies et offices de tourisme français noyés sous les fausses pages dédiées au viagra, cialis… « Nous aurions pu penser qu’après l’opération anti France de janvier 2015, grand nombre d’administrateurs de sites importants auraient compris l’importance des mises à jour. A première vue, c’est raté » confirme zataz. Inquiétant !

BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Leak, Particuliers, Piratage, Sauvegarde, Vie privée

Sécurité des données personnelles : le palmarès des régions les plus soucieuses de la sécurité de leurs mots de passe

L’éditeur Dashlane a réalisé une étude anonyme sur 45,000 de ses utilisateurs français pour évaluer le niveau de sécurité de leurs mots de passe.

On ne compte plus les gros titres annonçant un nouveau piratage d’ampleur. Malgré cette insécurité croissante sur Internet, les internautes continuent de ne pas vraiment protéger leurs données personnelles… et pourtant, s’il y a 10 ans le mot de passe ne servait qu’à s’identifier sur un site web, maintenant il est le premier rempart pour protéger toutes ses données personnelles. Il suffit de regarder son compte Facebook pour s’apercevoir à quel point on met de plus en plus d’informations privées sur Internet.

Après avoir mené une enquête au niveau international en décembre dernier, Dashlane s’est intéressé à la France. Le spécialiste de la gestion des mots de passe pour les particuliers, a réalisé une étude anonyme sur 45 000 de ses utilisateurs français pour établir un classement des régions qui protègent le mieux leurs données personnelles sur Internet. Chaque région s’est vue attribuer un score moyen de sécurité, en fonction du niveau de sécurité des mots de passe des habitants de cette région. La note va de 0 à 100 (le maximum).

 Aucune région ne dépasse le score de 55

Principal constat, aucune région française n’obtient un score de sécurité rassurant… aucune ne dépasse le score de 55 et 3 régions n’obtiennent même pas la moyenne de 50 points : le Languedoc-Roussillon, la Provence-Alpes-Côte d’Azur et le Limousin (49.9), tous trois dans la moitié sud du pays. Mais le Nord-Pas-de-Calais ne fait pas beaucoup mieux avec 50,8. La moyenne des régions françaises se situe donc à 51,8, ce qui place 12 régions (sur un total de 22) en dessous de cette moyenne.

« On observe un noyau de bons élèves, la Franche-Comté, Rhône Alpes et Auvergne, alors que le Languedoc-Roussillon et la Provence-Alpes-Côte d’Azur ferment la marche. Ce classement illustre des différences d’état d’esprit dans la manière dont les gens envisagent leur sécurité en ligne.» indique à DataSecurityBreach.fr, Guillaume Desnoes, Responsable des marchés européens de Dashlane.

backdoor, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Sécurité, Smartphone, Social engineering

Il y a bien eu des tentatives de piratage de Gemalto

Gemalto a présenté ce mercredi 25 février les conclusions de ses investigations sur le possible piratage de clés d’encryptage de cartes SIM diffusé par un journal américain. Pour la firme, l‘analyse de la méthode décrite dans les documents et les tentatives d’intrusion sophistiquées détectées par Gemalto en 2010 et 2011 rendent cette opération probable. Les attaques (Phishing et tentative d’installation du cheval de Troie) n’auraient touché que des réseaux bureautiques, elles n’ont pas pu résulter en un vol massif de clés d’encryptage de cartes SIM. La technique utilisée étant d’intercepter les clés lors de l’échange entre l’opérateur télécom et ses fournisseurs, et Gemalto indique avoir largement déployé un système d’échange sécurisé avec ses clients, avant 2010. Les données éventuellement volées par cette méthode ne sont exploitables que dans les réseaux de deuxième génération (2G). Les réseaux 3G et 4G ne sont pas vulnérables à ce type d’attaque.

Suite à la publication de documents le 19 février 2015 dernier, Gemalto a mené une investigation approfondie sur la base de deux éléments : les documents censés émaner de la NSA et du GCHQ rendus publics par ce site, et les outils de surveillance interne, avec leurs registres de tentatives d’intrusion.

L’article de The Intercept suppose que les documents publiés sont réels et qu’ils décrivent précisément des événements qui se sont produits en 2010 et 2011. Notre publication ci-dessous n’a pas pour but de confirmer partiellement ou entièrement ni de fournir des éléments permettant de réfuter partiellement ou entièrement le contenu des documents publiés par ce site web. En tant qu’acteur de la sécurité numérique, Gemalto est régulièrement la cible d’attaques. Ces tentatives d’attaques sont plus ou moins sophistiquées et nous sommes habitués à y faire face. La plupart échouent mais quelques-unes parviennent parfois  à pénétrer la partie externe de notre réseau qui est architecturé pour être très sécurisé.

 

Si nous regardons en arrière, sur la période couverte par les documents de la NSA et le GCHQ, nous confirmons avoir fait face à plusieurs attaques. En 2010 et 2011 précisément, nous avons détecté deux attaques particulièrement sophistiquées qui pourraient être reliées à cette opération.

 

En juin 2010, nous avons remarqué une activité suspecte sur l’un de nos sites français où un tiers a essayé d’espionner le réseau que nous appelons « office », c’est-à-dire le réseau de communication des employés entre eux et avec le monde extérieur. Des mesures ont été prises immédiatement pour éradiquer la menace.
En juillet 2010, notre équipe de sécurité a détecté un second incident. Il s’agissait de faux courriels envoyés à l’un de nos clients opérateur mobile en usurpant des adresses mail authentiques de Gemalto. Ces faux emails contenaient un fichier attaché qui permettaient le téléchargement de code malveillant. Nous avons immédiatement informé le client concerné et signalé l’incident aux autorités compétentes, en leur communiquant l’incident lui-même et le type de programme malveillant identifié.

 

Au cours de la même période, nous avons également détecté plusieurs tentatives d’accès aux ordinateurs de collaborateurs de Gemalto ayant des contacts réguliers avec des clients. A l’époque, nous n’avons pas pu identifier les auteurs de ces attaques mais maintenant nous pensons qu’elles pourraient être liées à l’opération du GCHQ et de la NSA.

 

Les intrusions n’ont affecté que des parties externes des réseaux de Gemalto, c’est-à-dire les réseaux bureautiques qui sont en contact avec le monde extérieur. Les clés de cryptage et plus généralement les données client ne sont pas stockées sur ces réseaux. Il faut imaginer l’architecture de notre réseau un peu comme le croisement entre un oignon et une orange. Il est composé de couches multiples et de nombreux quartiers qui permettent de cloisonner et d’isoler les données.

 

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Propriété Industrielle, Sauvegarde, Social engineering

Cyber-sécurité : éviter la menace interne en surveillant les portes du royaume

Les récentes cyberattaques de grande envergure telles que le récent « cyber hold-up » via le malware Carbanak à l’encontre des établissements bancaires ou encore celle qui a permis la révélation de la fraude fiscale HSBC par son ex-informaticien Hervé Falciani, rappellent que les menaces internes sont de plus en plus présentes. Les hackers ne cessent d’affiner leurs techniques de piratage pour garder une longueur d’avance sur les mesures mises en place par les organisations. Leur atout majeur : le manque manifeste de vigilance autour des pratiques en interne de la plupart des organisations. La tâche des hackers s’en trouve donc simplifiée, puisque des techniques simples et classiques pour infiltrer les comptes à hauts pouvoirs de l’entreprise suffisent à bouleverser toute une structure.

Aujourd’hui, les pirates s’infiltrent insidieusement dans les systèmes et s’y installent aussi longtemps que nécessaire pour récolter les données qu’ils convoitent. Les techniques varient et si elles se renouvellent, les vieux schémas restent de mise. Dans le cas de HSBC par exemple, très semblable à l’affaire Snowden, la révélation des Swissleaks a été perpétrée par un ex-informaticien de la banque hongkongaise ayant eu accès aux données des clients en situation de fraude fiscale. Au-delà des clauses de confidentialité auxquelles sont soumis les employés d’une entreprise, ce cas de figure rappelle la nécessité de surveiller les accès des employés aux données de l’entreprise, et notamment à celles qui ne dépendent pas de leur champ d’intervention. Il en est de même pour tout individu extérieur à l’organisation.

De plus, une surveillance accrue de l’activité en interne peut permettre de détecter des tentatives d’intrusion en cours. En effet, l’attaquant motivé trouvera coûte que coûte un moyen de s’infiltrer dans le système et un minimum d’attention permet parfois aux employés d’identifier ces tentatives qui ne sont pas toujours discrètes. La récente cyberattaque relative au malware Carbanak confirme que les hackers développent des méthodes de plus en plus sophistiquées pour rendre leurs faux emails aussi crédibles que possibles. Dans le cas de Carbanak, les attaquants ont pu copier un ver informatique inséré dans la pièce jointe de mails personnalisés et se frayer un chemin jusqu’aux caméras de sécurité des banques visées. Ils ont ainsi pu visionner les vidéos et copier l’ensemble des démarches des employés pour accéder aux comptes des clients.

La sensibilisation des équipes internes permet d’éviter ce type de situations comme cela a été récemment le cas pour Le Monde où les employés ont détecté plusieurs tentatives d’intrusion conduites via des techniques de phishing, de mails de spams et de dénis de services ; leur mobilisation combinée à un système de sécurité efficace ont contribué à détecter les signes précurseurs d’une attaque et à stopper les hackers avant qu’il ne soit trop tard. Car une fois à l’intérieur du système, les hackers se concentrent sur le détournement et l’exploitation des comptes utilisateurs. Ils se tournent notamment vers les comptes administrateurs détenant des accès privilégiés aux données critiques, qui sont en général encore moins bien surveillés que les comptes des employés, constituant ainsi une zone d’ombre privilégiée par les hackers pour agir sur le long terme en toute discrétion. Ils peuvent ainsi se déplacer à travers le réseau, accéder aux systèmes critiques et exfiltrer les données préalablement volées.

Aujourd’hui, les employés tendent à devenir un point d’entrée incontournable pour les attaques ciblées, il est donc indispensable que les organisations tiennent compte de la menace interne et surveillent à la fois les points d’entrées sensibles, respectent les bonnes pratiques et restent en alerte face aux signaux précurseurs d’attaques. Quel que soit l’objectif final d’une cyberattaque, les chemins empruntés sont souvent les mêmes, sachant que les hackers visent la plupart du temps la voie royale que sont les comptes à privilèges pour parvenir à leurs fins. (Par Olivier Mélis, Country Manager France chez CyberArk pour DataSecurityBreach.fr)

Arnaque, backdoor, Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Identité numérique, Leak, Particuliers, Piratage, Propriété Industrielle, Social engineering, Vie privée

Les techniques de persuasion utilisées par les cybercriminels

92 % des employés français, 80 % à travers le monde, se sont déjà fait piéger par des menaces informatiques et notamment par des tentatives d’hameçonnage. DataSecurityBreach.fr vous alerte très souvent sur les techniques de persuasion utilisées par les pirates informatiques. Intel Security vient de diffuser un rapport sur les méthodes de substitution des données sensibles utilisées par les cybercriminels sont de plus en plus proches de celles utilisées dans le monde réel et notamment des techniques de vente et d’escroquerie. Prenez garde à votre sécurité en ligne !

« Piratage de l’OS humain », le nouveau rapport d’Intel Security, élaboré avec le soutien du Centre Européen de lutte contre la cybercriminalité d’Europol, présente les techniques utilisées dans les récentes cyberattaques, ainsi que les méthodes de manipulations des hackers pour rendre les collaborateurs d’entreprises complices/acteurs d’actes de cybercriminalité.

Publié quelques jours après la révélation d’une cyberattaque qui a touché plus de 100 banques à travers le monde et causé aux alentours de 900 millions d’euros de dégâts, ce rapport démontre toute l’importance d’une prise de conscience collective et souligne la nécessité d’éduquer les collaborateurs aux méthodes de persuasion appliqués par les hackers dans le monde numérique. Dans l’exemple cité, les attaques de phishing ciblées ont permis l’ouverture de brèches au sein de ces réseaux bancaires, démontrant ainsi la faiblesse intrinsèque du « pare-feu humain ». A titre de comparaison, l’étude Threat Report d’Intel Security a permis, en septembre dernier, de révéler que 92 % des employés français n’étaient pas en mesure d’identifier un courriel de phishing sur sept.

« L’analyse de nombreux cas d’usurpation de données nous montre qu’aujourd’hui, le facteur humain est le plus souvent la clé qui permet aux hackers d’agir. En les manipulant, ils les incitent à prendre des mesures qui facilitent l’infection des systèmes par des logiciels malveillants », commente Raj Samani, Directeur Technique EMEA d’Intel Security et conseiller auprès du Centre européen de lutte contre la cybercriminalité d’Europol.

« Aujourd’hui, les cybercriminels n’ont pas nécessairement besoin de savoir-faire technique pour atteindre leurs objectifs. Certains logiciels malveillants peuvent infecter les ordinateurs en y accédant directement par emails. Ces attaques ciblées manipulent les victimes et les incitent à ouvrir des pièces jointes, prétendument légitimes, ou à cliquer sur un lien qui semble provenir d’une source sûre », indique Paul Gillen, directeur des opérations du Centre Européen de lutte contre la cybercriminalité.

Sur l’année 2014, il a été répertorié une augmentation spectaculaire du nombre d’URL malveillantes soit plus de 30 millions de liens suspects. Cette augmentation peut être attribuée à la fois à une forte hausse du nombre de liens de phishing ainsi qu’à une utilisation plus commune des URL courts qui cachent, souvent, des sites Web malveillants. Cette tendance est d’autant plus inquiétante que 18 % des utilisateurs visés par un email de phishing cliquent sur ce lien malveillant et deviennent ainsi victimes de la cybercriminalité.

Le rapport pointe du doigt le fait que deux tiers des emails mondiaux sont des spams qui visent à soutirer des informations et de l’argent à leurs destinataires. Face à ce constat, il est d’autant plus important que les consommateurs et les collaborateurs d’entreprises soient informés des techniques de phishing et d’escroquerie couramment utilisées dans le monde numérique.

« Aujourd’hui, les cybercriminels sont devenus de très bons psychologues, capables de jouer sur le subconscient des employés en s’appuyant notamment sur un grand nombre de tactiques de « vente » souvent utilisées dans la vie quotidienne. Pour garder une longueur d’avance sur les cybercriminels et réduire le risque d’être l’une des victimes de la cybercriminalité, les entreprises doivent non seulement optimiser leurs processus et compter sur la technologie mais aussi former leurs personnels pour pallier à la brèche dans ce qu’on nomme ‘l’OS humain’ », conclut Raj Samani.

Il n’a jamais été plus important de former les individus à la sécurité et à la politique de leur entreprise en matière de protection des données. Paradoxalement, une étude récente publiée par Enterprise Management Associates1 a révélé que seulement 56 % des employés avaient suivi une formation à la politique de sécurité de l’entreprise.

Les six leviers d’influence des cybercriminels dans le monde numérique

1. Réciprocité des échanges : Les gens ont tendance à se sentir obligés de répondre une fois qu’ils reçoivent quelque chose.

2. Rareté de l’offre : Les individus sont motivés par l’obtention de ce qu’ils croient être une ressource rare ou une offre limitée dans le temps et peuvent ainsi s’exposer plus facilement au cybercrime. Par exemple, un faux courriel envoyé par une banque demandant à l’utilisateur d’accepter une demande suspecte afin d’éviter la désactivation de son compte dans les 24 heures peut avoir tendance à inciter au clic.

3. Cohérence des engagements : Une fois engagée dans une démarche, la victime choisit très souvent de tenir ses promesses pour rester cohérente et éviter de paraître peu voire non fiable. Par exemple, un pirate peut se présenter en tant qu’un membre de l’équipe SI de l’entreprise et, après avoir fait en sorte qu’un employé s’engager à respecter tous les processus de sécurité, lui demander d’effectuer une tâche suspecte sur son poste, qui semblerait être conforme aux exigences de sécurité.

4. Appréciation et amitié : Les tentatives d’hameçonnage sont plus productives lorsque le cybercriminel réussit à gagner la confiance de la victime. Pour endormir la méfiance, un pirate pourrait notamment essayer d’entrer en contact, soit par téléphone soit en ligne, et « charmer » au préalable sa victime potentielle.

5. Respect de l’autorité : Les gens ont tendance à se conformer à une figure d’autorité. Les directives dans un mail prétendument envoyé de la part d’un PDG de l’entreprise sont plus susceptibles d’être suivies par un employé.

6. L’effet de masse : Les gens ont tendance à se conformer à la majorité. Par exemple, si un courriel de phishing est prétendument envoyé à un groupe de collègues, plutôt qu’à un seul destinataire, la victime potentielle de l’attaque se sent davantage rassurée et est plus susceptible de croire que le mail provient d’une source sûre.

1 Source : Enterprise Management Associates

BYOD, Chiffrement, Cloud, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage, Propriété Industrielle

Pourquoi de bonnes résolutions ne suffisent pas à se protéger en 2015 ?

Face aux cyber-menaces, les entreprises doivent s’ouvrir à de nouvelles approches en termes de cyber-sécurité.

Le paysage des cyber-menaces est en évolution permanente. Les attaques ciblées se multiplient tandis que les modes opératoires deviennent de plus en plus complexes et uniques, rendant ces menaces extrêmement difficiles à identifier. Pour ces raisons, la cyber-sécurité est devenue, aujourd’hui, une problématique prioritaire pour la plupart des entreprises.

Dans ce contexte, il existe quelques recommandations qui permettent de limiter les risques de cyber-attaques. Il est par exemple conseillé de vérifier les antécédents des employés, de limiter l’accès des salariés aux données par lesquelles ils sont concernés dans le cadre de leurs fonctions, de s’assurer du cryptage des données confidentielles, etc. Cependant, bien qu’ils méritent d’être pris au sérieux, ces prérequis de base ne sont pas suffisants pour faire face à la réalité des menaces actuelles les plus sophistiquées.

En effet, aujourd’hui, nous ne pouvons plus considérer, uniquement, les menaces externes. Dans un contexte où l’information est de plus en plus difficile à canaliser, notamment à cause de la pluralité des lieux et des supports d’utilisation, la menace interne est plus que jamais présente, et concerne chaque organisation.

D’un point de vue technologique, une société baptisée Darktrace a connu d’importantes mutations au court des dix dernières années. Le modèle traditionnel, que nous pourrions qualifier d’ancestral, consistait à construire un mur autour du réseau de l’entreprise afin de se protéger d’éventuelles menaces provenant de l’extérieur. Cette approche nécessitait une connaissance parfaite de son réseau ainsi que la capacité à délimiter ses frontières. Aussi, elle impliquait une confiance totale en tous les collaborateurs internes à l’entreprise, et une méfiance constante envers les acteurs externes. Cette vision un peu simpliste apparaît clairement obsolète dans la société contemporaine. Ainsi, pour aider les entreprises à anticiper les cyber-attaques, Darktrace a développé une nouvelle approche. Celle-ci prend comme point d’ancrage l’acceptation de la présence de menaces, sur tous les systèmes d’information.

En effet, étant donné que le risque zéro n’existe pas, et que la réalité des entreprises nous démontre, chaque jour, qu’il est de plus en plus difficile de délimiter les frontières du réseau, il n’est pas pertinent de faire la distinction entre l’interne et l’externe. C’est pourquoi, Darktrace a développé une nouvelle approche appelée « Système Immunitaire pour Entreprises ». Basée sur des avancées académiques fondamentales, elle a pour vocation de se prémunir contre les menaces les plus sophistiquées, qu’elles émanent de l’interne ou de l’externe.

La technologie repose sur l’analyse et l’apprentissage automatisé de l’environnement de l’organisation. Concrètement, il s’agit d’observer les comportements de chaque utilisateur, de chaque machine et de la structure dans sa globalité, afin d’identifier un modèle de comportement normal. La connaissance de ce modèle de référence permet, par déduction, d’identifier les activités « anormales », pouvant révéler d’éventuelles menaces.

Cette solution repose, d’une part sur une technologie auto-apprenante et, d’autre part, sur des mathématiques probabilistes bayésiennes développées à l’université de Cambridge. La combinaison de ces intelligences permet une évolution constante du modèle « de référence », en fonction de l’activité de chaque utilisateur, de chaque machine dans le réseau, et des mutations au sein de l’organisation.

Cette vision de l’activité réseau de l’entreprise, en temps réel, ne permet pas d’éliminer les cyber-menaces, elle a pour vocation de les identifier, afin d’être à même de prendre des mesures correctives avant qu’il ne soit trop tard. Le risque zéro n’existe pas, la menace est là, partout au sein de notre réseau, et elle est impossible à éradiquer. La vraie force est la capacité à l’identifier afin d’anticiper d’éventuelles attaques.

Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Facebook, Fuite de données, ID, Identité numérique, Leak, Linkedin, Particuliers, Phishing, Pinterest, Piratage, Social engineering, Twitter, Vie privée

Attaques à l’encontre des comptes sociaux

Après Le Monde en Janvier, CNN, Forbes et une vingtaine d’importants média en 2014, c’est au tour de Newsweek de voir son compte Twitter piraté pendant quelques heures par des pirates se réclamant du groupe Etat islamique (EI).

Comme nous le disions déjà lors de l’attaque subie par Le Monde, les comptes de réseaux sociaux tels que Twitter sont une cible de première importance pour les pirates. Si certaines entreprises ont mis en place des procédés et des moyens techniques pour protéger leur compte Twitter contre le hijacking, la plupart n’ont rien de cela et sont donc non seulement vulnérables au hijacking de leurs comptes de réseaux sociaux, mais sont aussi incapables de détecter ce hijacking de leurs propres comptes. Dans une récente étude auprès des entreprises du Fortune 100, les chercheurs de Proofpoint relevaient les points suivants :

· Il existe trois principaux types de menaces de réseaux sociaux parmi lesquels : le piratage de compte, les comptes non autorisés, et les menaces basées sur le contenu (ex : spam social, liens malveillants, etc.).
· En moyenne, deux comptes Facebook sur cinq (soit 40 %) semblant représenter une marque du classement Fortune 100 ne sont pas autorisés.
· En moyenne, un compte Twitter sur cinq (soit 20 %) semblant représenter une marque du classement Fortune 100 n’est pas autorisé.
· Les marques du classement Fortune 100 sont victimes d’au moins une intrusion sur leurs comptes de réseaux sociaux par jour ouvrable.
· Le volume de spams diffusés via les réseaux sociaux a été multiplié par sept depuis le milieu de l’année 2013, date de la publication du précédent rapport « State of Social Media Spam ».

Un compte compromis fournit aux pirates une plateforme idéale pour la distribution de spams, de liens malicieux, et autres contenus pouvant nuire à l’image de marque de l’entreprise touchée. Les comptes de réseaux sociaux des médias sont d’autant plus intéressants pour des personnes malintentionnées qu’ils bénéficient d’une forte audience et que leurs posts ont une large portée. Nous ne pourrions que trop recommander aux entreprises et aux médias de se prémunir de ce type d’attaque et de préparer des plans de réponses en cas de piratage (communication, personnes à alerter, processus de reprise en main des comptes, etc.). En effet, plus on est préparé et moins l’impact sera conséquent pour l’activité et l’image de l’entreprise.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données

Gemalto publie les résultats du Breach Level Index 2014

Un commentaire

Les violations de données ont augmenté de 49 % en 2014 et atteignent 1 milliard de fichiers de données compromis, le vol d’identité étant la cible numéro 1 des cybercriminels.

Gemalto, spécialiste de solutions dédiées à la sécurité numérique, a publié les derniers résultats du Breach Level Index montrant qu’au cours de 2014 plus de 1 500 violations de données ont entraîné la vulnérabilité d’un milliard de fichiers de données dans le monde entier. Cela représente une augmentation de 49 % des violations de données et une augmentation de 78 % de vols ou de pertes de fichiers de données par rapport à 2013.

Outil de référence incontournable du secteur, mis au point par SafeNet et conservé par Gemalto suite à son acquisition de cette entreprise, le Breach Level Index est une base de données mondiale répertoriant au fur et à mesure les violations de données et fournissant aux professionnels de la sécurité une méthode d’évaluation de la sévérité des violations et de comparaison avec les autres violations mentionnées publiquement. Le BLI calcule la sévérité des violations des données en fonction de paramètres multiples sur la base d’informations divulguées à propos des violations.

D’après les données du BLI initial mis au point par SafeNet, la principale motivation des cybercriminels en 2014 est le vol d’identité qui représente 54 % des violations de données, plus que n’importe quelle autre catégorie de violation, y compris l’accès aux données financières. En outre, le vol d’identité représente un tiers des violations de données les plus sévères catégorisées par le BLI comme étant Catastrophiques (score BLI entre 9 et 10) ou Sévères (entre 7 et 8,9). Les violations de sécurité incluant des violations de la sécurité du périmètre, au cours desquelles des données totalement encodées ont été totalement ou partiellement compromises, sont passées de 1 à 4 %.

« De toute évidence, nous assistons à une évolution de la tactique des cybercriminels et le vol des identités sur le long terme est un objectif plus important que le vol immédiat d’un numéro de carte bancaire », explique Tsion Gonen, vice-président, responsable de la stratégie de protection de l’identité et des données chez Gemalto à DataSecurityBreach.fr. « Le vol d’identité peut entraîner l’ouverture de nouveaux comptes frauduleux, la création de fausses identités pour des entreprises criminelles ainsi qu’un grand nombre d’autres crimes sérieux. Étant donné que les violations des données sont de nature plus personnelle, nous prenons graduellement conscience que l’exposition au risque d’un individu quelconque est en train de s’aggraver. »

En plus de l’émergence des vols d’identité, la gravité des violations s’est accrue l’année dernière, les deux tiers des 50 violations les plus sévères, d’après un score BLI, s’étant produits au cours de 2014. En outre, le nombre de violations de données touchant plus de 100 millions de fichiers de données a doublé par rapport à 2013.

En matière de ventilation par secteur, les secteurs de la vente au détail et des services financiers ont connu en 2014 les tendances les plus marquées par rapport aux autres secteurs. Le commerce de détail a connu une légère hausse des violations de données par rapport à l’année dernière avec 11 % de toutes les violations en 2014. Cependant, en ce qui concerne le nombre de fichiers de données compromis, ce secteur représente 55 % des attaques au lieu de 29 % l’année dernière suite à une hausse du nombre d’attaques ciblant les systèmes de point de vente. Pour le secteur des services financiers, le nombre de violations de données est resté relativement stable en glissement annuel. Toutefois le nombre moyen de fichiers perdus par violation a décuplé en passant de 112 000 à 1,1 million.

« Non seulement le nombre de violations des données augmente, mais ces violations sont plus sévères », ajoute à DataSecurityBreach.fr M. Gonen. « Faire l’objet d’une violation ne consiste plus à savoir si cela va arriver mais quand cela va arriver. La prévention des violations et le suivi des menaces ne suffisent plus pour empêcher les cybercriminels de sévir. Les entreprises ont besoin d’adopter une approche des menaces numériques centrée sur les données, en commençant par de meilleures techniques d’identification et de contrôle d’accès telles que l’authentification à facteurs multiples et l’utilisation de l’encodage ainsi que la gestion des clés pour mieux protéger les données sensibles. De cette façon, si des données sont volées, elles ne sont d’aucune utilité pour les voleurs. »

Pour une synthèse complète des violations de données, par secteur, source, type et régions, téléchargez le rapport Breach Level Index 2014.

Cybersécurité, DDoS, Entreprise, Piratage

Le site du gouvernement hollandais HS durant 10 heures

Le site du gouvernement hollandais a été victime d’une attaque DDoS assez massive ayant entrainée une perte de service durant presque 10 heures. Les techniques utilisées sont des techniques de nouvelle génération. Les différentes équipes sécurité ainsi que les différents partenaires sécurité du gouvernement hollandais ont eu du mal à contenir cette attaque DDoS d’un nouveau genre. Il a fallu que toutes ces équipes analysent plus finement l’attaque pour la contenir le mieux possible.

Le simple volume de bande passante pouvant être exploité par une attaque est bien sûr problématique. Avec une consommation qui tutoie fréquemment les centaines de gigabits par seconde grâce à la combinaison dévastatrice des attaques par amplification et par réflexion, de nombreuses entreprises visées par une agression DDoS réalisent que leur connectivité à Internet représente un sérieux handicap face à ces menaces. Alors que des technologies émergentes telles que les architectures définies par logiciel (SDN) ou les réseaux virtuels permettent de répondre immédiatement à des besoins de capacité supplémentaire pour les services liés au réseau, il n’en reste pas moins que si la connectivité est compromise, l’ajout de capacité additionnelle au-delà du périmètre de l’entreprise a peu de chances d’être d’une quelconque utilité. En d’autres termes, si un hacker peut injecter des informations malveillantes en quantité suffisante pour saturer complètement votre connectivité Internet, une solution sur site ne sera à elle seule d’aucun secours. C’est pourquoi nombre d’analystes de renom recommandent la mise en œuvre d’une approche hybride pour affronter ces attaques DDoS.

L’approche DDoS hybride
Une approche hybride associe un service de détection et d’atténuation des attaques DDoS hors site (déployées sur le Cloud) à un ensemble de protections sur site. En permettant aux entreprises de tirer parti de la large bande passante disponible à proximité de la dorsale Internet — où résident la plupart des lanceurs d’attaques DDoS sur le Cloud lorsque des attaques « sur-souscrivent » leur propre connectivité tout en maintenant un haut niveau de sécurité sur site pour contrer la plupart des attaques volumétriques —, une telle approche est également adaptée aux attaques DDoS plus insidieuses, qui sont amorcées au niveau de la couche applicative.

Des solutions hybrides apportent la résilience et l’envergure des solutions basées sur le Cloud avec, en plus, la granularité et les fonctionnalités opérationnelles en permanence qui caractérisent les solutions déployées sur site. Plus important, une architecture DDoS hybride bien intégrée permet aux entreprises de faire face de manière plus efficace et plus rentable à des menaces qui se produisent rarement ; mais sont beaucoup plus dangereuses.

De plus, ces attaques sont rendues plus dangereuses par la façon dont les entreprises réagissent (naturellement) face à une attaque DDoS. Il est relativement courant qu’une entreprise qui se trouve sous le feu d’une agression concentre ses efforts sur la prévention des interruptions de service. Étant donné que les services de sécurité reposant sur de coûteuses ressources informatiques affichent rapidement leurs limites face au volume du trafic, la réaction consiste souvent à les fermer purement et simplement. Cela signifie que les systèmes de protection des identités (IPS), les pare-feu applicatifs et les systèmes de détection anti-fraude — entre autres — sont éliminés du chemin critique. Le trafic DDoS qui emprunte le réseau peut, dans une large mesure, être détecté et rejeté mais soudain, les attaques lancées au niveau de la couche applicative qui sont cachées dans les attaques volumétriques ont toute latitude pour « revenir » au niveau des applications. Fondamentalement, les défenses de la couche applicative sont traitées comme du lest dont on se débarrasse pour maintenir un bateau, c’est à dire le réseau, à flot.

Une approche hybride peut tirer parti de la capacité supplémentaire disponible sur le Cloud pour que les entreprises ne soient pas submergées par le volume excessif généré par certaines attaques, tout en leur permettant de se protéger contre des agressions plus fréquentes, mais plus faciles à maîtriser. Il est sans nul doute difficile de mettre en œuvre une solution anti-DDoS exclusivement déployée sur le Cloud si elle est utilisée pour contrer les attaques DDoS une par une, mais le jeu en vaut la chandelle en cas d’opération de grande envergure.

Une approche hybride constitue à n’en pas douter la meilleure approche architecturale dont disposent actuellement les entreprises pour limiter de manière rentable et efficace les risques associés aux attaques DDoS au sens large : une solution intégrée qui associe les outils déployés sur site et sur le Cloud représente la clé d’un processus d’intégration parfaitement transparent.

backdoor, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage, Propriété Industrielle, Sauvegarde

Equation Group : l’ancêtre du cyber espionnage ?

Un commentaire

Depuis plusieurs années, l’équipe GReAT (Global Research & Analysis Team) suivrait étroitement plus de 60 menaces avancées responsables de différentes cyber attaques à travers le monde. Elle a ainsi fait des observations de toutes sortes, les attaques gagnant en complexité à mesure qu’un nombre croissant de pays se sont impliqués et efforcés de se doter des outils les plus évolués. Cependant, ce n’est qu’aujourd’hui que les experts de  peuvent confirmer la découverte d’une menace dépassant tout ce qui était connu jusque-là en termes de complexité et de sophistication techniques. Le groupe à l’origine de cette menace, dénommé « Equation Group », est actif depuis près de 20 ans.

Le groupe se singularise par pratiquement chaque aspect de ses activités : il utilise des outils très complexes et coûteux à développer pour infecter ses victimes, récupérer des données et masquer ses actions d’une façon extrêmement professionnelle, ainsi que des techniques classiques d’espionnage pour diffuser ses codes malveillants. Pour infecter ses victimes, le groupe emploie un puissant arsenal d’« implants » (Troyen), notamment les suivants : Equation Laser, Equation Drug, Double Fantasy, Triple Fantasy, Fanny et Gray Fish. L’existence d’autres implants ne paraît faire aucun doute.

L’équipe GReAT a pu récupérer deux modules servant à reprogrammer le firmware du disque dur de plus d’une douzaine de marques répandues. Il s’agit peut-être de l’outil le plus puissant dans l’arsenal d’Equation Group et du premier malware connu capable d’infecter les disques durs. En reprogrammant le firmware du disque dur (c’est-à-dire en réécrivant le système d’exploitation du disque comme nous vous l’expliquons plus haut), le groupe atteint deux objectifs :

1.       Un niveau extrême de persistance permettant au malware de résister à un reformatage du disque et une réinstallation du système d’exploitation. Dès lors que le malware s’est introduit dans le firmware, il est à même de se régénérer à l’infini. Il peut par exemple empêcher l’effacement d’un certain secteur du disque ou bien le remplacer par un code malveillant à l’amorçage du système. « Un autre danger tient au fait qu’une fois le disque dur infecté par ce code malveillant, il devient impossible d’analyser son firmware. En termes simples, les disques durs comportent pour la plupart des fonctions permettant d’écrire dans le firmware matériel mais aucune pour vérifier l’écriture, de sorte que nous sommes pratiquement aveugles et incapables de détecter les disques durs infectés par ce malware », avertit Costin Raiu, Directeur de l’équipe GReAT. A noter que l’attaque de disque dur n’est pas une nouveauté comme l’annonce Kaspersky. Snowden en avait déjà fait la preuve via des documents volés à ses anciens employeurs, la NSA.

2.       La capacité de créer une zone invisible et persistante à l’intérieur du disque dur. Celle-ci sert à enregistrer des informations qui pourront être exfiltrées ultérieurement par les auteurs de l’attaque. En outre, dans certains cas, elle peut aussi aider le groupe à percer le cryptage : « Etant donné que l’implant GrayFish est actif dès le début de l’amorçage du système, il permet de capturer la clé de cryptage et de l’enregistrer dans la zone cachée », explique Costin Raiu.

Capacité de récupérer des données sur des réseaux isolés
Parmi toutes les attaques lancées par Equation Group, le ver Fanny se démarque. Il a pour but principal de cartographier les réseaux isolés, c’est-à-dire de déterminer la topologie d’un réseau inaccessible par Internet et d’y exécuter des commandes. Pour ce faire, il utilise un mécanisme unique de commande et contrôle (C&C) sur une clé USB, permettant aux auteurs de l’attaque de faire entrer et sortir des données sur les réseaux isolés.

En particulier, une clé USB infectée avec une zone de stockage cachée a été employée pour recueillir des informations système de base sur un ordinateur non connecté à Internet et les transmettre à un serveur C&C dès que la clé est insérée dans une autre machine infectée par Fanny et disposant d’une connexion Internet. Pour exécuter des commandes sur un réseau isolé, il suffit de les enregistrer dans la zone cachée de la clé. Lorsque cette dernière est introduite dans un ordinateur du réseau, Fanny reconnaît les commandes et les exécute.

Méthodes classiques d’espionnage pour la diffusion des malwares
Les auteurs des attaques ont utilisé des méthodes universelles pour infecter les cibles, que ce soit via le Web ou dans le monde physique. A cette fin, ils ont intercepté des produits physiques pour leur substituer des versions contaminées par des chevaux de Troie. Cette technique a été employée, par exemple, pour cibler les participants d’une conférence scientifique à Houston (Texas) : à leur retour chez eux, certains des participants ont reçu un compte rendu de la conférence sur un CD-ROM qui a ensuite servi à installer l’implant DoubleFantasy sur la machine cible. La méthode exacte de falsification des CD reste inconnue.

Il existe de solides indices d’interactions d’Equation Group avec d’autres groupes puissants, tels que les opérateurs des campagnes Stuxnet et Flame, généralement en position de supériorité. Equation Group a ainsi eu accès à des failles « zero day » avant qu’elles ne soient exploitées par Stuxnet et Flame. A un moment donné, il a également partagé des exploitations de vulnérabilités avec d’autres. Par exemple, en 2008, Fanny a utilisé deux failles « zero day » qui ont été par la suite exploitées dans Stuxnet en juin 2009 et mars 2010. Pour l’une d’elles, Stuxnet reprenait en fait un module Flame exploitant la même vulnérabilité et passé directement d’une plate-forme à l’autre.

Equation Group utilise une vaste infrastructure C&C qui comprend plus de 300 domaines et 100 serveurs. Les serveurs sont hébergés dans de nombreux pays (Etats-Unis, Royaume-Uni, Italie, Allemagne, Pays-Bas, Panama, Costa Rica, Malaisie, Colombie et République tchèque, notamment). Kaspersky surveillerait  actuellement plus d’une vingtaine de serveurs C&C (autant dire que les pirates derrières ces centres de commande n’ont plus qu’à changer d’espace, ndlr). Depuis 2001, Equation Group aurait infecté des milliers voire des dizaines de milliers de victimes dans plus d’une trentaine de pays à travers le monde, appartenant aux secteurs ou milieux suivants : administrations et missions diplomatiques, télécommunications, aéronautique, énergie, recherche nucléaire, pétrole et gaz, défense, nanotechnologies, militants et érudits islamiques, médias, transports, établissements financiers ou encore développeurs de technologies de cryptage. Sept exploits utilisés par l’Equation Group dans ses malwares, dont au moins 4 comme « zero day » (ils ne sont donc plus inconnus, ndlr). En outre, des failles inconnues, peut-être « zero day », ont été exploitées contre Firefox 17, tout comme dans le navigateur Tor.

Pendant la phase d’infection, le groupe a la capacité d’exploiter dix vulnérabilités en chaîne. Cependant, les experts n’en ont constaté pas plus de 3 à la suite : si la première échoue, une deuxième est essayée, puis une troisième. En cas de triple échec, le système n’est pas infecté. Ce qui est assez étonnant car ZATAZ.COM a pu constater des « HQ » malveillants exploitant l’intégralité des failles, exploits disponibles au moment de l’attaque lancée par ce type d’outil.

Argent, Entreprise, Identité numérique, Particuliers, Propriété Industrielle

Hack la misère !

ATD Quart Monde, Simplon.co et Spintank proposent aux blogueurs, dessinateurs, graphistes, développeurs, militants associatifs ou toute personne que le sujet intéresserait de hacker la misère le samedi 7 mars.

Une journée pour inventer les nouvelles formes du combat contre la misère. Une journée pour trouver des moyens ludiques, inventifs, attirants de démonter les idées fausses sur les pauvres et la pauvreté. Un seul mot d’ordre : « Laissez courir votre imagination. Parce que combattre les préjugés, c’est déjà combattre la pauvreté. »

ATD Quart Monde a pour but d’éradiquer la misère, en permettant à tout le monde d’accéder aux droits fondamentaux : soins, logement, emploi, etc. Pour ça, nous nous battons depuis plus de 50 ans au côté des personnes très pauvres. Avec quelques belles prouesses à notre actif : création du Revenu minimum d’insertion (ancêtre du RSA), de la Couverture Maladie Universelle (CMU) ou plus récemment du droit au logement opposable.

Les 50 participants répartis en 8 équipes de 5 ou 6 personnes pourront s’appuyer sur le livre « En finir avec les idées fausses sur les pauvres et la pauvreté » pour concevoir et développer des projets en travaillant sur le code, le graphisme, le marketing et la communication.

Des professionnels reconnus seront présents pour soutenir les projets initiés : Jean-Christophe Sarrot, auteur du livre En finir avec les idées fausses sur les pauvres et la pauvreté, Nicolas Vanbremeersch, fondateur et président de Spintank, Erwan Kezzar, cofondateur de Simplon.co, Eric Baille, Directeur associé d’Adésias, Benoît Bedrossian a.k.a Beuh, artiste illustrateur, Benjamin Mis, directeur artistique et peintre. Venez mêler vos compétences contre la misère.

Le Samedi 7 mars 2015, de 9h à 17h, 55 Rue de Vincennes – 93100 Montreuil.

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour

Leçon de sécurité sur Internet

Un commentaire

De quoi une entreprise a-t-elle besoin pour instaurer la confiance des utilisateurs ? Réalisée fin 2014 auprès d’un panel de 1000 utilisateurs, une étude menée par GlobalSign met en évidence quelques règles à appliquer pour aider les entreprises à rassurer les internautes quant à l’utilisation d’internet

Il n’est plus possible d’ignorer qu’aujourd’hui très peu de personnes peuvent  vivre sans Internet. Accéder à ses comptes et faire du shopping en ligne, lire l’actualité ou ses e-mails, rester en contacts avec ses amis sur les réseaux sociaux, faire des recherches, etc. : la liste de ce que vous pouvez ou êtes obligés de faire sur Internet est longue. Cependant, seuls 19,4 % des Français pensent que leurs données sont suffisamment protégées sur le Web.

Les internautes vous le confirmeront, notamment quand des informations privées et hautement confidentielles sont en jeu. Ils admettent qu’ils redoutent, avant tout, l’usurpation d’identité en ligne.

D’après notre enquête, presque tous les visiteurs d’un site web vérifient son niveau de sécurité au moins une fois lorsqu’ils commandent en ligne. 85 % des personnes interrogées ont même répondu qu’elles ne poursuivraient pas leurs achats si elles n’étaient pas complètement persuadées que le site est suffisamment sécurisé.

Ces réponses montrent à quel point les précautions de sécurité sont importantes sur un site web. Cependant que recherchent vraiment les visiteurs ?

Le top 5 des signes qui instaurent la confiance CHEZ Les visiteurs d’un site web

N° 5 : avis et notes d’autres consommateurs
En cas de doute, la moitié des utilisateurs interrogés demanderaient à des connaissances, des proches, des amis ou d’autres consommateurs leur avis sur un site web, que ce soit à l’oral ou à l’écrit. Un client satisfait peut en amener beaucoup d’autres. En revanche, un client mécontent peut causer d’importants dégâts.

Conclusion : il est toujours recommandé d’obtenir des témoignages de clients satisfaits et des avis positifs sur Internet. Cependant, cela ne garantit en rien la sécurité d’un site.

N° 4 : sceaux de site et marques de confiance
Les sceaux et les marques de confiance renforcent la fiabilité d’un site web car ils prouvent que celui-ci a mérité ces symboles et a été approuvé par un partenaire externe. Cependant, les sceaux de site ont des significations différentes : ils peuvent afficher l’appartenance à un groupe selon des critères de sécurité spécifiques ou prouver le niveau de chiffrement SSL utilisé sur le site.

Conclusion : les sceaux et les marques de confiance sont de bons indicateurs qu’un site est sécurisé car ils ne sont distribués que si certains critères de sécurité sont respectés. Cependant, ces critères peuvent être très différents d’un sceau à un autre.

N° 3 : la réputation du site
Il semble que de nombreuses personnes fassent automatiquement confiance aux sites très populaires. Elles partent du principe que pour être si populaires, ces entreprises se doivent de garantir certains niveaux de sécurité. Les sites web en question sont sans aucun doute les leaders du secteur, tels qu’eBay, Amazon, Facebook, etc.

Conclusion : la plupart des sites les plus populaires intègrent des mécanismes de sécurité appropriés pour protéger leurs clients. Mais quels critères les consommateurs utilisent-ils pour estimer qu’un site est « populaire et donc fiable » ? Sans parler du fait que ceci ne garantit en rien la sécurité du site ! Il existe des solutions bien plus efficaces pour garantir aux visiteurs d’un site web que celui-ci est sécurisé.

N° 2 : HTTPS
Le protocole « HTTPS » est le meilleur indicateur qu’un site web est sécurisé. Et la bonne nouvelle, c’est qu’il a été désigné comme l’un des critères de confiance les plus importants par la majorité des personnes interrogées.

Conclusion : HTTPS est la meilleure technique à utiliser.

Mais en quoi consiste concrètement le protocole HTTPS ?
HTTPS est l’acronyme de Hypertext Transfer Protocol Secure (« protocole de transfert hypertexte sécurisé »). Il prouve que les données transmises entre un client et un serveur sont chiffrées et sécurisées. Il est nécessaire d’avoir un certificat numérique pour activer le protocole HTTPS. Il existe trois niveaux de certificats SSL : validation de domaine, validation de l’organisation et validation étendue.

N° 1 : le cadenas
Le cadenas est presque aussi important que le protocole HTTPS car il représente visuellement ce que le protocole effectue techniquement, et c’est pourquoi il constitue également un signe de confiance très important. L’utilisateur d’un site peut lire davantage d’informations sur le certificat en cliquant sur le cadenas qui se trouve dans la barre d’adresse, à côte de « HTTPS », telles que le niveau de confiance garanti, le niveau de chiffrement utilisé, le certificat racine, la période de validité et les informations de l’entreprise qui ont été vérifiées.

De plus, un certificat SSL à validation étendue (EV) active la barre d’adresse verte, ajoutant ainsi un niveau de reconnaissance visuelle supplémentaire.

Le nom de l’entreprise qui s’affiche dans la barre d’adresse indique également qu’un certificat EV SSL est utilisé et garantit que les paramètres de sécurité les plus élevés ont été appliqués. Les consommateurs font également plus confiance aux sites lorsqu’ils connaissent l’identité de leur propriétaire qui est indiqué dans le certificat.

La question cruciale est celle-ci : Internet est-il fiable tout court ?
A cette question, près de 40 % des personnes interrogées ont répondu qu’Internet était fiable si l’on sait ce que l’on cherche. Les personnes interrogées ont donc une très bonne idée de la situation actuelle. Internet est sans danger si l’on sait reconnaître les signes de sécurité.