Archives par mot-clé : I Love You

Cybersécurité, Securite informatique

Happy Birthay virus ILOVEYOU

Le virus ILOVEYOU vient de fêter ses 20 ans. Le microbe numérique avait infecté 10 % des ordinateurs connectés à travers le monde à une époque ou les gens pensaient que les cyber malveillances n’arrivaient qu’aux autres. I Love You se faisait passer pour une lettre d’amour.

Aujourd’hui, les logiciels malveillants peuvent se propager vite, beaucoup plus rapidement que le virus ILOVEYOU il y a 20 ans, mais la situation n’est plus la même : à l’époque, personne n’avait vu un fichier .vbs (script de visuel basique) utilisé à des fins malveillantes, ce qui a poussé de nombreuses personnes à cliquer dessus. En outre, du point de vue de l’infrastructure, les réseaux affectés à l’époque – dont ceux de gouvernements et d’entreprises – n’avaient rien de comparable à ceux d’aujourd’hui. Il avait donc suffi qu’un seul réseau soit compromis pour que tout s’effondre. Enfin, l’emails était le seul outil de communication numérique utilisé par les entreprises ; il n’y avait pas d’applications de chat destinées aux professionnels, comme Slack. Les entreprises victimes s’étaient donc retrouvées complètement isolées. Les fournisseurs d’antivirus avaient dû envoyer des instructions par fax à leurs clients désespérés, car ces derniers ne pouvaient plus recevoir d’emails et le trafic généré par le virus pour se répandre les obligeait à se déconnecter totalement. Aujourd’hui, il n’est plus étonnant de voir cliquer sur un PDF, un Word, un Excel sans même vérifier la source de diffusion.

Suite à ILOVEYOU, nous avions vu des vers se propager beaucoup plus rapidement sans interaction avec les utilisateurs, affectant des millions de personnes à travers le monde. Cependant, les réseaux sont restés solides lors de ces attaques, notamment contre Blaster.

Aujourd’hui, le risque est ailleurs. Il y a des milliards d’appareils connectés à Internet. Pour qu’un ″ver malveillant″ se propage largement et rapidement, les malwares exploitent désormais une vulnérabilité qui leur permet d’infecter et de se propager sans interaction avec l’utilisateur, de la même manière que Wannacry. Un ver tirant parti de multiples vulnérabilités de l’Internet des Objets (IoT), par exemple, pourrait provoquer une attaque mondiale, ciblant à la fois les particuliers et les entreprises.

Iloveyou… to

La clé pour empêcher toute attaque est la sécurité. Windows était très vulnérable dans le passé, mais est désormais beaucoup plus sûr. Néanmoins, des personnes malveillantes continueront de découvrir des vulnérabilités et des risques dans le système d’exploitation Windows et tenteront donc d’en tirer profit. En ce qui concerne les appareils IoT, la plupart sont au stade de Windows 95 en termes de sécurité. Cette dernière est rarement prise en compte lorsqu’ils sont conçus. Par conséquent, le logiciel des objets connectés, la transmission des données et la sécurité des ports sont tous vulnérables.

De plus, une attaque peut être déclenchée par un utilisateur qui ouvre simplement un email, ou clique sur un lien, par phishing. Nous avons vu des cas où l’ouverture d’un lien malveillant par un utilisateur a compromis le routeur du réseau. Cela pourrait ouvrir plus de portes dérobées au système de l’utilisateur ou rediriger les sessions de navigation vers des sites Web malveillants ; qui peuvent alors élargir les menaces, allant du ransomware aux voleurs de mots de passe, et rechercher plus de victimes potentielles sur Internet.

La motivation des attaques a considérablement changé au cours des deux dernières décennies. Le premier virus que j’ai rencontré était Michel-Ange en 1991, qui a écrasé les cent premiers secteurs d’un disque dur, rendant la machine incapable de démarrer. Alors qu’à l’époque les virus ressemblaient davantage à des concepts et à une source de fierté pour leurs auteurs, le paysage des menaces est aujourd’hui une machine à sous bien huilée, visant les entreprises avec des ransomwares et des services bancaires pour voler de l’argent, ainsi que des fake news pour soutenir la propagande, ou encore des cyberguerres parrainées par des États.

Les appareils connectés ont élargi significativement la surface d’attaque, prête à être utilisée à mauvais escient. Nous sommes maintenant connectés 24 heures sur 24, 7 jours sur 7, ce qui laisse ces appareils disponibles pour une attaque à tout moment. Ceci, combiné au nombre important d’appareils vulnérables dotés d’une faible sécurité, rend inévitable une attaque à grande échelle. Le chaos mondial commence toujours par une faille largement présente. Nous avons vu ces dernières années une explosion massive d’attaques menées au niveau du microprogramme (firmware) des objets connectés ou des ordinateurs, et sans interaction avec l’utilisateur ; comme VPNFilter ou encore LoJack, des attaques visant le firmware du moteur de gestion d’Intel. En effet, ces attaques restent généralement indétectables, car difficiles à identifier par les utilisateurs non avertis.

J’ajouterais également que la sensibilisation des utilisateurs aux menaces courantes, à quoi elles ressemblent et comment les gérer est essentielle pour empêcher les attaques ; de même que se tenir au courant des problèmes de sécurité et d’utiliser des solutions adéquates. L’industrie de la sécurité, bien sûr, est responsable de la protection des personnes en améliorant les mécanismes de détection des produits de sécurité, en fournissant diverses solutions et en sensibilisant les utilisateurs.

Cependant, il revient aussi à ces derniers de se renseigner sur la cybersécurité et d’appliquer les bonnes pratiques pour se protéger. Il est également particulièrement important qu’ils soient en mesure de prendre du recul et la bonne décision lorsqu’ils sont confrontés à une tentative d’arnaque par ingénierie sociale, susceptible de conduire à l’installation de malwares ou au vol d’informations sensibles.

Cybersécurité

Le secteur technologique serait devenu le plus cyber attaqué

Selon un énième rapport, on découvre que le secteur technologique représenterait 43% de l’ensemble des cyberattaques en France et 25% des attaques mondiales.

Je ne sais pas pour vous, mais découvrir que les cybercriminels innovent plus rapidement pour lancer des attaques faisant appel à l’intelligence artificielle et au Machine Learning et en investissant dans l’automatisation me fait doucement sourire. A croire que les experts découvrent l’automatisation des attaques informatiques. S’il ne fallait qu’en citer deux, souvenez-vous du Virus « Leonard de Vinci » ou plus récent, il y a 20 ans, le virus « I Love You« . Bref, deux époques ou la cyber sécurité n’était qu’un petit mot, en soirée.

La dernière en date, indique que les cybercriminels font évoluer leurs techniques grâce à de nouvelles innovations et automatisent de plus en plus leurs attaques. Selon le rapport GTIR (Global Threat Intelligence Report) 2020 de NTT Ltd, une entreprise spécialisée dans les services technologiques, le secteur technologique devient pour la première fois le secteur le plus attaqué, que se soit en France, mais aussi au niveau mondial.

Le secteur technologique, n°1 des secteurs les plus touchés

Si le volume des attaques a augmenté dans tous les secteurs l’an passé, le secteur technologique apparaît pour la première fois comme l’une des industries les plus attaquées au niveau mondial représentant 25 % de l’ensemble des attaques (contre 17 % l’année précédente). Plus de la moitié des attaques dirigées contre ce secteur étaient spécifiques à des applications (31 %) ou de type DoS/DDoS (25 %), tandis que les attaques militarisées contre l’Internet des objets (IoT) se sont multipliées.

En France, les entreprises technologiques sont les premières cibles des attaques, et de loin, avec 43%, suivie par les services professionnels à 23%, et par l’industrie qui complète le podium avec 22% de l’ensemble des attaques. Les auteurs des attaques innovent, en faisant appel à l’intelligence artificielle et au Machine Learning ainsi qu’en investissant dans l’automatisation. Environ 21 % des malwares détectés ont pris la forme d’un scanner de vulnérabilités, confirmant que l’automatisation est l’une des priorités des assaillants.

Le rapport démontre également la militarisation des attaques contre l’IoT : des botnets tels que Mirai, IoTroop et Echobot ont progressé en matière d’automatisation, améliorant ainsi leurs capacités de propagation. Mirai et IoTroop sont également réputés pour se répandre via des attaques IoT, puis se diffuser par l’utilisation de scanners et l’infection qui s’ensuit des hôtes identifiés comme vulnérables.

Mark Thomas, qui dirige le Global Threat Intelligence Center de NTT Ltd., commente : « Les années précédentes, nous avions observé que la plupart des attaques visaient le secteur financier mais, cette année, la situation a changé puisque le secteur technologique a enregistré une hausse de 70 % des attaques. La militarisation des attaques contre l’IoT a également contribué à cette augmentation et, si aucun botnet ne domine à lui seul, nous avons noté d’importants volumes d’activité provenant à la fois de Mirai et IoTroop. Les attaques contre les administrations ont quasi doublé, notamment avec des bonds des attaques de reconnaissance ou applicatives, menées par des acteurs malveillants qui profitent de l’intensification des services en ligne offerts aux citoyens au niveau local. »

Des failles, partout !

Les vulnérabilités anciennes demeurent une cible active : les attaques ont exploité des failles vieilles de plusieurs années mais toujours non corrigées par les entreprises, par exemple HeartBleed, qui a contribué à faire d’OpenSSL le deuxième logiciel le plus ciblé (par 19 % des attaques au niveau mondial). Au total, 258 nouvelles vulnérabilités ont été identifiées dans les frameworks et logiciels Apache ces deux dernières années, faisant de cette plateforme la troisième la plus visée en 2019 (victime de plus de 15 % de l’ensemble des attaques observées). Les attaques sur les systèmes de gestion de contenu (CMS) ont représenté environ 20 % du total : ciblant des plateformes CMS répandues telles que WordPress, Joomla!, Drupal et noneCMS, les cybercriminels s’en sont servis comme porte d’entrée dans les entreprises afin de leur dérober de précieuses informations et d’y lancer des attaques supplémentaires. En outre, plus de 28 % des technologies ciblées (à l’image de ColdFusion et Apache Struts) participent au fonctionnement des sites web. La vitesse de création de sites web se présentant comme une source « officielle » d’informations COVID-19, mais hébergeant des kits d’exploitation et/ou des logiciels malveillants – dépassant parfois 2 000 nouveaux sites par jour.

cryptolocker, Cybersécurité, Entreprise, Fuite de données, Logiciels, Microsoft, Mise à jour, Patch, Virus

15 ans après le virus “I Love You” l’amour du risque perdure

Particuliers et entreprises ont-ils retenus les leçons du passé pour optimiser leur sécurité ? Pas si sûr

Le 4 mai 2015 a marqué les 15 ans du ver “I love you” qui avait été très médiatisé car il s’agissait de l’une des premières attaques de grande ampleur ayant touché les entreprises, comme les particuliers, sur l’ensemble des continents. De fait, cette attaque reste très présente dans les esprits lorsqu’on évoque les sujets de sécurité. Mais 15 ans après, que peut-on retenir de ce message dont la portée s’est révélée particulièrement efficace ?

I Love You, aussi dénommé LoveLetter ou The LoveBug, a touché et a infecté près de 10 % des ordinateurs connectés à Internet il y a tout juste 15 ans et causé un préjudice estimé à 5 milliards de dollars. Celui-ci s’est propagé au travers des messageries Outlook et Outlook Express et consistait en un email contenant une lettre d’amour en pièce jointe. En moins d’une semaine, il avait touché plus de 3,1 millions de PC dans le monde entier.

L’efficacité de ce virus tient à trois facteurs relativement nouveaux à l’époque. Premièrement, il a tiré parti de la faiblesse des antivirus de l’époque, majoritairement incapables de le détecter et donc de le stopper. Les éditeurs ont d’ailleurs mis plusieurs heures, voire jours pour trouver une solution et la diffuser (pas de services Cloud pour faciliter le partage de connaissance et la diffusion de la mise à jour contenant la signature du ver).

Deuxièmement, il s’agissait de l’une des premières attaques exploitant une forme de social engineering. L’approche a été travaillée pour optimiser le taux d’ouverture de l’email et de nombre de clics sur la pièce jointe. Peu de gens se sont méfiés de cette lettre d’amour à première vue anodine. Troisièmement, la faible sensibilisation aux problématiques de sécurité à l’époque a également joué en faveur du virus.

Et aujourd’hui ?
Force est de constater que 15 ans après, la messagerie reste le principal vecteur d’attaque. Ainsi 90 % des attaques (Etude Human Factor de Proofpoint) exploitent ce canal et le comportement des utilisateurs reste le maillon faible de la sécurité. Comme le confirme le DBIR 2015 de Verizon, 23 % des utilisateurs continuent d’ouvrir les mails de phishing, un chiffre en hausse par rapport à l’année précédente… Donc en résumé, peu de choses ont changé.

Heureusement d’un point de vue technique, de nouvelles solutions ont fait leur apparition, que ce soit au niveau de l’infrastructure, du poste, ou plus particulièrement de la messagerie. C’est aussi pour cette raison que les attaquants ont modifié leur technique d’approche. Le social engineering reste l’une des stratégies les plus exploitées pour lancer des attaques qui sont désormais ciblées (sur une catégorie d’employés, exploitant une actualité, etc.). L’actualité récente, et les attaques de médias comme celle du Monde ou de TV5 Monde, ont d’ailleurs montré toute leur efficacité en matière de menace ciblée.

Les techniques d’attaque en elles-mêmes ont donc peu évolué et elles exploitent toujours le comportement des utilisateurs. Seuls les objectifs ont changé : de la simple gloire recherchée par les attaquants, nous sommes passés à des attaques ciblées, dont les finalités sont précises : espionnage industriel ou commercial, impact sur l’activité ou les finances, hacktivisme (transmission de messages de revendication liés à une cause), nuisance sur l’image de l’entreprise. En parallèle, de nouvelles techniques sont apparues comme par exemple l’utilisation de ransomware, ces logiciels qui chiffrent les données de leurs victimes et qui demandent ensuite une rançon contre la clef de déchiffrement. On peut d’ailleurs souligner que cette tendance est due à l’évolution du fonctionnement des antivirus par rapport à l’époque d’ « I Love You » : en effet, les éditeurs réagissent désormais plus rapidement et de manière mondialisée (en général, un nouveau malware est bloqué en quelques jours, voire quelques heures après les plaintes des premières victimes). En conséquence, pour tout de même en tirer des bénéfices, les organisations criminelles tentent d’extorquer de l’argent directement à chaque victime (et force est de constater qu’en terme de « chiffre d’affaire », tout va pour le mieux pour eux…).

Quinze ans après, il y a donc peu de chance de connaître une attaque d’une envergure et d’un impact aussi importants que le ver « I Love You » mais il reste encore beaucoup à faire pour éduquer les utilisateurs et les sensibiliser aux nouvelles menaces et formes d’attaques employées par les cybercriminels. (Par Christophe Kiciak, Responsable de l’offre Audit technique et test d’intrusion de Provadys.)