Archives par mot-clé : cybercriminalité

La cybercriminalité est devenue la préoccupation n°1 des individus devant les agressions physiques

Selon l’étude SOS Cybercrime d’Affinion*, les mythes sur la cybercriminalité sont présents dans le monde entier. Un tiers de la population (35 %) croit, à tort, que le Wi-Fi public doit disposer d’une sécurité efficace, conformément à la loi (ce chiffre atteint 58 % en Turquie). De même, moins de la moitié de la population (46 %) sait que https:// signifie qu’un site internet est sécurisé (seulement 35 % en Suède et en Norvège) et un tiers de la population (33 %) n’est pas consciente que l’utilisation d’un même mot de passe pour plusieurs comptes augmente le risque de fraude. Ces informations sèment la confusion parmi les consommateurs et complexifient encore plus la lutte contre la cybercriminalité.

Le rapport, basé sur des recherches menées auprès de plus de 13 000 répondants dans 12 pays, révèle des lacunes majeures en matière de sensibilisation, ainsi que des inquiétudes à l’égard de la cybercriminalité. Le Brésil arrive en tête du classement mondial des pays les plus préoccupés par la cybercriminalité, suivi par les États-Unis (75 %) et l’Espagne (73 %).

Curieusement, les consommateurs sont davantage préoccupés par la cybercriminalité que par toute autre forme de criminalité – 61 % des consommateurs sont très ou légèrement préoccupés par la cybercriminalité, tandis que 52 % des personnes interrogées sont préoccupées par les crimes contre la propriété (par exemple les cambriolages), 54 % par la violence physique comme les agressions, et 45 % par la criminalité liée aux véhicules. Selon l’étude, la sensibilisation aux dangers de la cybercriminalité semble augmenter avec l’âge ; les personnes interrogées âgées de 18 à 24 ans étaient plus préoccupées par la violence physique que par la cybercriminalité, tandis qu’à partir de 35 ans, la cybercriminalité est considérée comme le risque le plus important.

Un tiers des personnes a déjà été victime, directement ou indirectement, d’usurpation d’identité. Les faux appels, liens envoyés par e-mail ou SMS, sont les formes les plus courantes de cybercriminalité (65 % de personnes concernées), suivis du piratage de comptes sur les réseaux sociaux ou d’adresses e-mail (56 % de personnes concernées), et des transactions financières frauduleuses (55 % de personnes concernées).

Les femmes sont plus particulièrement préoccupées que les hommes, toutes formes de criminalité confondues. La plus grande différence entre les genres concerne les fraudes relatives aux achats en ligne (67 % de femmes contre 59 % d’hommes), l’usurpation d’identité (68 % contre 60 %) et les transactions frauduleuses (69 % contre 61 %).

D’après l’étude, 70 % des personnes interrogées estiment que leur préoccupation s’accentue, car elles s’aperçoivent que le nombre d’incidents est en augmentation ; 46 % ont indiqué que c’était dû à une couverture médiatique plus importante du problème et 30 % parce qu’elles connaissent quelqu’un qui a été victime de cybercriminalité. Un tiers d’entre elles a indiqué se sentir plus vulnérable, car elles disposent de plusieurs comptes en ligne, et ressentir, par conséquent, une inquiétude accrue.

En ce qui concerne la lutte contre la cybercriminalité, un nombre impressionnant de personnes interrogées ne se sentent pas capables de se prémunir de la cybercriminalité (55%) et seulement 25 % estiment pouvoir résoudre un cybercrime. (étude)

A noter que le blog ZATAZ propose un service de veille concernant les données des internautes. ZATAZ surveille plus de 5 000 sites pirates et blackmarket, ce qui permet d’alerter sur des données volées/piratées dans la seconde de la découverte.

Cybercriminalité 2017 : personne n’est épargné

Cybercriminalité : 6 mois après la publication de ses prédictions pour l’année 2017, ESET® revient sur les tendances essentielles. La multiplication des attaques sur mobiles et IoT, la prise de contrôle des infrastructures critiques, la protection de la vie privée des utilisateurs, les cybermenaces sur le secteur de la santé et l’élargissement des cyberattaques aux gamers. En voici un extrait.

Cybercriminalité et mobiles ! Sur la plateforme Android, de janvier à mai 2017, 255 failles de sécurité ont été découvertes. Il s’agit de près de la moitié du nombre total de failles de l’année 2016. Pour les codes malicieux, 300 nouveaux échantillons de malwares Android sont découverts en moyenne chaque mois […]. De plus, 224 failles de sécurité ont été signalées en mai 2017 sur la plateforme iOS, soit 63 de plus qu’en 2016. Parmi elles, 14% sont considérées comme critiques.

Les infrastructures critiques de type SCADA

Cybercriminalité et l’augmentation et la sophistication d’attaques sur des infrastructures critiques. Le malware Industroyer découvert par ESET au mois de juin en est un parfait exemple. […] ESET précise que les infrastructures critiques ne se limitent pas aux réseaux électriques. À l’ère du numérique, elles englobent de plus en plus les systèmes d’ingénierie tels que les chaînes d’approvisionnement et Internet lui-même.

Protéger la vie privée des utilisateurs, un enjeu mondial

2018 protègera davantage les données des utilisateurs. Grâce au RGPD (GDPR en anglais), ils pourront jouir de leur droit à l’oubli et supprimer/gérer les informations les concernant. Parallèlement, la Chine a également adopté une nouvelle loi […]. Ainsi, de nombreux efforts sont faits à l’échelle internationale afin de légiférer les droits des utilisateurs concernant leur vie privée.

La santé, secteur cible numéro 1

La transformation digitale du secteur de la santé attiret les cybercriminels. Doit-on s’inquiéter du traitement de nos données par les professionnels de santé ? […] En 2017, certains hôpitaux européens notamment du Royaume-Uni (dont 48 services de santé publics) ont dû suspendre leurs services et quelques dispositifs médicaux suite à l’infection de leurs systèmes par des malwares.

L’industrie du jeu vidéo

Les ressources, informations et profils des joueurs sont devenus de plus en plus précieux. Outre les trafics internationaux de comptes volés appartenant à des joueurs et l’obtention de monnaie virtuelle de manière frauduleuse […] ESET a découvert un nouveau type de ransomware, le rensenware : au lieu d’exiger une rançon financière pour récupérer les fichiers chiffrés, il demande à la victime de jouer à un jeu vidéo japonais jusqu’à obtenir un score élevé, le niveau « lunatic ».

Cybercriminalité nigériane

L’Unité 42 publie sa dernière étude en date consacrée à la cybercriminalité nigériane. Une analyse appliquées à une série de 8 400 échantillons de malwares.

L’Unité 42 publie ce jour sa dernière étude en date consacrée à la cybercriminalité nigériane. Ses analyses évoluées, appliquées à une série de 8 400 échantillons de malwares, ont permis d’attribuer à une centaine d’acteurs ou de groupes distincts plus de 500 domaines hébergeant l’activité de logiciels malveillants. Par son étendue et sa consistance, cette étude pose un diagnostic actuel et très complet, centré sur la menace collective et non sur tel ou tel acteur.

Globalement, nous avons observé que les acteurs nigérians ont évolué depuis leurs escroqueries classiques par e-mail, de type fraude 419. Les attaques de malwares sont en constante progression depuis deux ans : représentant moins d’une centaine de cas en juillet 2014, elles se développent aujourd’hui au rythme de 5 000 à 8 000 par mois. Ces attaques, loin d’être dirigées contre des catégories de victimes bien précises, couvrent les principaux marchés verticaux et ciblent davantage les entreprises que les particuliers. Passés maîtres dans le maniement de logiciels malveillants qui se sont banalisés, les acteurs en question ont extorqué des dizaines de milliers, voire des millions de dollars aux entreprises qu’elles ont choisi pour victimes, rien que pour la seule année dernière. Au vu des données recueillies, nous estimons que les évaluations rétrospectives concernant cette menace méritent d’être revues car ces acteurs ont aujourd’hui prouvé qu’ils constituent une réelle menace pour les entreprises et les administrations du monde entier.

L’étude expose en détail les phases successives de la cybercriminalité nigériane, aborde les tactiques employées, et permet de mieux comprendre la façon dont la menace a évolué par sa dimension, son périmètre, sa complexité et son savoir-faire technique au cours des deux dernières années. Elle analyse également les aspects ci-après :

Profils des acteurs
L’analyse des acteurs révèle avant tout qu’ils sont instruits. Nombre d’entre eux ont fréquenté des établissements d’enseignement secondaire et possèdent une licence dans une discipline technique. Pour ce qui est de leur classe d’âge, elle se situe entre la fin de l’adolescence et 45 ans environ ; plusieurs générations sont donc concernées. Concrètement, des acteurs d’un certain âge, versés dans les arnaques classiques de type fraude 419 et l’ingénierie sociale, côtoient donc des plus jeunes qui, eux, sont incollables sur les malwares. Et surtout, ces acteurs parfaitement organisés se servent des réseaux sociaux pour communiquer, coordonner et partager leurs outils et techniques.

Préjudices financiers
Les préjudices causés par ces acteurs ont des répercussions significatives sur les entreprises aux quatre coins du monde. En 2015, un rapport annuel publié par l’IC3 (Internet Cyber Crime Center), dépendant du FBI, recensait 30 855 victimes d’escroqueries « classiques » de type fraude 419/remboursement d’un trop-perçu, pour un préjudice total de plus de 49 millions de dollars. Bien que ce montant soit conséquent, le 1er août 2016, Interpol annonçait l’arrestation d’un acteur nigérian apparemment à l’origine d’un détournement de plus de 60 millions de dollars au total, dont plus de 15,4 millions de dollars au préjudice d’une seule entreprise.

Techniques
Les arnaques au président, ou escroqueries aux faux ordres de virement (Business Email Compromise, BEC) et les usurpations d’e-mails d’entreprises (Business Email Spoofing, BES) sont deux techniques qui sont, depuis peu, très en vogue chez ces acteurs. Les domaines visant à imiter des entreprises légitimes, les « crypteurs » utilisés pour dissimuler des malwares ainsi que d’autres méthodes leur permettent de s’introduire sur le réseau d’une victime. Une fois dans la place, l’ingénierie sociale sert à duper les victimes en les convaincant d’effectuer un virement bancaire à un tiers pour obéir à un prétendu ordre d’un dirigeant.

CITES tape « Ctrl, Alt, Suppr » sur la cybercriminalité

Les cybercriminels sont les derniers perdants de la 17ème Conférence des Parties (COP 17) de la CITES (Convention sur le commerce international des espèces de faune et de flore sauvages menacées d’extinction) suite à la décision de ratifier l’engagement pris par les 183 Parties d’éradiquer le commerce illégal de la faune en ligne.

La décision exige de toutes les Parties qu’elles prennent une série de mesures pour s’assurer de mettre un coup d’arrêt à la criminalité en ligne liée à la faune sauvage et rassembler gouvernements, responsables de l’application des lois et sociétés de technologie en ligne dans la mission commune de sauver la faune. IFAW (le Fonds international pour la protection des animaux – www.ifaw.org) se félicite de cette décision qui constitue un énorme progrès dans la lutte pour bousculer le monde souvent sombre et secret de la criminalité en ligne liée à la faune sauvage.

« Nous sommes ravis de cette décision et remercions particulièrement le Kenya qui a mis le sujet sur la table de la CoP à Johannesburg. La criminalité en ligne liée à la faune sauvage est une menace sérieuse pour les espèces en voie de disparition, comme nos recherches le montrent depuis 2004. Cette décision permettra aux gouvernements du monde entier de prendre les mesures les plus strictes pour lutter contre ce fléau », a déclaré Tania McCrea-Steele, Chef de projet international Criminalité en ligne liée à la faune sauvage d’IFAW.

La décision ratifiée au cours de la dernière séance plénière de la CITES permet aux gouvernements de:
Identifier et partager les meilleures pratiques en matière d’application de la loi, notamment en travaillant avec INTERPOL, pour établir des lignes directrices pour les enquêtes;

Permettre aux gouvernements de s’assurer qu’ils ont la législation la plus stricte possible et encourager un engagement accru et partagé du Secrétariat, des gouvernements et des plates-formes de commerce en ligne et de réseaux sociaux pour lutter contre la criminalité en ligne liée à la faune sauvage;

En outre, il appelle à la mise en place d’un atelier sur la criminalité en ligne liée à la faune sauvage qui rassemble à la fois les pays sources, les pays consommateurs, ceux qui hébergent les grandes entreprises du web, les organisations non-gouvernementales expertes, des avocats et tout autre expert compétent pour faire avancer cette question d’ici à la prochaine CoP.

« Cette décision va conduire à une contre-offensive beaucoup plus cohérente contre les criminels qui ciblent la faune sauvage en ligne en permettant une application plus efficace de la loi et une meilleure collaboration avec le secteur commercial, le tout soutenu par une législation plus stricte pour éradiquer cette forme de criminalité. » a déclaré Tania McCrea-Steele.

La proposition sur la lutte contre la criminalité en ligne liée à la faune sauvage a été soumise par le Kenya et a été soutenue à l’unanimité des 183 Parties à la CITES.

Cybercriminalité et libertés individuelles au cœur des préoccupations de sécurité en 2016

A l’aube de l’année 2016, l’heure est au bilan et le marché de la cyber sécurité a une nouvelle fois été secoué par des failles de grande ampleur qui n’ont épargné aucun secteur. De Vtech, en passant par Ashley Madison, le parlement allemand, Sony Pictures, TV5Monde ou encore le Bureau Américain du Personnel (OPM), le constat est sans appel : les organisations doivent renforcer leur pratiques de sécurité et les gouvernements doivent poursuivre leurs efforts en vue de mettre en place des réglementations plus claires en faveur de la lutte contre les cybermenaces.

Les équipes informatiques doivent garder une longueur d’avance sur les pirates informatiques et ressentent par conséquent une forte pression face aux menaces émergentes. Dans de nombreux cas, cela requiert des formations poussées, notamment au sein des industries concernées par l’Internet des Objets (IoT), ainsi que de nouvelles compétences dans les domaines prenant de plus en plus d’importance comme l’analyse comportementale. L’investissement dans des systèmes d’automatisation d’alertes relatives à des comportements inhabituels ou au blocage des menaces peut permettre de soulager les équipes d’une partie du fardeau. En outre, l’émergence de « réseau auto-protégé », capable d’apprendre à se protéger lui-même une fois qu’une attaque est détectée, peut également constituer une réponse à la problématique de manque de compétences.

La vie privée et l’IoT dans le collimateur des responsables de la sécurité
La violation de données chez Vtech pourrait marquer un tournant décisif en ce qui concerne la vie privée des consommateurs et l’IoT. Toutefois, selon le cabinet d’études Altimeter Group, 87% des consommateurs n’ont pas la moindre idée de ce que le terme « l’Internet des Objets » signifie et il est urgent d’y remédier. Au cours des prochaines années, les consommateurs devront être mieux informés de la manière dont leurs données sont collectées par les fournisseurs, et comprendre que ces informations peuvent être compromises si elles ne sont pas correctement sécurisées par le vendeur. Le risque de faille existe à partir d’un seul terminal connecté au réseau domestique ou à d’autres appareils. Ces risques sont encore plus élevés pour les entreprises où le déploiement d’objets connectés devient une réalité. Bien que ces appareils intelligents augurent une simplification du quotidien professionnel, ils ne sont la plupart du temps pas conçus avec le niveau de sécurité adapté, ce qui engendre un risque conséquent pour les entreprises. Cela devient d’autant plus critique avec la généralisation de leur utilisation et l’augmentation du nombre d’appareils.

L’entreprise devient la cible privilégiée de la cybercriminalité
2015 fût le théâtre de nombreuses extorsions de fonds menaçant les organisations victimes de voir leurs activités IT ou opérationnelles interrompues. En 2016, ces attaques seront plus agressives et viseront l’extraction d’informations financières, agitant la menace de divulgation d’informations compromettantes et d’augmentation des rançongiciels (ransomwares) à l’échelle de l’entreprise. Ce type d’attaques va en effet croitre à mesure que les pirates informatiques développeront des méthodes plus créatives de chantage envers les individus et les corporations ; les attaques continueront en outre de se transformer et de s’adapter aux environnements des entreprises ciblées, en utilisant des approches de type « caméléon » pour dérober les identifiants de connexion. Cette activité peut également donner un nouvel élan pour faire évoluer et affiner l’industrie mondiale de la cyber-assurance afin de renforcer la protection des entreprises. Aux Etats-Unis par exemple, les risques de cyberattaques et les mesures de préventions consenties devraient avoir des conséquences notables sur les analyses financière et la cote des entreprises.

La convergence des risques de terrorisme physique et cybernétique sur les infrastructures critiques
En 2015 des actes de terrorisme dévastateurs ont impacté la communauté internationale. En 2016, il y aura davantage de convergence entre les formes de terrorisme physiques et virtuelles. Nous avons déjà pu observer le piratage d’une compagnie aérienne : plutôt que de s’attaquer à l’avion directement, le pirate pourrait également utiliser une faille pour engendrer la confusion au sein de l’aéroport, en ciblant le système de billetterie par exemple. Ces deux catégories d’attaques devraient être plus coordonnées entre elles : utiliser une cyberattaque pour semer la confusion et l’attaque physique pour causer un maximum de dégâts. Au-delà des transports, ces attaques visant les infrastructures critiques pourront aussi concerner les systèmes de santé, les marchés financiers ou encore les réseaux d’énergies.

Les cyber-traités et la législation
Les pays mettent en place de nouvelles lois pour lutter contre la cybercriminalité ainsi que des accords plus larges pour développer des tactiques de cyberguerre. Cependant, ces réglementations risquent davantage de porter préjudice aux avancées technologiques que de diminuer les activités malveillantes. Définir la conformité et rendre responsables les organisations qui ne la respectent pas permettra également de déterminer la capacité d’engagement des gouvernements sur la question de la cyber-sécurité et la possibilité d’avoir une incidence réelle sur ce sujet.

Le chiffrement : existe-t-il un équilibre entre sécurité et libertés individuelles ?
Les récentes attaques terroristes perpétrées dans le monde ont relancé le débat initié lors des révélations de Snowden : les consommateurs lambda doivent-ils avoir accès aux technologies de chiffrement ? La nécessité de surveiller les activités terroristes prime-t-elle sur les droits à la vie privée des citoyens et de leurs communications ? En fin de compte, la population aura-t-elle droit à plus de chiffrement et de préservation de sa vie privée malgré les coûts de sécurité ou 2016 sera-t-elle l’année de limitation des libertés civiles ? Dans certains pays du monde, de nombreux citoyens ont déjà accepté de renoncer à la confidentialité de leurs données au nom d’une cyber sécurité renforcée.

Identifier les cyber-infiltrés
Au cours de ces trois dernières années, le gouvernement fédéral américain et les entreprises privées ont été la cible de fuites massives d’informations privées. Comme pour l’OPM américain ou les attaques ciblant les compagnies aériennes, la principale question est de savoir ce qui a été volé alors qu’il vaudrait mieux se demander si les pirates n’ont pas eux-mêmes introduit quelque chose dans les systèmes piratés. 2016 sera-t-elle l’année où l’on découvre que les espions, les terroristes ou autres acteurs gouvernementaux sont finalement des utilisateurs vérifiés et approuvés sur la base d’informations introduites au cours d’une cyberattaque ? (Par Jean-François Pruvot, Regional Director France chez CyberArk)

Vulnérabilité des clés SSH et cybercriminalité : comment sécuriser et protéger les systèmes et environnements SSH

La réutilisation de clés SSH (Secure Shell) n’a rien de nouveau, c’est un phénomène que nous avons déjà observé dans le passé. Pour preuve, en 2013, les médias révélaient que des cybercriminels avaient profité de la vulnérabilité d’une clé SSH pour bénéficier d’un accès root aux équipements exécutant l’EAS (Emergency Alert System) aux États-Unis. Par Kevin Bocek, Vice President of Security Strategy & Threat Intelligence chez Venafi.

Le protocole SSH ayant pour mission de sécuriser les communications entre les ressources numériques les plus stratégiques et les plus précieuses d’une entreprise, il n’est guère étonnant que des cybercriminels veuillent dérober, déchiffrer ou autrement compromettre les clés cryptographiques sur lesquelles il repose. Les accès SSH sont tous tributaires d’une administration et d’une sécurisation adaptées des clés SSH. En l’absence de projet sérieux en la matière, votre établissement court un risque.

La compromission d’un procédé cryptographique au travers d’une clé SSH est, de loin, l’un des pires scénarios pour une entreprise. À partir du moment où un pirate possède un accès de niveau root, autrement dit un accès privilégié, il détient les clés lui permettant de prendre le contrôle d’un réseau ou d’un système complet pour le compromettre à sa guise. La plupart des professionnels de l’informatique et de la sécurité ne prennent pas conscience que les clés SSH en plus de fournir un accès de niveau root n’expirent pas. Par conséquent, à partir du moment où un pirate a dérobé une clé SSH, il disposera perpétuellement d’un accès par un moyen ou un autre. Il est donc primordial que les entreprises agissent aujourd’hui pour protéger leurs clés SSH.

Une étude(1) révèle que 3 acteurs du classement Global2000 sur 4 ne disposent d’aucun système de sécurité pour le protocole SSH, ce qui laisse ainsi la porte ouverte aux piratages, accès de niveau root et compromissions de données, et près de la moitié de l’ensemble des entreprises n’opèrent jamais de rotation ni ne changent leurs clés SSH. Ce faisant, leurs réseaux, serveurs et systèmes cloud deviennent la proie d’acteurs malveillants dès l’instant où ces clés SSH sont dérobées et utilisées de manière abusive.

Parce que le protocole SSH joue un rôle essentiel dans la sécurisation de l’accès administratif et automatisé à un large éventail de systèmes au sein d’établissements de toutes tailles, il est essentiel de disposer d’un ensemble très complet de chartes, processus et contrôles techniques pour gérer et superviser la configuration et les clés SSH. Il est donc important de sensibiliser à l’importance de sécuriser et de protéger ces clés SSH. Première action décisive que doivent engager les entreprises : maîtriser les clés dont elles ont l’usage – non seulement au niveau des systèmes et des logiciels installés, mais aussi des appliances réseau employées.

Le NIST(2) (National Institute of Standards and Technology) a publié récemment une nouvelle publication, « Security of Interactive and Automated Access Management using Secure Shell (SSH) » qui analyse plusieurs aspects décisifs du protocole SSH, notamment ses technologies sous-jacentes, vulnérabilités inhérentes ainsi que les meilleures pratiques appliquées à la gestion de clés SSH tout au long de leur cycle de vie. Ce rapport(3) sensibilise aux principales vulnérabilités associées à la gestion des clés SSH et de présenter des mesures concrètes pour sécuriser et protéger les systèmes et environnements SSH.

Parmi les quelques compromissions SSH notables ces dernières années figurent celles ci-après :
En 2014, Kaspersky Labs a mis au jour une cybermenace baptisée The Mask (ou Careto) qui a sévi sept années durant lesquelles un groupe criminel organisé en Espagne a multiplié les techniques pour mener des attaques de type APT visant à dérober des données à des administrations et des entreprises. Ce groupe s’emparait de clés SSH servant à l’authentification d’administrateurs, de serveurs, de machines virtuelles et de services cloud.

En juin 2015, Cisco a annoncé qu’une clé SSH autorisée par défaut était déployée sur trois de ses appliances de sécurité, exposant ainsi ses clients au risque de voir un pirate distant non authentifié intercepter du trafic ou accéder à des systèmes vulnérables au moyen de privilèges root.

La publication du NIST expose plusieurs vulnérabilités SSH courantes au sein des entreprises, à savoir :
– Implémentation SSH vulnérable
– Contrôles d’accès mal configurés
– Vol, fuite, détournement et non révocation de clés SSH
– Portes dérobées (clés utilisateurs non contrôlées)
– Utilisation indésirable des clés utilisateurs
– Rotation
– Déficit de connaissances et erreurs humaines

Le NIST recommande plusieurs mesures pour gérer les clés SSH, à savoir :

– Définir des principes et pratiques applicables au cycle de vie et à la révocation de clés SSH. La configuration de l’accès à un compte dans l’optique de faciliter les échanges avec les utilisateurs et d’automatiser les processus doit être une décision mûrement réfléchie, conciliant au mieux impératifs d’accessibilité et risques, qui doit tenir compte du niveau d’accès requis.
– Instaurer des procédures de contrôle et de surveillance continue. La surveillance continue a pour objet de faire en sorte que les procédures d’allocation, de gestion du cycle de vie et de révocation soient observées et appliquées. Des clés SSH non autorisées et mal configurées seront détectées.
– Inventorier les serveurs et clés SSH ainsi que les relations de confiance, et remédier aux problèmes éventuels. Les clés existantes au format propriétaire posent un réel problème de sécurité et compliquent l’analyse des risques si elles ne sont pas maîtrisées. L’emplacement de toutes les clés SSH existantes doit être inventorié, au même titre que les relations de confiance, qu’il convient d’évaluer à l’aune de politiques bien définies.
– Automatiser les processus. L’automatisation des processus relevant de la gestion des accès à partir de clés SSH est de nature à améliorer considérablement la sécurité, l’efficacité et la disponibilité.
– Sensibiliser la direction. Nombre de hauts responsables ne sont conscients ni du rôle central joué par les clés SSH dans le mode opératoire d’une infrastructure stratégique, ni des failles importantes susceptibles d’apparaître si celles-ci sont détournées. Sans formation suffisante des responsables opérationnels et chargés de sécurité, les initiatives de gestion des clés SSH risquent d’être évincées par des priorités de degré plus élevé, rendant ainsi l’entreprise plus vulnérable.

1 : Enquête 2015 Cost of Failed Trust Report publiée en mars dernier par Ponemon Institute et Venafi.
2 : Fondé en 1901, le NIST est une agence fédérale non réglementaire qui relève de l’administration de la technologie du département du Commerce des États-Unis.
3 : Co-signé par Venafi.

La lutte contre la cybercriminalité est-elle perdue ?

Les gros titres du dernier Verizon Data Breach Investigation Report semblent sous-entendre que la lutte contre la cybercriminalité pourrait être perdue.

Verizon a précisé, après avoir analysé les données de plus de 100 000 incidents de sécurité sur 10 ans, que 92 % des attaques peuvent être réparties en 9 types de menaces* – ce qui signifie que les entreprises font toujours face aux mêmes risques et aux mêmes attaques, depuis tout ce temps, et à plusieurs reprises. Pour certains, les « méchants sont en train de gagner » et les entreprises doivent en prendre conscience et savoir qu’aucune d’entre elles n’est à l’abri d’une attaque.

Effectivement, aucune entreprise ne sera surprise par ces résultats et en particulier les infrastructures critiques, qui ont pleinement conscience d’être sous la menace quotidienne d’une attaque. Mais cela ne signifie pas que l’industrie est en train de perdre pied face aux cybercriminels. La prise de conscience de la menace signifie que la plupart des équipes de sécurité adoptent une approche plus réaliste de leur sécurité.

De nombreux RSSI, et leurs équipes reconnaissent qu’ils sont sous la menace régulière d’une attaque et, qui plus est, savent malheureusement que le plus souvent la sécurité est compromise par une personne dans l’entreprise qui a fait ce qu’elle n’aurait pas dû faire, comme cliquer sur un lien dans un email. Les menaces les plus courantes auxquelles les RSSI sont confrontés au quotidien ne font plus les gros titres des journaux mais ces anciennes techniques demeurent et représentent de sérieux enjeux pour les équipes de sécurité, et non des moindres.

Le RSSI d’une banque majeure a par exemple, récemment confié, être encore confronté à des ordinateurs de son réseau infectés par Conficker – alors qu’il s’agit d’une menace vieille de plusieurs années. Il a également précisé que son plus grand risque pour la sécurité sont les employés eux-mêmes, qui font des choses alors qu’ils savent qu’ils ne devraient pas les faire, et compromettent ainsi leur PC et par conséquence le réseau.

* Les attaques de malwares, la perte ou le vol d’appareils, les attaques DDoS, les arnaques à la carte bancaire, les attaques d’applications web, le cyber-espionnage, les intrusions, le vol interne et les erreurs humaines, telles que l’envoi d’emails avec des données sensibles à la mauvaise personne.

Il est donc impératif que les RSSI et leurs équipes soient en mesure d’identifier et de traiter une menace rapidement et de voir quelle est son interaction dans leurs réseaux par les machines compromises.

Aujourd’hui, les RSSI reconnaissent qu’il est impossible d’assurer une cybersécurité à 100%, c’est-à-dire que le risque d’attaque et de compromission doit être accepté par l’entreprise. Par contre, lorsqu’on les interroge sur la suite à donner en cas d’attaque en cours : est-ce qu’ils doivent bloquer immédiatement l’attaque au risque d’être repéré par le hacker, ou est-ce qu’ils doivent laisser l’attaque se poursuivre pour apprendre comment les hackers s’y prennent et quel est leur objectif ? La réponse varie : les fonctions orientées « métier » veulent bloquer l’attaque afin que l’entreprise puisse poursuivre son activité, les fonctions orientées « sécurité », préfèrent surveiller l’attaque et en tirer des leçons afin de mettre en œuvre des défenses solides.

Le rapport Verizon indique également que cela prend encore plus de temps d’identifier les compromissions dans une entreprise – souvent des semaines ou des mois – alors que pénétrer une entreprise ne prend que quelques minutes ou quelques heures.

Cependant, il n’y a vraiment aucune excuse qui justifie l’augmentation de la cybercriminalité car à ce jour, les entreprises peuvent utiliser une protection contre les malwares avancés qui peut identifier, contenir et remédier aux malwares identifiés en quelques clics de souris. Plus nous utiliserons ces solutions, plus nous pouvons espérer voir une diminution des violations de sécurité dans le rapport 2015.

Bien qu’une sécurité à 100 % n’existe pas, si vous abordez le problème de la cybermenace avec une approche globale – avant, pendant et après une attaque – vous serez dans une meilleure position pour identifier et faire face à la menace rapidement puis limiter les dommages causés dans la mesure du possible.

Ignorer le risque n’est tout simplement pas une option envisageable. Mettre la tête dans le sable et refuser de reconnaître le défi conduira les entreprises au désastre. Mieux vaut se préparer à l’inévitable et être sûr quand cela arrive – vous le savez alors le plus tôt possible et vous pouvez prendre les mesures appropriées pour minimiser l’impact.

Ainsi, plutôt que de déclarer que la lutte contre la cybercriminalité est perdue – il existe une prise de conscience croissante des risques et un sentiment croissant de réalisme quant à la nature du paysage de la menace cyber. Il y a aussi aujourd’hui, de meilleurs outils disponibles pour identifier et faire face aux menaces. L’industrie de la cybersécurité est dans la meilleure position possible pour vaincre les cybercriminels. Il incombe cependant aux entreprises d’acquérir les meilleures pratiques cyber et de déployer des outils de protection contre les malwares avancés. (Cyrille Badeau, Directeur Europe du Sud Cyber Security Group de Cisco Systems.)

Cybercriminalité : Quelles tendances pour 2014 ?

L’année 2013 touche à sa fin, et les chercheurs de FireEye sont déjà tournés vers 2014 et ses tendances en termes de menaces. L’exploitation des vulnérabilités « Zero Day » ciblera moins Java mais davantage les navigateurs web ; les attaques de type «  Watering-hole » devraient supplanter les attaques de spear-phishing ; enfin, avec l’apparition de nouvelles catégories de malwares mobiles, le paysage de la sécurité va se complexifier et étendre ses frontières.

Voici les principales tendances identifiées par les chercheurs de FireEye.
Selon Darien Kindlund : Les auteurs de menaces sophistiquées vont continuer à se cacher derrière « les outils logiciels “criminels” traditionnels” afin de compliquer l’identification et l’attribution de leurs attaques, pour les responsables sécurité.

Selon Amanda Steward : Davantage d’attaques vont utiliser des signatures de codes volées ou valides. Celles-ci  permettent aux malwares d’usurper les caractéristiques d’exécutables légitimes pour contourner les défensestraditionnelles (antivirus notamment).

Selon Yogi Chandiramani et Tim Stahl : Les logiciels malveillants mobiles vont accroitre la complexité du paysage des menaces. Nous verrons ainsi des menaces combinées entre le bureau et l’accès mobile pour obtenir l’authentificationd’un mobile (à l’image des numéros de SMS de confirmation). Parce que les cybercriminels vont là où sont les clics, on peut s’attendre à voir se développer les attaques visant ces terminaux.

Selon Yichong Chen : L’exploitation des vulnérabilités « Zero Day » de Java, devrait être moins fréquentes. Malgré leur relative facilité d’exploitation, nous n’avons pas observé de nouvelles vulnérabilités depuis Février 2013. Cela pourrait s’expliquer par les pop-ups d’avertissement de sécurité de la version 1.7 ou encore par l’attention accrue des chercheurs en cybercriminalité sur ce point. Il est également possible qu’une trop faibleproportion d’internautes utilise des versions vulnérables de Java, et que leur exploitation ne soit pas suffisamment rentable.

Selon Dan Caselden : L’exploitation des vulnérabilités des navigateurs web devraient être plus fréquentes. Les pirates sont de plus en plus à l’aise pour contourner l’ASLR (Address Space Layout Randomisation) des navigateurs. Et contrairement à Java et aux vulnérabilités classiques, celles impliquant les navigateurs continuent de croitre sur le même rythme.

Selon Thoufique Haq : Les auteurs de malwares vont adopter des techniques furtives pour manipuler et contrôler (command-and-control (CnC)) les communications. Ils utiliseront les canaux des protocoles légitimes et  abuseront les services Internet légitimes pour relayer leur trafic et échapper à la détection. Ce changement reflète l’escalade logique des pirates qui sont de plus en plus gênés par les défenses réseau ; Les attaques de type « Watering-hole » et le ciblage des médias sociauxvont progressivement remplacerles emailsde phishing. Ils offrent en effet,un espace neutreoù les cibles baissent leur garde. Lefacteur de confiancen’est pas unobstacle insurmontable, et cela ne demande qu’un minimum d’effortpourattirerla cible dansun piège.

Selon Bryce Boland : De plus en plus de malwares vont alimenter la chaîne d’approvisionnement. Attendez-vous àdavantage de codesmalveillantsdanslesmises à jour des BIOS (Système de gestion élémentaire des « entrées/sorties ») mais également du firmware.

Selon Alex Lanstein : De nouvelles techniques de « corruption mémoire[1] » vont émerger suite à l’implémentation de la fonctionnalité du « click to play » d’Adobe Flash(nécessitant une interaction de l’utilisateur pour exécuter un contenu Flash potentiellementmalveillant). En effet, ces derniers mois nous avons vu Flash être utilisé pour exécuter des codes malveillants dans la phase d’infection. Mais depuis qu’Adobe a intégré la fonctionnalité «click-to-play » aux documents Microsoft Word, cette approche ne fonctionne plus. Les dernières exploitations zéro-day de documents « docx » et « tiff », par exemple, n’utilisaient pas Flash pour cette raison ; Les pirates vont trouver d’autres moyens pour déjouer les systèmes d’analyse automatisés (sandbox), comme le déclenchement des redémarrages, les clics de souris, la fermeture des applications, etc. Un exemple: le déclenchement du malware à un moment précis, à l’image de ce qui a été observé récemment au Japon et en Corée. Les pirates se concentrent désormais à contourner les systèmes de sandbox, on peut parier que cette approche donnera à leurs malwares beaucoup plus de puissance.

Selon Jason Steer : Les logiciels criminels auront davantage vocation à détruire les systèmes d’exploitation. Dernièrement, les autorités européennes sont parvenus a arrêter les cyber-gangs. Une nouvelle fonctionnalité de Zeus qui efface le système d’exploitation, aide les cybercriminels à nettoyer toutes les preuves d’un attaque et ainsi éviter l’arrestation.

Selon Darien Kindlund et Bryce Boland : De plus en plus de « quartiers numériques » vont alimenter lescampagnesd’attaquesciblées. En d’autres termes, « SunshopDQ »n’est que le début. Plusles auteursdes menacevontindustrialiserle développement de leur attaques et leur diffusion, plus les économies d’échelle seront importantes.

Selon Greg Day : La collaboration croissante entreles victimes d’attaquesà travers le monde, va permettre d’identifier et arrêter les gangs decybercriminels, grâce au croisement des indicesd’attaques distinctesavec ceux des campagnes communes ; Le Cybercrimese personnalise. Pour les hackers,les donnéespersonnelles ont plus de valeur que les données génériques. Ils devraient logiquement réorienter leur attention surdes donnéesà forte valeur.

Selon Rudolph Araujo : Le temps de détection de malwares de pointe. Selon la société à laquelle on se fie (Verizon DBIR, Ponemon etc.), le temps de détection peut osciller entre 80 et 100 jours et de 120 à 150 pour la suppression totale des malwares. Généralement, le temps de détection peut augmenter mais le temps de traitement va encore plus s’allonger à force que les attaquants deviennent de plus en plus sophistiqués avec leur capacité à s’immiscer dans le système des entreprises pour une plus longue durée.

Des mesures renforcées pour la lutte contre la cybercriminalité

Une nouvelle directive européenne (n° 2013-40/UE du 12 août 2013) relative aux attaques contre les systèmes d’information est entrée en vigueur le 3 septembre 2013. Elle remplace et renforce une décision-cadre du Conseil de l’Union (2005/222/JAI) du 24 février 2005, qui avait déjà pour principal objectif de renforcer la coopération entre les autorités judiciaires des Etats membres grâce à un rapprochement de la législation pénale sanctionnant la cybercriminalité. Donatienne Blin, avocat au département Informatique & réseaux de Courtois Lebel, explique quelles vont être ces nouvelles règles. Les attaques contre les systèmes d’information constituent une menace croissante au sein de l’Union et plus généralement à l’échelle mondiale. Les progrès technologiques permettent aux hackers de construire des méthodes de plus en plus sophistiquées, susceptibles de provoquer des dommages économiques considérables : interruption de l’activité de l’entreprise, perte ou altération de données confidentielles ou personnelles…

L’existence de lacunes et de disparités dans les différentes législations des Etats membres en matière d’attaques contre les systèmes d’information risque d’entraver la lutte contre la cybercriminalité et de ralentir la coopération policière et judiciaire européenne. La directive 2013-40/UE renforce donc les mesures mises en place par la décision-cadre de 2005, avec pour objectif de lutter plus efficacement contre les attaques informatiques au niveau européen. En synthèse, la directive fixe les règles minimales concernant la définition des infractions pénales et les sanctions pénales applicables et améliore la coopération entre les autorités compétentes des Etats membres.

Les infractions pénales mieux définies S’agissant de la mise en place de « règles minimales », on citera :

I – L’adoption de définitions communes s’agissant des éléments constitutifs des infractions pénales suivantes (Art. 3 à 6) :

– accès illégal à un système d’information  – atteinte illégale à l’intégrité d’un système

– atteinte illégale à l’intégrité des données  – interception illégale de ces données ;

II – l’incrimination de la production, de la vente et de l’obtention des outils (programmes) ou dispositifs (code d’accès) conçus pour commettre l’une de ces infractions précitées  (Art.7) ;

III – l’incrimination du fait « d’inciter à commettre » lesdites infractions, d’y participer ou de s’en rendre complice (Art. 8) ;

DSB – le principe de « sanctions effectives, proportionnées et dissuasives » à mettre en place par les Etats membres : des peines d’emprisonnement minimum sont imposées par la directive (Art.9) ;

V – la présence de circonstances aggravantes en cas d’attaque de grande ampleur commise par des organisations criminelles (notamment dans le cas des réseaux dit « zombie »), en cas de préjudice grave, lorsque les attaques sont menées contre une « infrastructure critique » d’un état membre, ou encore en cas d’usurpation d’identité numérique (Art.9) ;

VI – la mise en cause de la responsabilité et la sanction des personnes morales, lorsque les infractions sont commises pour leur compte par toute personne qui exerce un pouvoir de direction (Art.10) ; VII – la responsabilité et la sanction des personnes morales, lorsque « l’absence de surveillance et de contrôle » aura rendu possible l’une des infractions précitées commise pour son compte par ses salariés (Art.10 et 11).

La directive insiste en effet sur le fait qu’il est nécessaire de « garantir des niveaux de protection appropriés contre les menaces et les vulnérabilités pouvant être raisonnablement identifiées » : la responsabilité de la personne morale devra donc être engagée dès lors que celle-ci n’a pas, « de toute évidence », assuré un niveau de protection suffisant contre les cyberattaques commises pour son compte (Considérant 26).

Des dispositions contraignantes pour les entreprises Les dispositions des articles 10 et 11 sont donc particulièrement contraignantes à l’égard des entreprises, à qui il revient d’apporter la preuve de leurs diligences en matière de surveillance et de protection contre les cyberattaques commises par leurs propres salariés.

Pour s’exonérer de leur responsabilité, celles-ci devront donc démontrer cumulativement :

A –  que la vulnérabilité ou la menace ne pouvait pas être raisonnablement identifiée ou anticipée (soit au regard de l’état de l’art, soit au regard des moyens déployés par l’auteur de l’attaque pour dissimuler ses actes au sein de l’entreprise) ;

B – avoir mis en œuvre en interne des mesures préventives, à la fois juridiques (dispositions spécifiques dans la charte informatique par exemple) et techniques (logiciel de surveillance et de contrôle) de protection contre les cyberattaques susceptibles d’être commises par leurs employés.

La coopération entre Etats membres est renforcée S’agissant de la coopération entre Etats membres, la directive prévoit :

A – la mise en place de réseaux de coopération et de partenariat pour permettre l’échange d’informations, destinées à prévenir et à combattre la cybercriminalité ;

B – que les Etats membres doivent désormais disposer « d’un point de contact national opérationnel », et recourir, au niveau européen, au « réseau existant de points de contact opérationnels » (art. 13) ;

C – que ces réseaux devront être disponibles 24h/24 et 7j/7 ; de plus, des procédures pour répondre aux demandes urgentes sous huit heures devront être mises en place par les Etats membres (Art.13).

La France devra transposer les dispositions imposées par cette directive au plus tard le 4 septembre 2015.  Par le Cabinet d’avocats d’affaires français Courtois Lebel pour DataSecurityBreach.fr.