Archives par mot-clé : menace

Les cyberattaques de type DDoS prennent de l’ampleur en 2021 en France et en Belgique

Cloudflare, spécialiste de la sécurité, la fiabilité et la performance d’Internet vient de publier les tendances du second trimestre 2021 concernant les attaques DDoS. Ce panorama révèle que les cyberattaques envers les sites publiques ont augmenté de presque 500%.

Bien que la menace DDoS ne soit pas nouvelle, à partir du premier trimestre de 2021, les dernières attaques contre des sites et serveurs allant des établissements vinicoles, des équipes sportives professionnelles, des services de ferry et des hôpitaux l’ont fait passer du simple bruit de fond aux gros titres affectant notre vie quotidienne. En fait, les récentes attaques ont propulsé les ransomwares et les attaques DDoS au sommet du programme de sécurité nationale du président américain Biden.

Des attaques toujours plus puissantes

Plus de plus de 11% des clients Cloudflare qui ont été victimes d’une attaque DDoS au cours des 6 premiers mois de l’année 2021, ont reçu des menaces ou des demandes de rançons.

Cela représente 1 client sur 10. Des attaques qui s’expliquent notamment par l’importante part qu’a pris le numérique au sein de notre société afin de s’adapter à la crise sanitaire.

Un secteur public davantage ciblé

Les attaques DDoS visant les services aux consommateurs sont une fois de plus omniprésentes et ont augmenté de 684% par rapport au trimestre précédent. Les sites d’administrations publiques et de secteur public représentent le second secteur le plus ciblé avec des attaques DDoS HTTP qui ont augmenté de 491%.

L’hexagone n’est pas le seul dans ce cas, puisque l’on observe également cette tendance en Belgique avec plus de 200 organisations dont les sites web gouvernementaux et autres ont été touchés par des attaques DDoS.

Cette recrudescence des attaques envers le secteur public s’explique notamment par l’importance qu’on prit les services de santé ces dernières semaines dans la lutte contre la crise sanitaire.

La Chine reste le pays avec le plus d’activités DDoS provenant de l’intérieur de ses frontières – 7 requêtes HTTP sur 1 000 provenant de Chine faisaient partie d’une attaque HTTP DDoS ciblant des sites Web, et plus de 3 octets sur 100 ont été ingérés dans nos données. Les centres en Chine faisaient partie d’une attaque DDoS de la couche réseau.

Les données observées au deuxième trimestre de 2021 suggèrent que les organisations aux États-Unis et en Chine étaient les plus ciblées par les attaques HTTP DDoS. En fait, une requête HTTP sur 200 destinée à des organisations basées aux États-Unis faisait partie d’une attaque DDoS.

Les menaces émergentes comprenaient des attaques DDoS d’amplification qui abusaient du protocole Quote of the Day (QOTD) qui a augmenté de 123 %.

De plus, à mesure que l’adoption du protocole QUIC continue d’augmenter, les attaques sur QUIC augmentent également, enregistrant une énorme augmentation de la QoQ de 109 % au deuxième trimestre de 2021.

Le nombre d’attaques DDoS au niveau de la couche réseau dans la plage de 10 à 100 Gbit/s a augmenté de 21,4 %.

La société visée était Hypixel, un spécialiste US du jeu. Hypixel est resté en ligne sans temps d’arrêt ni pénalité de performances pour ses utilisateurs gamers, même sous une campagne d’attaque DDoS active supérieure à 620 Gbps.

DDoS et rançon

Les pirates se prétendant être « Fancy Lazarus », « Fancy Bear », « Lazarus Group » et « REvil » lancent à nouveau des attaques par ransomware et ransom-DDoS contre les sites Web et l’infrastructure réseau des organisations, à moins qu’une rançon ne soit payée avant un délai donné.

Dans le cas des menaces DDoS, avant la demande de rançon, une petite attaque DDoS est généralement lancée à titre de démonstration. L’attaque de démonstration se déroule généralement sur UDP et dure environ 30 à 120 minutes.

La demande de rançon est généralement envoyée aux alias de messagerie de groupe communs de l’entreprise qui sont accessibles au public en ligne, tels que noc@ , support@ , help@ , legal@ , abuse@ , etc. Dans plusieurs cas, elle s’est retrouvée dans le spam.

Dans d’autres cas, nous avons vu des employés ignorer la demande de rançon en tant que spam, augmentant le temps de réponse de l’organisation, ce qui a entraîné des dommages supplémentaires à leurs propriétés en ligne. (Rapport Cloudflare)

6 professionnels français de la cybersécurité sur 10 pensent que la cyberguerre est une menace imminente

Six professionnels français de la cybersécurité sur dix (59%) pensent que la cyberguerre est une menace pour leur organisation, et pourtant un quart (26 %) admettent ne pas avoir de stratégie en place pour atténuer ce risque.

C’est l’un des enseignements de l’étude mondiale « 10 in 10 : La cyber depuis 10 ans et dans 10 ans » réalisée par Bitdefender cette année. Cela a de quoi inquiéter, particulièrement en cette période de bouleversements mondiaux sans précédent, car la moitié des professionnels de la sécurité informatique (50 %) s’accordent à dire que l’accélération de la cyberguerre sera préjudiciable à l’économie dans les 12 prochains mois.

Les RSSI et les professionnels de l’informatique renforcent toutefois leurs défenses : 37% des français estimant avoir besoin d’une stratégie contre la cyberguerre dans les 12 à 18 prochains mois.

43% des professionnels français craignent qu’un ransomware détruise leur entreprise, à court terme

La menace du ransomware est toujours aussi présente.

  • Lors de la crise de 2020, les ransomwares ont fait un bond, 43 % des professionnels de l’informatique ont constaté une augmentation des ransomwares et 60 % des professionnels français s’attendent à une augmentation des ransomwares dans les 12 à 18 prochains mois. Plus inquiétant, ils sont 43% de français à craindre qu’un ransomware détruise leur entreprise dans les 12-18 mois à venir si leurs investissements en sécurité n’augmentent pas !

Comment expliquer cette augmentation des attaques de ransomware ? La réponse remontant du terrain est principalement, l’ampleur des gains… Presque la moitié des professionnels français de (46 %) pensent que l’entreprise pour laquelle ils travaillent paierait une rançon pour empêcher la publication de ses données/informations.

Un changement radical dans la communication est très attendu

La cyberguerre et les ransomwares sont des sujets complexes. La complexité inhérente aux sujets de la sécurité informatique rend toutefois difficile l’obtention d’investissements et de soutien internes pour les projets. C’est pourquoi les professionnels français de la sécurité informatique sont d’avis qu’un changement est nécessaire. En fait, 55 % d’entre eux estiment que pour accroître les investissements dans la cybersécurité, la manière dont ils communiquent sur la sécurité doit changer radicalement.

La question est de savoir quels changements doivent être apportés :

  • 39% des professionnels français de la cybersécurité (39 %) pensent qu’à l’avenir, il faudra communiquer davantage avec le grand public et les clients, tant à l’intérieur qu’à l’extérieur de l’organisation, afin qu’ils comprennent mieux les risques.
  • En outre, 38 % soulignent qu’il faut faciliter une meilleure communication avec les cadres dirigeants, en particulier lorsqu’il s’agit de comprendre les risques commerciaux au sens large.
  • Enfin, 40 % des professionnels français estiment que l’utilisation d’un langage moins technique aiderait l’industrie à mieux communiquer, afin que l’ensemble de l’organisation puisse comprendre les risques et la manière de rester protégé.

Neeraj Suri, Professeur reconnu et Président de la Chair in Cybersecurity de l’Université de Lancaster, Royaume-Uni, commente : « La raison pour laquelle 63% des professionnels estiment que la cyberguerre est une menace pour leur organisation est simple. La dépendance à l’égard de la technologie est à son comble et si quelqu’un devait supprimer le Wi-Fi à la maison ou au bureau, personne ne pourrait plus rien faire. Cette dépendance n’existait pas il y a quelques années, elle n’était même pas aussi élevée il y a quelques mois. Cette forte dépendance à l’égard de la technologie n’ouvre pas seulement la porte aux ransomwares ou aux menaces sur l’Internet des Objets industriels mais aussi à la cyberguerre qui peut être si catastrophique qu’elle peut ruiner les économies. Près d’un quart des professionnels de l’informatique n’ont pas actuellement de stratégie de protection contre la cyberguerre, et la raison est probablement la complaisance. Comme ils n’ont pas subi d’attaque, ou n’ont pas vu à grande échelle les dommages qui peuvent être causés, ils n’ont pas investi le temps nécessaire pour s’en protéger ». 

La diversité – en particulier la neurodiversité – est la clé du succès futur

En dehors des changements drastiques qui sont nécessaires dans la façon dont les professionnels de la cybersécurité communiquent, il est également nécessaire de trouver des solutions à la problématique du manque d’experts. L’industrie de la sécurité informatique dans son ensemble souffre depuis longtemps d’une pénurie de compétences, et cela semble rester un problème permanent et de plus en plus évident :

  • 15 % des professionnels de la sécurité informatique estiment que la plus grande évolution de la cybersécurité au cours des 12-18 mois sera l’augmentation du déficit de compétences.

Si le déficit de compétences se poursuit pendant encore cinq ans, 28 % des RSSI et des DSI pensent qu’il pourra être la cause de la destruction d’entreprises. Et une autre moitié (50 %) des professionnels de la sécurité informatique pense que le déficit de compétences sera gravement perturbateur s’il se poursuit pendant les cinq prochaines années.

Aujourd’hui, cependant, il faudra plus que le simple recrutement de travailleurs qualifiés pour apporter un changement positif et protéger les organisations. En 2015, 52 % des travailleurs de la sécurité informatique auraient convenu qu’il y avait un manque de diversité dans la cybersécurité et qu’il s’agissait d’une préoccupation importante. Cinq ans plus tard, en 2020, la situation reste exactement la même – et c’est un toujours un problème important puisque 40 % des RSSI/DSI et des professionnels de la sécurité informatique affirment que le secteur de la cybersécurité doit refléter la société qui l’entoure pour être efficace.

De plus, 76 % des RSSI et 72 % des professionnels de la sécurité informatique estiment qu’il est nécessaire de diversifier les compétences des personnes chargées de la cybersécurité. En effet, plus spécifiquement en France, 36 % des professionnels de l’informatique estiment que la neurodiversité renforcera les défenses de la cybersécurité, et 29 % ont révélé qu’une main-d’œuvre plus neurodiversifiée permettra d’égaliser le rapport de force avec les attaquants.

Liviu Arsene, Analyste en cybersécurité internationale chez Bitdefender, conclut : « 2020 a été une année de changement, non seulement pour le monde en général, mais aussi pour l’industrie de la sécurité. Le paysage de la sécurité évolue rapidement alors qu’il tente de s’adapter à la nouvelle normalité, de la main-d’œuvre distribuée aux nouvelles menaces. Parmi les nouvelles menaces, on trouve la cyberguerre. Elle préoccupe beaucoup les entreprises et l’économie, mais tout le monde n’est pas préparé à y faire face. Dans le même temps, les professionnels de l’informatique ont dû se tenir au courant des nouvelles menaces provenant d’une ancienne source, les ransomwares, qui peuvent affecter les résultats des entreprises si elles ne sont pas traitées avec soin. La seule chose que nous savons, c’est que le paysage de la sécurité va continuer à évoluer. Des changements vont se produire, mais nous pouvons maintenant nous assurer qu’ils se produiront pour le meilleur et non pour le pire. Pour réussir dans le nouveau paysage de la sécurité, la façon dont nous parlons de la sécurité en tant qu’industrie doit devenir plus accessible à un public plus large afin de gagner le soutien et l’investissement de l’intérieur de l’entreprise. En outre, nous devons commencer à réfléchir à la manière de combler le déficit de compétences d’une manière différente – nous devons nous concentrer sur la diversité, et plus particulièrement sur la neurodiversité, si nous voulons tenir bon et, en fin de compte, vaincre les acteurs malveillants ».

Cybersécurité : 4 caractéristiques de la menace interne

La cybersécurité ne se limite pas à se protéger de malveillances externes. Bien souvent, les risques sont intimement liés à l’interne, de façon accidentelle ou intentionnelle. Mieux connaître ces menaces, c’est déjà les anticiper.

Lorsqu’on se figure un cybercriminel, on imagine une silhouette inquiétante, penchée sur un clavier dans un lieu sombre et lointain. Or dans les faits, les menaces les plus vives pour une entreprise sont bien plus proches qu’on ne le pense.

Un collègue croisé le matin même dans l’ascenseur ou dans le cadre d’une réunion stratégique est peut-être sur le point de devenir responsable de la fuite de données qui va coûter des millions à l’entreprise.

Les menaces internes doivent être prises au sérieux et leur nature doit être bien appréhendée pour qu’une protection efficace soit mise en place, sans pour autant affecter les opérations quotidiennes, la productivité ou l’agilité de l’entreprise.

Chaque entreprise est confrontée à des cybermenaces différentes, dont les caractéristiques dépendent d’une série de facteurs tels que son domaine d’activité, son infrastructure et sa sécurité informatique, ainsi que les méthodes de travail qu’elle applique. Il existe toutefois plusieurs règles qui s’appliquent généralement à tous les scénarios de menace interne.

  1. Les compromissions internes sont généralement accidentelles

Les organisations qui ont reconnu la gravité des menaces internes se focalisent souvent sur la prévention des attaques malveillantes, telles que celles perpétrées avec un motif de vengeance par des employés mécontents, ou celles visant à voler l’organisation. Toutefois, selon le Forum sur la sécurité de l’information, la plupart des infractions sont accidentelles et non intentionnelles.

  1. Les hackers savent identifier les collaborateurs à cibler

Les cybercriminels ciblent souvent les employés disposant de privilèges importants, tels que des administrateurs système, le personnel du service d’assistance informatique et les membres de comité de direction. Piégés par des attaques de phishing très ciblées, ils ouvrent sans le savoir la porte aux pirates informatiques et leur permettent d’accéder à l’infrastructure de l’entreprise.

  1. Les tiers utilisateurs et les ex-collaborateurs : des menaces particulières

De nombreuses organisations donnent accès à leurs réseaux à des personnes tierces. Des clients, des fournisseurs et des sous-traitants. N’étant pas employés de la société, ces individus sont plus difficiles à gérer que les employés, ce qui rend le contrôle de leur accès encore plus ardu.

Mais les anciens collaborateurs (ou en phase de départ) peuvent devenir de véritables menaces. Si la plupart des atteintes internes sont involontaires, 1 incident interne sur 4 provient d’un (ex)employé malveillant, généralement motivé par la vengeance contre l’organisation, suite au licenciement par exemple, ou les croyances politiques et religieuses, voire même sous pression d’un réseau criminel.

  1. Les pirates agissent selon un plan précis

Les attaques internes généralement exécutées en plusieurs étapes. Tout d’abord, une approche par phishing ou autre stratagème d’ingénierie sociale, permettant de récupérer un compte à droits limités. Ces privilèges étendus via une collecte de mots de passe ou de hachage de mots de passe. Ainsi que d’autres informations d’authentification. La technique Pass-the-hash utilisée pour se déplacer sur le réseau et accéder aux différents systèmes. Enfin, les données cibles ou autres ressources localisées et compromises.

Quelle que soit l’origine et l’intentionnalité de la compromission, se protéger contre les menaces internes nécessite de développer une véritable culture de la cybersécurité en interne, afin que les collaborateurs prennent conscience des risques et adoptent les bons réflexes (complexité et modification régulière des mots de passe, utilisation ou non du Cloud public, etc.)

Mais l’application du principe du moindre privilège (droits d’un utilisateur strictement limités aux besoins de son travail) reste essentielle afin de contenir au maximum les risques suite à la compromission d’un compte utilisateur : moins ce dernier aura de droits, moins l’attaque sera efficace. (Par Thomas Leconte, Responsable avant-vente chez MTI France)

Facebook menace l’employeur d’un chercheur en sécurité informatique

Après avoir découvert une porte d’entrée dans l’administration d’Instragram, un chercheur en sécurité informatique est menacé par Facebook.

Wesley Wineberg, un chercheur en sécurité indépendant n’a pas apprécié la nouvelle méthode de Facebook pour récompenser les internautes qui lui remontent des problèmes de sécurité informatique. Il faut dire aussi que Wesley a été très loin dans sa recherche d’information.

Alors qu’il aurait pu se contenter d’expliquer comment il avait eu accès à un espace d’administration d’Instragram, le chercheur a continué de pousser sa recherche dans les méandres informatiques du service photographique de Facebook.

W.W. va sortir du serveur des fichiers de configuration, une clé d’un Amazon Web Services, … Il va utiliser cette clé [là, nous ne sommes plus dans de la recherche de bug, NDR] pour se connecter à des espaces de stockages. Une autre clé va lui ouvrir le code source d’Instagram, clés API et certificats SSL.

Wesley Wineberg va alerter le géant américain, le 1er décembre. L’entreprise va changer son fusil d’épaule à l’encontre de ce bidouilleur. Au lieu de parler « bug Bounty« , Facebook va le menacer en appelant son employeur. Alex Stamos, le CSO de Facebook, a contacté l’entreprise de Wesley en indiquant que les avocats de la firme étaient sur l’affaire. Facebook souhaitait faire disparaître la moindre trace de cette découverte et infiltration.

Des mails « alerte terrorisme » pour infiltrer les entreprises

De faux courriels annonçant aux entreprises qu’elles sont de potentielles cibles de terroristes cachent un fichier malveillant.

Un mail inquiétant a été diffusé au Canada, Dubaï, Bahreïn ou encore en Turquie indiquant aux entreprises ciblées par la missive qu’elles étaient des cibles potentielles d’actes de terroristes. Les escrocs derrières ces courriels surfent sur les craintes de nouvelles attaques meurtrières des membres de la secte de Daesh. Des attaques de type phishing comme on a pu le connaitre lors de médiatiques catastrophes, comme ce fût le cas pour le Tsunami qui a touché des plages Thaïlandaises en 2004.

Dans ce nouveau cas, les pirates conseillent aux lecteurs d’alerter leurs collaborateurs et familles. Ils incitent aussi à cliquer sur les pièces jointes. L’un de ces fichiers n’est rien d’autre qu’un logiciel espion. Les escrocs ont, avant de lancer leur attaque, organisé un social engineering qui leur a permis de collecter suffisamment d’information sur leurs cibles pour crédibiliser le contenu de leurs faux messages d’alertes.

Le ransomware : 2ème menace la plus répandue

Une étude révèle les cinq malwares les plus actifs sur Windows entre janvier et juin 2015, auprès des utilisateurs français et belges.

Bitdefender, éditeur de solutions antimalwares, vient de dévoiler les cinq malwares sur PC les plus répandus en France et en Belgique, ainsi qu’au niveau mondial, entre janvier et juin 2015. Sur les six premiers mois de l’année, Bitdefender a identifié et bloqué JS:Trojan.Ransom.A, l’une des séries de malwares les plus actifs, et qui se classe en 2ème position des menaces les plus répandues auprès des utilisateurs de PC français et belges. Ce type de menaces, les ransomwares, avait déjà beaucoup fait parler en 2014, lorsque Icepol avait fait sa première réelle victime (un homme s’était suicidé après que son ordinateur eut été bloqué). Des variantes plus récentes sont apparues sur Android, avec notamment Koler, un ransomware qui affichait un message géo localisé des forces de l’ordre en prétextant la présence de contenu pédopornographique sur l’appareil de l’utilisateur.

Au niveau mondial, c’est Sality, un vieux code persistant de 12 ans, considéré comme l’un des codes malveillants les plus complexes, qui se classe en 2ème position des malwares les plus répandus ces derniers mois sur PC. « Malgré sa résistance aux mécanismes antimalwares, Sality n’est pas infaillible, » explique Bogdan Botezatu, Analyste Senior en e-menaces chez Bitdefender. « Il peut devenir vulnérable puisque ses mises à jour ne sont pas vérifiées et peuvent donc être détournées. En effet, la mise à jour peut être remplacée par un outil de désinfection. »

Enfin, Bitdefender a noté et bloqué un autre logiciel malveillant très résistant, Conficker, qui figure parmi les 5 menaces les plus répandues dans le monde, notamment en France et en Belgique. Cette menace est la preuve vivante qu’un vieux logiciel non patché reste la porte d’entrée préférée des pirates informatiques. « Ce botnet est actif depuis 2008, bien que ses créateurs ne travaillent plus actuellement dessus » ajoute à datasecuritybreach.fr Bogdan Botezatu. « Il doit sa longévité aux vieux systèmes non patchés. Malgré la disponibilité de correctifs, les utilisateurs n’ont pas tous mis à jour leurs ordinateurs. »

TOP 5 DES MALWARES SUR PC EN FRANCE ET EN BELGIQUE

Trojan.VBS.UDE
Ce trojan downloader prend la forme d’un script VBS (Microsoft Visual Basic Scripting Edition). Son rôle est de télécharger un autre script servant de relais depuis un service d’hébergement en ligne ou directement depuis un site Web afin de donner la main en finalité à la réelle charge malveillante (un fichier exécutable). Le code contenant la charge malveillante dans le VBS est non seulement obfusqué, mais aussi dissimulé en insertion entre diverses lignes de commentaires.

JS:Trojan.Ransom.A
Trojan.Ransom.A est un JavaScript qui verrouille l’écran de l’utilisateur, et prétend que les autorités ont pris le contrôle de l’ordinateur en raison d’activités illégales. Un écran de blocage s’affiche alors, ce qui empêche l’utilisateur d’accéder à ses fichiers ou à la plupart des fonctionnalités du navigateur. Ce ransomware très dangereux est capable d’infecter n’importe quel appareil Windows, Mac OS ou Linux.
     
Trojan.VBS.UCZ
Ce cheval de Troie se cache sous les lignes de texte en commentaires et s’exécute le plus souvent au démarrage.

Win32.Worm.Downadup.Gen (Conficker)
Le ver Downadup, aussi connu sous le nom de Conficker, se répand via des supports amovibles et une vulnérabilité Windows XP (désormais patchée). Il est capable de télécharger  et d’exécuter une variété d’autres fichiers et de désactiver le logiciel de sécurité, tout en empêchant l’utilisateur d’accéder aux sites de sécurité, de lancer le PC en mode sans échec ou autres.
     
JS :Trojan.JS.Likejack.A
Cet outil, écrit en JavaScript, permet de modifier les « Like » de Facebook. Le likejacking (détournement de Like) est une variante du clickjacking (détournement de clic) où un code malveillant est associé au bouton « Like » de Facebook.

TOP 5 DES MALWARES SUR PC DANS LE MONDE

Trojan.LNK.Gen
Le fameux « virus au raccourci » peut être utilisé pour répandre des fichiers malveillants, dont le célèbre malware Stuxnet.

Win32.Sality.3
Sality contamine les fichiers exécutables. Sa capacité à désactiver les paramètres de sécurité et bloquer l’antivirus explique sa longévité (il existe depuis 2003). Il peut s’injecter lui-même dans tous les processus en cours et infecter des lecteurs amovibles en copiant son propre code ainsi qu’un fichier autorun. Il contacte un serveur C&C et télécharge des charges utiles malveillantes et des fichiers exécutables supplémentaires, fournissant ainsi une porte d’accès aux intrus.

Trojan.AutorunINF.Gen
Ce fichier autorun est traditionnellement utilisé pour la propagation de vers, tels que Conficker. Il s’exécute automatiquement quand le système est connecté à un support de stockage externe de type clef USB ou DVD. « Cette menace montre qu’il existe toujours des utilisateurs de Windows XP, malgré la fin du support de ce système en avril 2014, » déclare Bogdan Botezatu. « En effet, ils représentent encore 11,7% des utilisateurs dans le monde, ce qui devrait soulever des questions sur les vulnérabilités toujours susceptibles d’être exploitées. »

Win32.Worm.Downadup.Gen (Conficker)
Le ver Downadup, aussi connu sous le nom de Conficker, se répand via des supports amovibles et une vulnérabilité Windows XP (désormais patchée). Il est capable de télécharger  et d’exécuter une variété d’autres fichiers et de désactiver le logiciel de sécurité, tout en empêchant l’utilisateur d’accéder aux sites de sécurité, de lancer le PC en mode sans échec ou autres.

Gen:Variant.Buzy.298 (Ramnit)
Ce ver, qui fait partie de la famille de malwares Win32/Ramnit, se propage via des supports amovibles, des kits d’exploits ou encore couplé dans des applications indésirables (de type adware). Il est capable de télécharger et d’installer un autre malware.

Étude basée sur les informations techniques issues des chercheurs en malwares, Dragos Gavrilut et Alex Baetu.

Les collaborateurs, première menace pour les données de l’entreprise ?

Selon une récente étude[1] réalisée en France, les salariés seraient très confiants quant à la sécurité informatique au sein de leur entreprise. En effet, seuls 36% d’entre eux pensent qu’elle a déjà été la cible de hackers alors qu’en réalité, 90% des organisations reconnaissent avoir déjà subi une attaque. En outre, 85% des personnes interrogées estiment que leur entreprise est bien protégée contre les cyber-attaques et les hackers.

Des résultats qui révèlent une importante contradiction entre la perception des employés et la réalité des risques actuels qui planent sur les ressources et les données d’une organisation alors que les menaces se multiplient et sont de plus en plus sophistiquées. Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, a fait les commentaires suivants : « Ces chiffres sont surprenants dans la mesure où les affaires de faille de sécurité et de vol de données massifs font très régulièrement la une des médias depuis quelques mois. Ce sentiment de confiance représente une véritable porte ouverte aux hackers car si les collaborateurs n’ont pas conscience des risques qui planent sur les données et les ressources de l’entreprise, il y a fort à parier pour que les bonnes pratiques et les procédures essentielles en matière de sécurité ne soient pas non plus appliquées, voire négligées ».

En outre, ce n’est pas parce qu’une entreprise est protégée qu’elle ne subira pas d’attaque, ce que semblent pourtant penser les employés interrogés. En effet, des hackers qui souhaitent pénétrer au sein d’un système d’information finiront tôt ou tard par y parvenir, même si cela prend du temps.

Pour que les collaborateurs aient une perception en adéquation avec la réalité, les entreprises doivent impérativement poursuivre leurs efforts pour les sensibiliser aux cyber-risques, aussi bien pour leurs données personnelles que pour celles de l’organisation, ainsi qu’aux conséquences préjudiciables que peut entrainer une fuite de données. La formation de l’ensemble des membres d’une organisation aux risques, aux différents types d’attaques potentielles ainsi qu’à l’application systématique des bonnes pratiques représentent la base pour initier une stratégie globale de sécurité efficace. Le contrôle d’accès, la vigilance relative aux emails ainsi que le renouvellement régulier des mots de passe font notamment partie des mesures indispensables. En outre, les responsables de la sécurité doivent mettre en place un dispositif de sanction pour les employés qui ne respectent pas les règles imposées par l’entreprise, pour une meilleure implication mais aussi pour engager leur responsabilité.

Selon l’étude Capgemini, 28% des personnes interrogées estiment que la politique de sécurité informatique de leur société n’est pas vraiment claire, voire pas du tout, et 39% déclarent ne pas la connaître. Ces résultats révèlent un manque d’information et peut-être un manque d’implication de la part des directions à se saisir de ces problématiques auquel les entreprises doivent rapidement remédier. Pour les entreprises qui ne possèdent pas forcément les ressources en interne (un CSO par exemple, responsable principal de la sécurité), l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et la Confédération Générale du Patronat des Petites et Moyennes Entreprises (CGPME) ont publié en mars dernier un guide des bonnes pratiques pour les PME. Cette excellente initiative répond à l’urgente nécessité de sensibiliser les salariés aux conséquences qui peuvent résulter d’une simple négligence et des règles de base à respecter, et aide les organisations en leur proposant une expertise adaptée à leurs besoins. Nous les encourageons donc vivement à partager ce guide en marge de leur stratégie globale de sécurité pour une meilleure information, prévention et prise de conscience des risques qui conduiront à l’adoption des bons réflexes.

La contradiction entre la perception de la cyber-sécurité par les salariés et la réalité met en avant le fait que l’humain reste l’un des maillons faibles d’une organisation. Les hackers le savent très bien, c’est la raison pour laquelle ils sont à l’affût du moindre faux pas. Dans ce contexte, la protection des données et des ressources représente aujourd’hui un véritable défi pour les entreprises. Il est donc primordial de faire prendre conscience aux employés que les cyber-risques sont réels, que les attaques ne sont pas uniquement portées sur les grandes organisations connues, et qu’ils peuvent eux-mêmes en être à l’origine. Avec une plus grande implication de la direction générale pour la formation de l’ensemble des collaborateurs, associée aux initiatives des autorités régissant la sécurité informatique, les entreprises vont pouvoir renforcer la protection de leurs données ainsi que l’efficacité de leur politique de sécurité, un enjeu majeur à l’heure où les cyber-attaques sont devenues monnaie courante.

[1] Etude « La Cybersécurité vue par les collaborateurs » menée par Opinion Way pour Capgemini auprès d’un échantillon de 1010 salariés français de bureau d’entreprises privées en mai 2015

Cyber-sécurité : éviter la menace interne en surveillant les portes du royaume

Les récentes cyberattaques de grande envergure telles que le récent « cyber hold-up » via le malware Carbanak à l’encontre des établissements bancaires ou encore celle qui a permis la révélation de la fraude fiscale HSBC par son ex-informaticien Hervé Falciani, rappellent que les menaces internes sont de plus en plus présentes. Les hackers ne cessent d’affiner leurs techniques de piratage pour garder une longueur d’avance sur les mesures mises en place par les organisations. Leur atout majeur : le manque manifeste de vigilance autour des pratiques en interne de la plupart des organisations. La tâche des hackers s’en trouve donc simplifiée, puisque des techniques simples et classiques pour infiltrer les comptes à hauts pouvoirs de l’entreprise suffisent à bouleverser toute une structure.

Aujourd’hui, les pirates s’infiltrent insidieusement dans les systèmes et s’y installent aussi longtemps que nécessaire pour récolter les données qu’ils convoitent. Les techniques varient et si elles se renouvellent, les vieux schémas restent de mise. Dans le cas de HSBC par exemple, très semblable à l’affaire Snowden, la révélation des Swissleaks a été perpétrée par un ex-informaticien de la banque hongkongaise ayant eu accès aux données des clients en situation de fraude fiscale. Au-delà des clauses de confidentialité auxquelles sont soumis les employés d’une entreprise, ce cas de figure rappelle la nécessité de surveiller les accès des employés aux données de l’entreprise, et notamment à celles qui ne dépendent pas de leur champ d’intervention. Il en est de même pour tout individu extérieur à l’organisation.

De plus, une surveillance accrue de l’activité en interne peut permettre de détecter des tentatives d’intrusion en cours. En effet, l’attaquant motivé trouvera coûte que coûte un moyen de s’infiltrer dans le système et un minimum d’attention permet parfois aux employés d’identifier ces tentatives qui ne sont pas toujours discrètes. La récente cyberattaque relative au malware Carbanak confirme que les hackers développent des méthodes de plus en plus sophistiquées pour rendre leurs faux emails aussi crédibles que possibles. Dans le cas de Carbanak, les attaquants ont pu copier un ver informatique inséré dans la pièce jointe de mails personnalisés et se frayer un chemin jusqu’aux caméras de sécurité des banques visées. Ils ont ainsi pu visionner les vidéos et copier l’ensemble des démarches des employés pour accéder aux comptes des clients.

La sensibilisation des équipes internes permet d’éviter ce type de situations comme cela a été récemment le cas pour Le Monde où les employés ont détecté plusieurs tentatives d’intrusion conduites via des techniques de phishing, de mails de spams et de dénis de services ; leur mobilisation combinée à un système de sécurité efficace ont contribué à détecter les signes précurseurs d’une attaque et à stopper les hackers avant qu’il ne soit trop tard. Car une fois à l’intérieur du système, les hackers se concentrent sur le détournement et l’exploitation des comptes utilisateurs. Ils se tournent notamment vers les comptes administrateurs détenant des accès privilégiés aux données critiques, qui sont en général encore moins bien surveillés que les comptes des employés, constituant ainsi une zone d’ombre privilégiée par les hackers pour agir sur le long terme en toute discrétion. Ils peuvent ainsi se déplacer à travers le réseau, accéder aux systèmes critiques et exfiltrer les données préalablement volées.

Aujourd’hui, les employés tendent à devenir un point d’entrée incontournable pour les attaques ciblées, il est donc indispensable que les organisations tiennent compte de la menace interne et surveillent à la fois les points d’entrées sensibles, respectent les bonnes pratiques et restent en alerte face aux signaux précurseurs d’attaques. Quel que soit l’objectif final d’une cyberattaque, les chemins empruntés sont souvent les mêmes, sachant que les hackers visent la plupart du temps la voie royale que sont les comptes à privilèges pour parvenir à leurs fins. (Par Olivier Mélis, Country Manager France chez CyberArk pour DataSecurityBreach.fr)

Le Botnet ZeroAccess Générant des Bitcoins a été la Principale Menace au premier trimestre 2013

Le Botnet ZeroAccess Générant des Bitcoins a été la Principale Menace au premier trimestre 2013 Fortinet, l’un des leaders de la sécurité réseau haute-performance, a communiqué à DataSecurityBreach.fr sa nouvelle recherche sur les principales menaces menée par FortiGuard au cours de la période du 1er Janvier au 31 Mars 2013. Data Security Breach a observé que le botnet ZeroAccess générant des Bitcoins, a été la principale menace de ce trimestre d’après les données recueillies par les boitiers FortiGate situés à travers le monde. Le rapport livre également une analyse des cyber-attaques de la Corée du Sud ainsi que deux nouvelles variantes d’adware sur les appareils Android au cours des 90 derniers jours.

ZeroAccess ne montre aucun signe de ralentissement “Au premier trimestre 2013, nous avons vu les propriétaires du botnet ZeroAccess assurer et augmenter le nombre de bots sous son contrôle,” déclare à dataSecurityBreach.fr Richard Henderson, stratégiste de sécurité et chercheur en menaces au sein de FortiGuard Labs de Fortinet. “Au cours des derniers 90 jours, les propriétaires de ZeroAccess ont envoyé à leurs hôtes infectés 20 mises à jour logicielles.”

ZeroAccess est la principale menace en matière de botnets que l’équipe a observé. ZeroAccess est principalement utilisé pour la fraude par clic et la création de Bitcoins. La valeur de la monnaie électronique, décentralisée et basée sur l’open source, continue à exploser, ce qui signifie probablement que la somme d’argent  qui est générée par ZeroAccess se chiffre en millions de dollars ou plus. “Comme la popularité et la valeur de Bitcoin augmente, nous pourrions voir d’autres propriétaires de botnets tenter de les utiliser à l’identique ou pour perturber le marché des Bitcoins,” poursuit Henderson.

En Mars et Avril, Mt. Gox, la plus grande bourse d’échange Bitcoin du monde, a lutté contre une attaque continue par déni de services distribués  (DDoS) visant à déstabiliser la devise et/ou à en profiter. L’analyse de ZeroAccess par FortiGuard Labs, qui peut charger des modules DDoS sur les machines infectées, révèle que le botnet ne dispose pas actuellement d’un module DDoS attaché à son arsenal. Ceci indique que d’autres propriétaires de botnets tentent de profiter des fluctuations de la devise Bitcoin.

Le développement de nouvelles infections ZeroAccess est resté régulier au cours des 90 derniers jours. Depuis Août 2012, FortiGuard Labs surveille activement ZeroAccess, et l’équipe a constaté une croissance quasiment linéaire en matière de nouvelles infections. Plus récemment, l’équipe a noté 100 000 nouvelles infections par semaine et près de 3 millions d’adresses IP uniques rapportant des infections. On estime que ZeroAccess pourrait générer à ses propriétaires jusqu’à 100 000$ par jour en recettes publicitaires frauduleuses.

L’Attaque Wiper Touche les Entreprises Sud Coréennes Une attaque massive de malwares ciblant les institutions financières et réseaux de télévision Sud Coréens en Mars a causé d’énormes dommages, détruisant des milliers de disques durs. FortiGuard Labs, s’appuyant sur son partenariat avec les secteurs publics et privés en Corée du Sud, a découvert des informations relatives à la nature de l’attaque et à la façon dont le malware s’est propagé. La recherche de l’équipe montre que les assaillants ont réussi à reprendre le contrôle des systèmes de gestion des correctifs et utiliser la nature fiable de ces systèmes pour distribuer des malwares dans les réseaux de leurs cibles. Le nettoyage et la remise en état continuent, et les coupables responsables de ces faits restent non identifiés.

Deux Nouvelles Variantes d’Adware se Propageant sur les appareils Android Deux nouvelles variantes d’adware sur les appareils Android, Android.NewyearL.B et Android.Plankton.B, ont provoqué un grand nombre d’infections mondiales au cours des 90 derniers jours. “Les nouveaux kits de publicité que nous avons observé indiquent que les auteurs font de leur mieux  pour éviter la détection,” déclare à datasecuritybreach.fr David Maciejak, chercheur sénior de FortiGuard Labs chez Fortinet. “Il est également possible que Newyear et Plankton soient créés par le même auteur, mais maintenus distincts afin de générer plus d’infections.” Les deux  malwares sont intégrés dans diverses applications et peuvent afficher des publicités, pister les utilisateurs à travers le numéro IMEI du téléphone et modifier l’écran du téléphone.

La forte augmentation d’adware sur Android peut très vraisemblablement être attribuée aux utilisateurs qui croient installer des applications légitimes contenant un code embarqué d’adware,” déclare à data security Breach Guillaume Lovet, Responsable Senior à FortiGuard Labs. “Cela indique que quelqu’un ou un groupe a été capable de monétiser ces infections, probablement par le biais de programmes illicites d’affiliation publicitaires.” Les utilisateurs peuvent se protéger en prêtant une attention particulière aux droits demandés par l’application au moment de l’installation. Il est également recommandé de télécharger des applications mobiles qui ont été très bien notées et vérifiées.