Archives par mot-clé : piratage

Valeur ou vanité, quelle est vraiment la promesse de l’Internet des Objets ?

« Vanité des vanités, tout est vanité. » dit l’Ecclésiaste. Ces mots prononcés il y a des milliers d’années pourraient bien décrire les appareils connectés en ce moment, ou peut-être pas. Les brosses connectées et autres appareils du genre ont-ils réellement de la valeur ?

Les analystes ont tranché et classent ainsi les objets connectés en deux groupes essentiels : valeur ou vanité. L’appareil apporte-t-il réellement de la valeur à l’utilisateur ou ne sert-il qu’à rendre plus beau ou plus intéressant ? ; la liste ressemble donc à cela :
• Les objets connectés axés sur la valeur : les caméras, les thermostats, les appareils de sport, …
• Les objets connectés axés sur la vanité : les chaussettes intelligentes, les tétines connectées, les bagues intelligentes, …

Effectivement, c’est une liste subjective mais il faut bien commencer quelque part. Après tout, lorsque vous essayez une Lamborghini, on vous demande ce que vous ressentez au volant et non pas combien de secondes vous avez gagné sur votre trajet du matin.

Mais qui sont les acheteurs d’appareils connectés, qu’ils soient tendance ou sur le marché depuis quelques années ? Comment les gens décident-ils de ce qui finit ou non dans leur panier ? Comme pour tous les achats, de nombreux facteurs entrent en ligne de compte, mais si l’on simplifie les choses, il reste deux grands groupes d’utilisateurs :

• Les « early adopters » qui ont de grandes attentes à partir du moment où ils achètent un nouveau gadget. Une fois l’achat effectué, ils utilisent leur appareil très fréquemment mais cela ne dure pas longtemps. Puis, dès qu’un nouvel appareil fait son apparition dans le commerce et attire l’attention de l’utilisateur, l’ancien gadget finit dans le tiroir. Et retrouve les chaussettes à carreaux. Je suis sûr que les neurologues diront que ce genre d’obsession pour un objet a les mêmes effets sur le cerveau qu’une aventure amoureuse.

• Les autres utilisateurs qui réagissent moins sur le coup de l’impulsion. Ils font attention au rapport qualité/prix et se posent souvent des questions sur la sécurité. Lorsqu’ils achètent un objet connecté, ils pensent à la valeur, au long terme, et s’attendent à un retour sur investissement précis, que ça soit en matière d’économies financières ou de confort. Alors qu’un early adopter achète quelque chose parce que cela fait bien et qu’il a l’impression qu’il en a vraiment besoin (même s’il ne sait pas exactement pourquoi), l’utilisateur normal n’achète pas sur le coup de l’impulsion. Du moins pas les appareils connectés. Il évalue, lit des tests et des critiques de produit, demande peut-être même conseil à ses proches pour savoir si l’achat en vaut la peine.

Alors… quels appareils connectés valent la peine d’être achetés ?

C’est une question légitime, mais à laquelle il est difficile de répondre. Vous avez peut-être déjà entendu le proverbe : « La beauté est dans l’œil de celui qui regarde ». Il en va de même pour la valeur. Voici cinq catégories principales d’objets connectés que vous pourriez trouver intéressants ou utiles. Vous en possédez peut-être déjà un dans la liste ci-dessous ou vous ne saviez peut-être pas qu’ils existaient en version connectée !

• Les caméras connectées
Elles vous permettent de garder un œil sur votre nourrisson lorsque vous êtes dans la pièce d’à côté ou de surveiller votre domicile lorsque vous êtes en vacances. Exemples de produits : D-Link, Nestcam.
• Les thermostats
Ces thermostats sont électroniques, programmables, connectés à votre réseau WiFi et apprennent de vos habitudes. Ils permettent d’optimiser le chauffage et la climatisation de domiciles ou d’entreprises et de faire des économies d’énergie. Soyons honnêtes, qui n’en veut pas un ? Exemples de produits : Nest, Ecobee, Netatmo
• Les assistants personnels
Ils font fureur ! Ils sont capables de répondre à votre voix, de lire de la musique, de faire des listes, de programmer des réveils, de diffuser des podcasts, de lire des livres audios et de vous donner des informations en temps réel sur la météo, la circulation et les actualités. Ils peuvent même faire vos courses pour vous, même si vous ne vouliez rien au départ. Exemples de produits : Amazon Echo et Alexa, Google Home
• Les prises et interrupteurs
Allumez ou éteignez les lumières et l’électricité chez vous depuis n’importe où, que ça soit depuis l’autre bout de la maison, le jardin ou le bout du monde. Exemples de produits : WeMo, Philips Hue
• Les appareils de sport
Combien avez-vous marché ou couru ? Combien de calories avez-vous brûlées ? Qu’en est-il de votre fréquence cardiaque ? Un appareil de fitness a la réponse à toutes ces questions, peut-être même plus. Exemples de produits : Fitbit, Withings, Garmin

Tous les appareils énumérés ci-dessus sont considérés comme utiles par les utilisateurs « normaux » mais ils comportent leur lot de risques, comme lorsque Alexa s’est lancée dans une session de shopping ou quand les caméras connectées ont été utilisées pour mener des attaques DDoS d’ampleur. La question primordiale est peut-être celle-ci : la valeur l’emporte-t-elle sur les risques et savez-vous comment vous protéger ? C’est à vous de décider. (Avira)

Le cyberespionnage via les APT devient le pire cauchemar des entreprises

En France, plus de deux tiers (71 %) des DSI estiment que leur entreprise pourrait « certainement » être la cible de campagnes de cyberespionnage utilisant des menaces persistantes avancées (Advanced Persistent Threats – APT) selon une récente étude.

Les APT, des cyber-outils complexes conçus sur mesure pour attaquer des grandes entreprises ou organismes d’état, et collecter discrètement des données sensibles sur de longues périodes. 27 % des personnes interrogées considèrent que leur infrastructure informatique pourrait « éventuellement » être la cible d’actions de cyberespionnage de haut niveau visant à exfiltrer des informations de manière systématique.

Seule une petite minorité n’est pas préoccupée par les APT

L’année dernière, des entreprises de  grande envergure ont été confrontées à un nombre croissant d’incidents et de violations de sécurité, avec une augmentation significative des APT et des attaques ciblées visant aussi bien les entreprises que les entités gouvernementales (telles que APT-28 et, plus récemment, Netrepser). En fait, moins de 2% des DSI considèrent que les APT ne sont pas une menace réelle pour leur environnement de travail. Les inquiétudes sur la sécurité vont en se multipliant, et la question est de plus en plus souvent traitée par les conseils d’administration des entreprises. Les hauts responsables de services informatiques, tout comme les membres des conseils d’administration s’en préoccupent de plus en plus, non seulement parce qu’une violation de la sécurité peut leur coûter cher, mais aussi parce que le futur des entreprises est en jeu quand des données sensibles sont dérobées par des pirates informatiques.

Les risques ne sont pas toujours visibles, mais ils sont bien présents

Étonnamment, si 42% des DSI ont déclaré qu’il leur faudrait entre quelques semaines et un mois pour repérer une APT, 23% d’entre eux pensent qu’il leur faudrait entre deux mois et plus d’un an pour détecter les menaces modernes les plus sophistiquées. Preuve que de nombreux professionnels interrogés sont au courant et craignent ces menaces, mais qu’ils pensent ne pas être suffisamment bien protégés pour les détecter et les bloquer.

Selon Liviu Arsene, Analyste des e-menaces chez Bitdefender, « les cyberattaques peuvent passer inaperçues pendant des mois et, dans la plupart des cas, les violations proviennent de failles Zero-day ou de malwares s’attaquant au noyau du système. Ce sont précisément ces vulnérabilités que ciblent les APT, car elles leur évitent d’être détectées. Les exploits au niveau du noyau et les rootkits peuvent échapper aux solutions de sécurité traditionnelles pour endpoints et prendre le contrôle total du système d’exploitation. »

Les menaces persistantes les plus avancées ne se limitent pas aux attaques soutenues par des États : les entreprises peuvent également devenir les victimes de cybercriminels qui exploitent des vulnérabilités Zero-day pour diffuser des malwares extrêmement ciblés conçus pour les espionner et voler des éléments de propriété intellectuelle. L’enquête de Bitdefender confirme que les RSSI considèrent leurs concurrents comme les plus susceptibles d’attaquer leurs entreprises, dans le cadre d’un espionnage professionnel (66%), suivis des hackers (57%).Les cybercriminels soutenus par des Etats, les agences gouvernementales et les personnes en interne arrivent respectivement en 3ème, 4ème et 5ème position (51, 41 et 30%).

Les risques sont réels, et les entreprises doivent les limiter

76 % des responsables de services informatiques français estiment que la pire conséquence à craindre d’une attaque par une APT est d’ordre financier. En deuxième position on retrouve l’atteinte à la réputation (66%), suivie de la faillite (51%). Parmi les risques les plus sinistres, citons également la guerre ou les cyber-conflits (24%) ; et même un décès par suicide ou attaque cardiaque (14%).

Les entreprises ont surtout peur de perdre des informations relatives à leurs clients (52%), suivies des informations financières (47%), des recherches sur de nouveaux produits (37%), des informations sur certains employés (35%), des informations et de caractéristiques de produits (34%), leur propriété intellectuelle (34%) et leurs recherches sur la concurrence (20%).

Ainsi, 94 % des conseils d’administration estiment que la cybersécurité est un sujet critique dans la gestion des risques de l’entreprise, avec des conséquences sévères sur leur situation financière et leur réputation si elle est négligée. Seuls 4% ne lui accordent pas encore une telle importance. La plupart des entreprises (58%) ont un plan de réponse aux incidents et un plan de reprise après sinistre dans le cas d’une attaque par APT ou d’une violation de sécurité massive, et 40% reconnaissent qu’elles sont en train d’élaborer une stratégie en la matière. Moins de 2% n’ont adopté aucune procédure de ce type à ce jour, et n’’envisagent pas de le faire dans le futur.

Une sécurité multi-couches est la meilleure solution

64% des responsables informatiques français interrogés perçoivent la défense multi-couches, associant plusieurs politiques de sécurité et outils conçus pour combattre les menaces et intrusions modernes, comme étant la meilleure défense contre les menaces persistantes avancées. Les audits de sécurité, les solutions de nouvelle génération, la sécurité traditionnelle et la surveillance des journaux ont également été mentionnés par plus d’un tiers des sondés. (Bitdefender)

SIG : Attaque contre la billetterie d’un club de basket Français

Un pirate informatique s’est attaqué à la billetterie web du club de basket SIG de Strasbourg. Bilan, plus possible d’acquérir sa place pour la finale Pro A.

Quelles étaient les motivations du pirate informatique ayant visé la billetterie du basket club de Strasbourg, le SIG ? Mettre la main sur les données des supporters ? Ou tout simplement perturber le fonctionnement de la billetterie du club pour empêcher les fans du SIG de venir supporter leur club ? Toujours est-il que, comme l’explique La Dernière Nouvelles d’Alsace, l’ouverture de la billetterie pour le match 3 de la finale de Pro A contre Chalon s’est retrouvée retardée par ce qui semble être une attaque DDoS, ou une injection SQL trop violente. Bilan, le système c’est mis en panne et a généré un message qui a empêchait les fans d’acheter leurs places : « Erreur de communication avec le serveur d’authentification ».

Afin de refuser tout comportement frauduleux la vente a été suspendue. Cette cyber-attaque n’a eu et n’aura aucune incidence sur la sécurité de vos paiements confirme le SIG Strasbourg.

Piratage de données ? 1,5 million de données étudiants à vendre sur le web

Piratage de données ? Numéros de téléphone, adresse électronique, … appartenant à plus d’1,5 million d’étudiants en vente sur le web.

Le piratage de données privées est une manne financière loin d’être négligeable pour les pirates informatiques. 1,5 million d’étudiants Indiens en font les frais, sauf que dans ce cas, il ne semble pas s’agir de données « piratées ». Depuis quelques jours, dans le Blackmarket, leurs données sont à vendre. Identités, adresses postales et électroniques, numéros de téléphone mobile, … sont commercialisées entre 13 et 800 euros ! D’après les échantillons qu’il est possible de trouver sur des sites tels que studentsdatabase.in, kenils.co.in et allstudentdatabase.in, les informations appartiennent à des étudiants ayant passé les tests d’entrée en MBA (santé et ingénierie) depuis 2009. Une fuite de données qui étonne en Inde d’autant plus que les sites n’expliquent pas d’où proviennent leurs informations qu’ils commercialisent.

L’affaire n’aurait pas connu un aspect public si des écoles de commerce n’achetaient pas les informations en question pour leurs démarchages. Il faut savoir qu’en Inde, tout comme en France, le collecte de données est illégale sans l’accord des personnes concernées pas cette collecte. En France, la loi Informatique et Liberté veille à ce sujet. Ce qui ne m’empêche pas de trouver, chaque jour, des milliers de données appartenant à des Français, oubliés/sauvegardés sur des sites Web sans aucun respect de la loi et de l’éthique. Autant de données que peuvent collecter des malveillants du web, qu’ils soient professionnels du marketing ou de « simples » pirates informatiques.

Hajime, un nouveau malware IoT aux 300 000 objets sous ses ordres

Hajime – un mystérieux malware IoT (Internet of Things) évolutif qui construit un botnet peer-to-peer géant. Récemment, le botnet s’est largement étendu, infectant des milliers d’appareils partout dans le monde. À date, le réseau compte près de 300 000 machines compromises et prêtes à travailler ensemble pour obéir aux consignes de leur donneur d’ordres. En attendant, la raison d’être de Hajime reste inconnue.

Hajime, qui veut dire « départ » ou « origine » en japonais, a montré ses premiers signes d’activité en octobre 2016. Depuis, il a évolué pour développer de nouvelles techniques de propagation. Le malware construit un gigantesque botnet peer-to-peer – un groupe décentralisé de machines compromises qui réalisent discrètement des attaques DDoS ou des campagnes de spam.

Cependant, Hajime n’est pas composé de code ou de fonctionnalités d’attaque – il contient uniquement un module de propagation. Hajime, une famille avancée et furtive, utilise différentes techniques – principalement des attaques par brute-force sur les mots de passe – pour infecter les machines. Ensuite, le malware prend des mesures variées pour se cacher des victimes. Et voici comment un appareil devient membre du botnet.

Hajime cible tous les types d’appareils. Cependant, les auteurs de ce malware se concentrent particulièrement sur les magnétoscopes numériques, suivis par les webcams et les routeurs.

Selon les chercheurs de Kaspersky Lab, Hajime évite plusieurs réseaux, y compris ceux de General Electric, Hewlett-Packard, des services postaux américains (US Postal Service), du Département de la Défense des États-Unis et un certain nombre de réseaux privés.

L’infection venait principalement du Vietnam (plus de 20%), puis Taiwan (près de 13%), le Brésil (approximativement 9%), au moment où la recherche de Kaspersky Lab a été effectuée.

La plupart des appareils compromis sont situés en Iran, au Vietnam et au Brésil.

Globalement, pendant la durée de ses recherches pas moins de 297 499 appareils uniques partageant la configuration de Hajime « Hajime intrigue particulièrement par sa raison d’être. Alors que son réseau d’objets compromise continue de grandir, son but reste inconnu. Nous n’avons trouvé de traces de sa présence dans aucune attaque ou autre activité malicieuse.. Cependant, nous conseillons aux propriétaires d’objets connectés de changer le mot de passe de leurs appareils au profit d’un mot de passe capable de supporter une attaque par brute-force, et de mettre à jour leur firmware lorsque c’est possible » précise Konstantin Zykov, Senior Security Researcher chez Kaspersky Lab.

Pirater une voiture connectée : Bosch corrige une faille dans son application mobile

Pirater une voiture connectée! Une faille dans l’outil Drivelog Connect de Bosch permettait de prendre la main sur une voiture connectée et d’arrêter son moteur, alors qu’elle était en marche.

Arrêter une voiture en marche ? Pirater une voiture connectée ? un fantasme informatique ? Le groupe de cyber-recherche Israélien Argus a détecté des lacunes de sécurité dans le dongle Bosch Drivelog Connector et dans son processus d’authentification utilisant l’application Drivelog Connect. Des vulnérabilités qui ont permis aux hackers de prendre le contrôle d’une voiture connectée par le Bluetooth. Une prise de contrôle des systèmes de véhicule essentiels à la sécurité via un dongle Bosch Drivelog Connector installé dans le véhicule.

Une vulnérabilité identifiée dans le processus d’authentification entre le dongle et l’application de smartphone Drivelog Connect a permis de découvrir le code de sécurité en quelques minutes et de communiquer avec le dongle à l’aide d’un appareil Bluetooth standard, tel qu’un smartphone ou un ordinateur portable. Après avoir accédé au canal de communications, il a été facile de reproduire la structure de commande et injecter des messages malicieux dans le réseau embarqué du véhicule.

Pirater une voiture connectée avec un smartphone

En contournant le filtre de messages sécurisé qui était conçu pour autoriser uniquement des messages spécifiques, ces vulnérabilités ont permis de prendre le contrôle d’une voiture en marche, ce qui a été démontré en arrêtant le moteur à distance. Une description technique complète de l’attaque est publiée dans le blog d’Argus. L’équipe d’intervention en cas d’incident de sécurité des produits (Product Security Incident Response Team, PSIRT) de Bosch a agi de manière décisive et immédiate pour éliminer ces vulnérabilités.

Il est important de noter que l’évolutivité d’une attaque malicieuse potentielle est limitée par le fait qu’une telle attaque requiert une proximité physique au dongle. Autrement dit, le dispositif attaquant doit être dans le rayon Bluetooth du véhicule. Qui plus est, une attaque initiale requiert le crack du code PIN pour un dongle donné et l’envoi d’un message CAN malicieux adapté aux contraintes du dongle et du véhicule. Un travail supplémentaire est également réalisé pour limiter encore plus la possibilité d’envoyer des messages CAN non désirés et sera déployé avec d’autres améliorations plus tard dans l’année.

Santé et sécurité : peut-on hacker le cœur humain ?

Les appareils utilisés dans le secteur de la santé et les failles de sécurité s’y trouvant inquiètent les chercheurs en sécurité.

Même la branche de la santé ne résiste pas à la tendance croissante de la mise en réseau. Cette interconnexion promet des avantages, autant pour les patients que pour les médecins et le personnel soignant. Mais à côté de ces annonces enthousiastes, on trouve des experts de sécurité qui mettent en garde contre des systèmes potentiellement non sécurisés. G Data tire la sonnette d’alarme.

L’Internet des objets en question

En août 2016, des chercheurs ont trouvé des failles de sécurité un produit connecté du fabricant St. Jude Medical, leader dans la production de stimulateurs cardiaques et défibrillateurs. Sur ce produit, un émetteur/récepteur permet une surveillance à distance des valeurs de l’appareil implanté. En fonction des valeurs, des actions à distances sur l’appareil sont possibles. Seul prérequis : le patient doit se trouver à proximité de l’émetteur. Mais des chercheurs ont démontrés qu’en exploitant certaines failles de sécurité, ils pouvaient également agir sur cet appareil.

Le fabricant a publié une mise à jour qui corrige les vulnérabilités. L’office américaine de contrôle des produits pharmaceutiques et alimentaires (FDA) a rendu l’information publique et informé le personnel médical tout comme les patients sur la mise à jour logicielle nécessaire.

Des failles de sécurité dans les appareils médicaux : rien de nouveau !

En 2015, un chercheur de sécurité allemand a repéré que les standards de sécurité des appareils médicaux dataient des années 1990. Il a pu désactiver la fonction respiratoire d’un appareil d’anesthésie connecté. Son rapport montre que via les failles de sécurité dans le logiciel de contrôle d’une pompe à insuline, les attaquants peuvent administrer une dose mortelle du médicament. La même chose est possible pour les pompes à transfusion utilisées dans les hôpitaux. Tous les appareils médicaux, modernes et connectés qui arrivent aujourd’hui sur le marché sont en retard sur le domaine de la sécurité. Une des raisons est la lenteur des procédures d’autorisations et de certifications.

Intégrer la sécurité dès la conception des appareils

Avec l’augmentation et la popularité croissante des ransomware, des nouveaux scénarios sont envisageables. Des attaquants pourraient demander des rançons en échange de quoi ils n’agiraient pas sur des appareils médicaux maintenant des patients en vie. Pour éviter cela, une coopération efficace entre chercheurs en sécurité et fabricants est indispensable, au niveau des appareils mais aussi au niveau des plateformes connectées qui centralisent les données des patients. Accélérer les processus de certifications est également nécessaire. Enfin, intégrer la sécurité dès la conception des produits « security by design » constitue une étape indispensable pour l’industrie médicale.

Piratage de banques polonaises, le voleur passe par le régulateur national

Piratage de banques ! Plusieurs institutions financières polonaises ont confirmé l’infiltration de leurs systèmes informatiques par un malware.

Piratage de banques ! Étonnante attaque informatique, surtout quelques jours après l’arrestation de neuf pirates Russes du groupe Lurk, professionnels de l’infiltration bancaire, dans les serveurs de plusieurs institutions financières polonaises. L’aspect intéressant de cette attaque, la partie social engineering. Les escrocs ont utilisé le régulateur financier polonais, la KNF, pour diffuser plusieurs logiciels malveillants.

Un porte-parole de la KNF a confirmé que les systèmes internes du régulateur avaient été compromis par des pirates « d’un autre pays« . Une fois dans les serveurs de la KNF, les pirates ont modifié un JavaScript (JS), puis ils ont écrit aux banques, leur proposant de venir visiter KNF. Une usurpation d’identité particulièrement efficace. Le JS malveillant téléchargeait plusieurs codes pirates, dont un cheval de Troie, dans les machines des visiteurs ciblés.

Le « bombe 2.0 » était caché sur des sites basés en Suisse (sap.misapor.ch) et en Inde (eye-watch.in). Afin d’éviter la propagation des logiciels malveillants, les autorités ont pris la décision de fermer l’ensemble du réseau de la KNF.

Du côté des banques, les personnels informatique des plus importantes banques du pays ont remarqué le trafic anormal associé à la présence d’exécutables sur plusieurs serveurs. Ironiquement, le KNF est l’organisme de réglementation qui surveille et promeut des mesures de sécurité a adopter dans les banques polonaises.

Les écoles bordelaises attaquées par un code malveillant

La moitié des écoles de Bordeaux victimes d’un étrange code malveillant.

Voilà qui est fâcheux ! Qui a cliqué sur le fichier joint qui a mis à mal l’informatique de quasiment la moitié des écoles de Bordeaux.  Une attaque « sans précédent » indique l’adjointe au maire en charge de l’éducation, Emmanuelle Cuny, dans les colonnes de Sud Ouest. A première vue, un ransomware qui s’est promené de machine en machine dans au moins 40 écoles sur les 101 du périmètres de la ville bordelaise.

Les données pédagogiques pourraient être perdues suite à cette infection selon le quotidien r. Espérons que le mot sauvegarde soit dans la bouche et le cahier des charges de la municipalité concernant les écoles maternelles et primaires de la ville.

A noter que l’Académie de Bordeaux a un contrat avec l’éditeur d’antivirus TrendMicro. Ce dernier  propose Internet Security dans « toutes les écoles du 1er degré, publiques et privées« . A première vue, tout le monde ne l’a pas installé. Une bonne formation ne fera pas de mal non plus !

Le site ZATAZ indiquait il y a peu des chantages informatiques ayant visé des écoles britanniques. Un pirate réclamait plus de 9000 euros à plusieurs établissements scolaires après avoir chiffré les données sauvegardées dans les ordinateurs des écoles.

Hôtels – Enquête sur une fuite de données pour le groupe IHG

Le groupe britannique InterContinental a lancé une enquête interne à la suite de la découverte de données bancaires de clients utilisées hors de ses hôtels.

L’InterContinental Hotels Group est une société britannique forte de 5000 hôtels de part le monde. Des marques prestigieuses allant du Kimpton, en passant par Indigo, Even Hotels, HuaLuxe, Crowne Plaza ou encore les Holiday Inn. Bref, une marque présente dans 100 pays.

En France, on trouve des Crowne Plaza, Intercontinental et autres Holiday Inn à Lille, Marseille, Lyon, ou Cannes. Le plus connu étant l’InterContinental Carlton Cannes haut lieu people lors du festival du cinéma.

Le chercheur Krebs a eu vent de plusieurs enquêtes en cours concernant une probable fuite de données visant IHG, et plus précisément ses Holiday Inn sur le territoire américain. Voici le message officiel de la société hôtelière britannique à ce sujet :

« IHG takes the protection of payment card data very seriously. We were made aware of a report of unauthorized charges occurring on some payment cards that were recently used at a small number of U.S.-based hotel locations.  We immediately launched an investigation, which includes retaining a leading computer security firm to provide us with additional support.  We continue to work with the payment card networks.

We are committed to swiftly resolving this matter. In the meantime, and in line with best practice, we recommend that individuals closely monitor their payment card account statements.  If there are unauthorized charges, individuals should immediately notify their bank. Payment card network rules generally state that cardholders are not responsible for such charges. »

Comme j’ai pu souvent le rappeler, les lieux de vacances ou professionnels sont de véritables nids de données pour les pirates. Je vous expliquais  comment il était simple de mettre la main sur des informations sensibles dans les ordinateurs d’hôtels, mais aussi comment des pirates avaient pris le pouvoir dans l’informatique d’hôtels en Tunisie. Depuis quelques mois, les fuites de données et autres piratages s’accumulent comme nous avons pu le voir avec les Hotels Kimpton, Trump, Hilton, Mandarin Oriental, Starwood, Hyatt ou encore des hôtels basés sur l’Île Maurice.

Piratage à l’OSCE

L’Organisation pour la sécurité et la coopération en Europe (OSCE) confirme avoir fait l’objet d’un incident majeur de sécurité informatique.

L’OSCE, Le chien de garde international chargé de la sécurité et des droits de l’homme, a confirmé avoir été victime d’une violation de sa sécurité informatique en novembre 2016.

Selon un porte-parole de l’Organization for Security and Co-operation in Europe, les systèmes de l’organisation sont désormais sûrs : « Nous avons reçu de nouveaux mots de passe« .

Devinez qui est montré du doigt ? Le journal Le Monde indique qu’il s’agit, selon une source, de pirates Russes, très certainement le groupe APT28 – qui est aussi connu sous le nom de Fancy Bear, Pawn Storm ou Sofacy Group.

Espérons que cette source soit mieux renseignée que ceux qui annonçaient que les Russes avaient visé plusieurs états américains lors des élections américaines. Des pirates à la solde de Poutine qui n’étaient en fait que des « tests » de l’U.S. Department of Homeland.

Nouveau piratage Yahoo : Des Français concernés

Un nouveau piratage informatique de Yahoo! vient d’être confirmé par le géant de l’Internet Américain. Cette fois, 1 milliard de données clients sont concernées. Des Francophones sont visées par cette fuite de données massive.

Depuis quelques heures, Yahoo!, partout dans le monde, écrit aux clients de ses services (mails, …) concernés par une nouvelle fuite de données concernée par un nouveau piratage de données. Comme le confirmait ZATAZ.COM depuis le mois d’août 2016, les attaques et fuites d’informations sensibles appartenant au géant américain ne font que commencer tant les failles et « tuyaux percées » étaient nombreux.

En novembre 2016, les autorités policières ont fourni à Yahoo des fichiers de données qu’un tiers déclarait être des données d’utilisateurs Yahoo. « Nous avons analysé ces données avec l’aide de spécialistes externes et avons découvert qu’il s’agit de données d’utilisateurs Yahoo » indique le courriel envoyé aux internautes Francophones concernés. D’après les résultats de l’analyse plus approfondie qu’ont réalisé les spécialistes sur ces données, un tiers (1 seul ?) non autorisé a dérobé en août 2013 des données associées à un ensemble de comptes utilisateur « y compris le vôtre » annonce la missive. « Nous n’avons pas été en mesure d’identifier l’intrusion associée à ce vol. Nous avons des raisons de penser que cet incident est probablement distinct de celui que nous avons révélé le 22 septembre 2016« .

Il est possible que les informations dérobées dans les comptes utilisateur concernent des noms, des adresses mail, des numéros de téléphone, des dates de naissance, des mots de passe cryptés (au format MD5) et, dans certains cas, des questions/réponses chiffrées ou non chiffrées concernant la sécurité. Votre compte ne comporte peut-être pas toutes ces données. Les recherches indiquent que les informations dérobées n’incluent ni les mots de passe en texte clair, ni les données de carte de paiement, ni les informations concernant les comptes bancaires. Les données de carte de paiement et les informations relatives aux comptes bancaires ne sont pas stockées dans le système que nous pensons être concerné. Pour ce qui concerne le mot de passe, un « simple » hash MD5 qui se « crack » très rapidement si votre mot de passe est connu des bases de données.

Nous vous invitons à suivre ces recommandations concernant la sécurité :

  • Changez vos mots de passe et les questions/réponses de sécurité de vos autres comptes si vous avez repris des informations identiques ou semblables à celles que vous utilisez pour vous connecter à Yahoo.
  • Examinez vos comptes à la recherche de toute trace d’activité suspecte.
  • Faites preuve de la plus grande prudence si vous recevez des mails non sollicités vous demandant de fournir des informations personnelles ou qui vous envoient sur une page Web où vous devez indiquer des informations personnelles.
  • Évitez de cliquer sur des liens ou de télécharger des pièces jointes à des mails suspects.

Par ailleurs, pensez à utiliser une clé de compte Yahoo : cet outil d’authentification simple évite d’avoir à utiliser un mot de passe pour vos connexions avec Yahoo. Je vous conseille aussi, mais je ne suis pas le seul, à utiliser la double authentification, dont celle proposée par Yahoo! depuis peu ou encore Dailymotion, Google, Linkedin, Facebook, Twitter, Amazon ou encore votre propre site Internet.

La Loterie nationale obligée de changer le mot de passe de 26.500 joueurs

Camelot, l’opérateur en charge de la Loterie Nationale du Royaume-Uni, a dû réinitialiser les mots de passe de ses joueurs après la découverte du piratage de 26.500 comptes d’utilisateurs.

Camelot, l’opérateur de la Loterie Nationale du Royaume-Uni, a annoncé que 26.500 comptes de joueurs en ligne ont été piratés, probablement en raison de mot de passe utilisés sur d’autres sites par ses propres clients. Camelot ne pense pas que ses propres systèmes ont été compromis. Pour l’entreprise, le fautif est le client qui utilise les mêmes identifiants sur plusieurs sites Internet. L’un d’eux a dû être piraté, bilan, l’accès au compte Camelot était facilité pour les pirates. Camelot possède 9,5 millions de joueurs. Les 26.500 comptes semble sortir tout droit des dernières fuites de données en date, DailyMotion en tête. Camelot confirme que 50 comptes clients ont été malmenés ces dernières heures. (SCM)

300.000 dollars volés à un investisseur de monnaie dématérialisée

Un pirate informatique vole et liquide pour 300.000 dollars de monnaie dématérialisée Augur à une société de capitale risque.

Un important investisseur de l’industrie des blockchains vient de perdre plus de 300.000 dollars après le passage d’un pirate informatique. 110.000 REP (plus de 300.000 $) dérobés sous forme de monnaie numérique Augur. Les pirates ont aussi mis la main sur une somme inconnue supplémentaire en Ether, la crypto-monnaie Ethereum, détenue par Bo Shen, le fondateur de la société VC Fenbushi Capital.

Une intéressante manipulation prouvant qu’il existe actuellement une équipe de pirates ciblant une liste d’investisseurs Augur dans le cadre d’une série d’attaques qui ont eu lieu ces dernières semaines. Les pirates ont expliqué leur action par une phrase claire comme de l’eau de roche : « Pour l’argent, évidemment« . Logique ! [CD]

Un cheval de Troie a leurré les clients de 18 banques françaises

Les Français sont de plus en plus mobiles et veulent pouvoir effectuer certaines activités quotidiennes où qu’ils se trouvent. Par exemple, selon un récent sondage du Conseil Supérieur de l’Audiovisuel (CSA), 92 % des personnes possédant un téléphone portable l’utilisent pour consulter leurs comptes bancaires. Bien que ces applications soient utiles à de nombreux égards, elles représentent aussi des portes dérobées pour les hackers à l’affût de données sensibles.

D’ailleurs, une déclinaison du cheval de Troie GM Bot, appelé aussi Acecard, Slembunk et Bankosy, vise actuellement les clients de plus de 50 banques dans le monde, dont 18 en France, y compris BNP Paribas, la Société Générale ou encore Le Crédit Agricole. Rien que le trimestre dernier, GM Bot a pris pour cible des centaines de milliers d’utilisateurs de portables. Nikolaos Chrysaidos, Responsable des menaces et de la sécurité mobile chez Avast, revient sur les procédés de ce malware nuisible et sur les façons de s’en protéger : « GM Bot est un cheval de Troie qui ressemble, à première vue, à une application inoffensive. Il est surtout téléchargeable sur des plateformes tierces de téléchargement d’applications qui disposent de contrôles de sécurité bien moins pointus que sur ceux des stores d’Apple et de Google. GM Bot se déguise souvent en une application dont le contenu est réservé aux adultes ou à un plug in, comme Flash ».

Une fois téléchargée, l’icône de l’application disparait de la page d’accueil de l’appareil, mais cela ne signifie pas pour autant que le programme malveillant a quitté le terminal. L’application demande alors constamment des identifiants de connexion divers et variés. S’il parvient à se les procurer, le malware peut rapidement causer de sérieux dégâts.

Doté des identifiants de connexion, GM Bot peut contrôler tout ce qui se passe sur l’appareil infecté. Le malware s’active quand une application préalablement listée s’ouvre, liste comprenant principalement des services bancaires. Lorsque l’utilisateur ouvre l’une de ces applications, GM Bot affiche un cache ressemblant à la page d’accueil au lieu d’ouvrir la page de l’appli légitime. Berné, la victime rentre ses identifiants sur ce cache, et ses informations sont directement envoyées aux cybercriminels. Cette technique d’ingénierie sociale est très souvent utilisée pour tromper l’utilisateur et l’inciter à révéler ses données personnelles.

Pire encore ! GM Bot peut intercepter les SMS et est donc en mesure de voler les codes d’authentification à deux facteurs lors d’une transaction sans que le propriétaire ne s’en rendre compte. Ainsi, le malware récupère et partage des informations tels que le cryptogramme de sécurité au verso de la carte bancaire, les codes reçus par SMS, ou encore les numéros de téléphones.

Le code source du cheval de Troie GM Bot a fuité en décembre 2015, il est donc désormais à la portée de n’importe qui possédant quelques notions d’informatique.  Les cybercriminels peuvent même aller plus loin et ajuster le code du malware afin d’obtenir plus d’informations. Cela signifie que de nouvelles versions aux capacités changeantes sont constamment créées. Dans certains cas, par exemple, les hackers infiltrés demandent aux victimes d’envoyer les scans recto-verso de leur carte d’identité.

Heureusement, il existe des solutions efficaces qui détectent et bloquent le cheval de Troie et tout type de logiciel malveillant avant que celui-ci ne compromette l’appareil de l’utilisateur. Toutefois, il est également crucial de télécharger toutes ses applications depuis des plateformes sûres et sécurisées, telles que l’App Store d’Apple et le Play Store de Google. Les autres sources proposent certes des applications qu’on ne trouve pas toujours sur les plateformes de confiance ou offrent des applis habituellement payantes, mais cela est bien souvent trop beau pour être vrai. Enfin, les utilisateurs doivent être vigilants et ne pas donner les droits administrateurs de leurs applis à n’importe qui. Cette mesure est capitale car la personne qui détient ces droits est alors en mesure de contrôler l’appareil via l’appli en question.

Les auteurs des menaces, maîtres des faux indices

Les auteurs d’attaques ciblées emploient un éventail de plus en plus vaste de techniques de leurre afin de brouiller les pistes, en implantant dans leur code de « faux drapeaux » (horodatage, chaînes de caractères, malware, etc.) et en opérant sous couvert de groupes fictifs.

Tout le monde souhaite connaître l’identité des groupes qui se cachent derrière les cyberattaques ciblées alors même que la réponse est difficile, sinon impossible, à donner avec précision. Afin de démontrer le niveau croissant de complexité et d’incertitude lié à l’identification des responsables, deux experts de Kaspersky Lab publient un article révélant comment les auteurs des menaces les plus avancées emploient des « faux drapeaux » (des indices falsifiés) pour leurrer leurs victimes et les chercheurs en sécurité.

Voici à cet égard les indicateurs les plus utilisés par les chercheurs pour identifier la provenance des attaques, ainsi que des exemples de leur manipulation par un certain nombre d’auteurs de menaces connues :

Horodatage
Les fichiers malveillants comportent la date et l’heure de leur compilation. Si des échantillons sont recueillis en nombre suffisant, cela peut permettre de déterminer les horaires de travail des développeurs et donc leur fuseau horaire. Or ce type d’horodatage est incroyablement facile à falsifier.

Marqueurs linguistiques
Les fichiers malveillants contiennent souvent des chaînes de caractères et des chemins de débogage susceptibles de fournir des indications sur l’identité des auteurs du code. L’indice le plus évident est la ou les langues utilisées ainsi que le niveau de maîtrise linguistique. Les informations de débogage peuvent également révéler un nom d’utilisateur ou encore les noms internes donnés aux projets ou campagnes. En outre, les documents de phishing peuvent regorger de métadonnées enregistrant des informations de lieux à l’insu de l’auteur et risquant de trahir l’ordinateur utilisé.

Or les auteurs des menaces peuvent aisément manipuler ces marqueurs linguistiques dans le but de leurrer les chercheurs. Par exemple, le malware Cloud Atlas renferme des chaînes en arabe dans la version BlackBerry, des caractères hindi dans la version Android ou les mots « JohnClerk » dans le chemin de projet pour la version iOS, alors que beaucoup soupçonnent le groupe responsable d’avoir en fait des liens avec l’Europe de l’Est. Le malware Wild Neutron contenait pour sa part des chaînes en roumain et en russe.

Infrastructure et connexions sous-jacentes
Localiser les serveurs de commande et de contrôle (C&C) utilisés par les acteurs malveillants revient à trouver l’adresse de leur domicile. La maintenance de ce matériel peut être coûteuse et difficile, c’est pourquoi même les auteurs d’attaques bien pourvus en ressources ont tendance à réutiliser la même infrastructure C&C ou de phishing. Les connexions sous-jacentes peuvent donner une idée de l’identité des assaillants si ceux-ci ne parviennent pas à anonymiser parfaitement leur accès Internet lorsqu’ils récupèrent des données exfiltrées, préparent un serveur d’attaque ou de phishing ou se connectent à un serveur piraté.

Parfois, cependant, cette dissimulation imparfaite est intentionnelle : Cloud Atlas a ainsi tenté d’embrouiller les chercheurs en utilisant des adresses IP en Corée du Sud.

Kits d’outils : malware, code, mots de passe, exploitation de vulnérabilités
Bien que certains auteurs de menaces recourent désormais à des outils disponibles dans le domaine public, bon nombre d’entre eux préfèrent encore créer leurs propres outils (backdoors, mouvement latéral, kits d’exploitation de vulnérabilités) et les gardent jalousement. L’aspect d’une famille spécifique de malware peut donc aider les chercheurs à remonter jusqu’au groupe responsable.

Les auteurs de la menace Turla ont décidé de mettre à profit cette hypothèse lorsqu’ils se sont fait « coincer » dans un système infecté. Au lieu de se borner à retirer leur code malveillant, ils ont également installé un malware chinois très rare, communiquant avec une infrastructure située à Pékin, totalement sans rapport avec Turla. Tandis que l’équipe de réponse aux incidents de l’entreprise ciblée était occupée à poursuivre ce leurre, Turla désinstallait en toute discrétion son propre malware et effaçait tutes ses traces des systèmes de la victime.

Victimes ciblées
Les cibles des attaques constituent un autre indice potentiellement révélateur mais l’établissement d’un lien précis nécessite des compétences d’interprétation et d’analyse. Dans le cas de Wild Neutron, par exemple, la liste des victimes était si hétéroclite qu’elle n’a fait que semer la confusion quant à l’origine de l’attaque.

En outre, certains auteurs de menaces abusent du désir du public d’établir un lien clair entre les assaillants et leurs cibles, en opérant sous couvert d’un groupe (souvent fictif) d’hacktivistes. C’est ce qu’a tenté de faire le groupe Lazarus en se présentant sous la dénomination « Guardians of Peace » lors de son attaque contre Sony Pictures Entertainment en 2014. Nombreux sont ceux qui pensent que les auteurs de la menace connue sous le nom de Sofacy ont mis en œuvre une tactique similaire en se faisant passer pour un certain nombre de groupes militants.

Enfin et surtout, les auteurs des attaques tentent parfois d’en faire porter la responsabilité à une autre menace. C’est la méthode adoptée par TigerMilk[i] dont les responsables, encore non identifiés à ce jour, ont signé leurs backdoors avec le même certificat volé déjà utilisé précédemment par Stuxnet.

« La détermination de l’identité des auteurs d’attaques ciblées est complexe, peu fiable et subjective, et ceux-ci s’efforcent de plus en plus de manipuler les indicateurs dont se servent les chercheurs afin de brouiller davantage encore les pistes. Nous pensons qu’une identification précise est souvent quasi impossible. En outre, la veille des menaces a une valeur profonde et mesurable qui va bien au-delà de la question de l’identité des auteurs. Il est nécessaire, au niveau mondial, de comprendre les principaux prédateurs dans l’écosystème des malwares et de fournir des informations solides et exploitables aux entreprises qui le souhaitent : ce doit être notre priorité », commente Brian Bartholomew, chercheur senior en sécurité chez Kaspersky Lab.

Contrer les cyber menaces qui ont le vent en poupe

Entre malware, vols de mots de passe et hameçonnage, les menaces en ligne sont de plus en plus nombreuses et sophistiquées. Les experts révèlent d’ailleurs que le marché des logiciels de cyber-sécurité génèrera près de 7 milliards de dollars en Europe de l’Ouest d’ici 2020, en partie pour contrer la multiplication des attaques.

Toutefois, bien que les utilisateurs puissent compter sur des outils performants, la sensibilisation et la vigilance peuvent également aider à éviter certaines menaces présentes sur le web. Les cyber risques prennent différentes formes et sont conçus pour piéger les gens. C’est pourquoi il est impératif de prendre de bonnes habitudes préventives contre certaines attaques répandues. De cette façon, les internautes peuvent apprendre à reconnaitre les menaces et ainsi réduire les risques de se faire pirater.

« L’expansion des technologies nous incite à utiliser davantage les services en ligne au quotidien : effectuer un virement depuis notre compte bancaire, réserver un billet d’avion ou encore télécharger une application, commente Par Michal Salat, Directeur du Service de Renseignements sur les Menaces Informatiques chez Avast. Tout cela est bien pratique, mais expose aussi davantage l’utilisateur aux attaques s’il n’est pas attentif et n’applique pas quelques bonnes pratiques pour se protéger.« 

Attention aux données partagées publiquement
Les nombreuses plateformes de réseaux sociaux nous poussent à mettre en avant nos moments de joie, nos sentiments, les endroits dans lesquels nous sortons et les personnes que nous fréquentons. Alors que ce sont des choses agréables à partager avec nos amis et notre famille, ces informations peuvent devenir dangereuses en tombant entre de mauvaises mains. Les hackers sont en mesure de collecter les données personnelles exposées publiquement qui leur permettront non seulement d’en savoir le plus sur nous, mais également de deviner un mot de passe ou de personnaliser des attaques ciblées. Par exemple, les utilisateurs ne se méfient pas lorsqu’ils révèlent qui ils sont sur Facebook, mais ils oublient à quel point il est facile de trouver le nom de jeune fille de leur mère – qui est souvent une question posée lorsque l’on veut réinitialiser son mot de passe. C’est pourquoi il faut absolument faire attention au type d’informations personnelles que nous mettons en ligne, aux personnes que nous autorisons à voir ces données que nous postons et éviter de poster celles qui pourraient permettre aux hackers de « deviner » nos identifiants et s’en servir à des fins malhonnêtes. Pour limiter ce risque, les utilisateurs doivent tout d’abord régulièrement vérifier les paramètres « vie privée » de leurs réseaux sociaux et savoir exactement qui voit leurs posts. De plus, les utilisateurs doivent s’efforcer de choisir des mots de passe aléatoires, longs, complexes, et composés de lettres, de chiffres et de caractères spéciaux. Il est également conseillé de créer un mot de passe différent pour chaque compte et de les changer régulièrement.

Les arnaques au phishing
Cette tactique, qui découle directement de l’ingénierie sociale, est fréquemment utilisée par les hackers. Une fois que le pirate a récolté des informations personnelles, il peut créer des arnaques si personnalisées qu’elles trompent facilement la confiance des utilisateurs. En utilisant ces données ainsi que les codes visuels d’organisations telles que les banques, les pirates cherchent en général à accéder aux comptes bancaires, ou encore à infecter les appareils dans le but d’obtenir les informations de connexion et de dérober de l’argent. La première chose fondamentale dont il faut se rappeler est que la majorité des organismes officiels et notamment les établissements bancaires ne demandent jamais à leurs clients d’envoyer leurs identifiants ou mots de passe par email. Par ailleurs, si le message contient un lien ou un fichier suspect, dans le doute, mieux vaut ne pas les ouvrir, supprimer immédiatement l’email par précaution et se renseigner auprès d’interlocuteurs fiables afin de vérifier de vive voix ce qu’il en est réellement.

Des logiciels malveillants bien trop présents
En termes de menaces en lignes, les malwares sont également légions. Ils sont partout, dans les sites web piratés, les publicités, les démos de jeux, des photos ou encore des fichiers musicaux frauduleux. Les hackers utilisent ces malwares à de nombreuses fins, mais principalement par appât du gain. La méthode ransomware est très populaire en ce moment, et surtout la pire de toutes ! Une fois qu’ils ont infiltré le système, les cybercriminels accèdent aux informations personnelles, chiffrent ces données ou verrouillent complètement l’appareil et demandent une rançon à la victime pour les rendre de nouveau accessibles. Pour s’en préserver, deux astuces imparables : ne pas ouvrir de pièces jointes ou de liens provenant d’expéditeurs inconnus et télécharger des jeux, musiques et autres applications depuis des sites officiels uniquement. Il est également impératif de s’équiper d’outils capables de détecter et de supprimer les malwares, et de mettre régulièrement à jour son antivirus, son routeur ou sa box Wifi, ainsi que les systèmes d’exploitation de ses appareils afin de mettre toutes les chances de son côté pour ne pas tomber dans les pièges.

C’est une chance d’avoir accès à des solutions de sécurité de qualité, mais ce n’est malheureusement pas toujours suffisant. Prendre l’habitude de suivre ces quelques conseils peut faire toute la différence et permettre de protéger ses données personnelles mais également de préserver ses deniers !

65% des DSI anticipent une fuite massive de données dans les prochains mois

Un rapport d’OKTA montre un paradoxe saisissant : les entreprises migrent de plus en plus sur le cloud, mais n’investissent pas suffisamment en sécurité. La sécurité reste le parent pauvre du cloud, et les DSI peinent à convaincre de son impact positif sur la productivité.

Okta, le leader de la gestion des identités et des terminaux à l’heure du cloud et de la mobilité d’entreprise, annonce les résultats de la première édition de son rapport Secure Business Agility. Selon les données compilées à l’issue d’une enquête menée auprès de 300 DSI et RSSI, la plupart des organisations sont intimement convaincues de la nécessité absolue d’offrir les meilleures technologies à leurs utilisateurs pour stimuler leur productivité. Pourtant, nombreuses sont celles qui peinent à faire preuve d’agilité, à cause d’une vision de la sécurité dépassée et focalisée sur leurs systèmes internes.

L’incapacité des organisations à adapter et à mettre à niveau leurs outils de sécurité représente pour elles un risque sur le plan de la sécurité. Ainsi, 65% des répondants s’attendent à ce que leur organisation soit victime d’une fuite de données dans les 12 prochains mois, à moins qu’elles ne parviennent à mettre à jour leurs solutions de sécurité à temps.

« Dans un souci de productivité, les organisations du monde entier investissent dans des technologies cloud et mobiles permettant à leur personnel de travailler virtuellement de n’importe où. Néanmoins, cette approche n’est pas la garantie d’une véritable agilité. Les organisations étant de plus en plus connectées, l’idée que l’on se fait traditionnellement des frontières de leurs réseaux est en train de disparaître. Les entreprises doivent donc renforcer leur sécurité en priorité », déclare David Baker, responsable de la sécurité des systèmes d’information chez Okta. « Afin de bien maîtriser leur nouveau périmètre et d’éviter de compromettre la sécurité et la productivité des salariés, les DSI doivent adopter des outils allant au-delà des frontières classiques des sociétés et de leurs réseaux, et rendre l’ensemble de leur organisation agile.»

Les principaux enseignements du rapport :
–      Les organisations sont divisées quant à l’impact positif ou négatif de leurs stratégies de sécurité sur leur productivité et leur agilité : On constate des divergences d’opinions au sein des personnes interrogées sur l’effet favorable ou non de leurs mesures de sécurité sur la productivité. Ainsi, plus de la moitié des répondants (52%) affirment que leurs solutions de sécurité actuelles compromettent la productivité, tandis que 48% d’entre eux estiment que les mesures en place permettent à leur organisation d’adopter des solutions de premier plan favorisant la productivité et l’agilité. Le DSI est pris dans l’étau, entre sa mission qui est d’assurer une sécurité maximale à l’entreprise et sa volonté de ne pas brider la productivité.

–       La visibilité sur l’utilisation des applications est limitée : Selon les résultats de notre enquête, 85% des DSI souffriraient d’un manque d’informations sur les individus ayant accès aux différentes applications au sein de leur organisation. Plus inquiétant encore : 80% des répondants considèrent que la faiblesse des mots de passe ou des contrôles d’accès constitue une problématique de sécurité.

–       Investir dans de nouvelles technologies mobiles, d’automatisation et cloud s’avère être une stratégie payante pour les organisations : 92% des personnes interrogées estiment que leur organisation pourrait faire davantage pour intégrer et prendre en charge des applications cloud dans leurs infrastructure et systèmes. Les équipes informatiques ont donc une formidable opportunité de réduire ce pourcentage en augmentant l’agilité et la productivité au sein de leur entreprise.

Pour plus de renseignements sur les facteurs encourageant le renforcement de la sécurité via le cloud, et sur les risques liés au maintien d’une approche statique basée sur des technologies dépassées, consultez le rapport Secure Business Agility ICI.

L’hygiène informatique dans les hôpitaux, un enjeu de sécurité publique

La numérisation de la société et des services publics n’épargne pas les hôpitaux et autres institutions de soins. Mais depuis plusieurs mois, ces établissements sont la cible de pirates dont les attaques représentent un vrai danger pour l’intégrité de notre système de santé.

Hygiène informatique dans les hôpitaux – C’est un chiffre qui a de quoi étonner : en 2015, en France, 1300 attaques informatiques ont été dirigées contre des établissements de santé, hôpitaux inclus. A l’échelle quotidienne, le chiffre est encore plus saisissant avec une moyenne de 3 à 4 actions malveillantes par jour à l’encontre des systèmes informatiques (SI) de ces établissements. Et encore, on ne parle ici que des actes de piratage officiellement déclarés aux ministères des Affaires sociales et de la Santé. La discrétion observée dans le milieu ne laisse entrevoir que la partie émergée de l’iceberg. Pour des raisons de sécurité mais aussi de réputation…

Aujourd’hui, le bon fonctionnement d’un hôpital dépend toujours de l’organisation et des compétences de son personnel. Mais plus seulement ! Il dépend aussi des outils numériques utilisés à tous les étages. Tous ces équipements connectés qui constituent l’hôpital moderne, désigné officiellement par les pouvoirs publics comme l’hôpital numérique.

A l’accueil par exemple, c’est l’ordinateur qui permet de créer un dossier patient sur le système central de l’établissement. C’est la borne interactive destinée à orienter les visiteurs. En salle d’opération, ce sont les écrans d’aide à l’intervention chirurgicale, les moniteurs de suivi du patient.

Dans le stock de médicaments, ce sont les robots préparateurs en pharmacie. Dans les chambres, c’est le système de divertissement et d’informations médicales consultable par le patient sur tablette tactile.

C’est aussi le réseau Wi-Fi local qui permet au personnel de consulter les dossiers médicaux à partir de n’importe quelle pièce, de n’importe quel support, vers n’importe quelle source, interne ou externe…

15 000 euros de rançon
Chacun de ces appareils connectés à l’avantage de faire gagner du temps, de la précision, et de l’argent. Mais ils ont le principal défaut d’être le plus souvent reliés à un seul et même réseau. Pour des raisons de coût et de négligence…

Un caillou jeté dans cette vitrine technologique, et c’est le fonctionnement de tout l’établissement qui s’en trouve perturber. Le centre médical presbytérien d’Hollywood, aux États-Unis, en a fait l’amère expérience en février 2016.

Un ransomware, baptisé Locky, a été injecté dans le réseau de l’établissement, verrouillant l’accès aux serveurs et ordinateurs utilisés par le personnel. Moyennant une somme négociée à 15 000 euros avec les pirates à l’origine de cette paralysie, le centre a pu retrouver l’accès à son réseau.

En France, quelques semaines plus tard, c’est le centre hospitalier d’Épinal qui était la cible d’une attaque. Croyant recevoir un mail de son avocat, un médecin a cliqué sur la pièce jointe au message. Le geste a contaminé l’ensemble du réseau de l’hôpital. La direction de l’établissement est restée très évasive sur ce piratage, sans confirmer l’attaque du ransomware avancée par le site spécialisé Zataz.

Comme son nom l’indique, le ransomware, ou rançongiciel en français, a vocation à permettre de soutirer une rançon avant de redonner accès aux outils numériques d’un établissement. Où il est ici « seulement » question d’argent.

Mais l’attaque d’un hôpital peut provoquer plus de dégâts, encore hypothétiques aujourd’hui. Tout d’abord sur le matériel, comme l’a expérimenté le spécialiste en cybersécurité, Sergey Lozhkin.

Hygiène informatique dans les hôpitaux

Le vrai-faux pirate a réussi à prendre le contrôle du scanner médical d’un hôpital via le réseau interne wi-fi de l’établissement. Rien de malveillant dans l’intention. Juste la démonstration qu’aux commandes de la machine, il pouvait en dérégler les paramètres, jusqu’à provoquer une panne sur un outil précieux, tant du point de vue médical que financier.

Ce qui peut être fait sur un scanner, peut l’être tout autant sur une climatisation ou, pire, sur un appareil d’assistance branché sur un malade. Et dans ce cas, le changement des paramètres peut alors avoir des conséquences bien plus fatales…

Face à ces attaques, les hôpitaux et autres établissement de santé se donnent-ils pour autant la force d’agir et de réagir ? Oui, pour une grande majorité si l’on se réfère à l’Atlas 2016 des systèmes d’information hospitaliers (SIH). Selon ce rapport annuel délivré par la Direction Générale de l’Offre de Soins (DGOS), 88% des établissements de santé disent avoir engagé une politique de sécurité du système informatique, contre 74% l’année précédente. L’objectif imposé par l’Etat dans son programme Hôpital numérique est de 100% d’ici à 2018.

La sensibilisation du personnel à l’ Hygiène informatique

Mais reste à savoir quels moyens cela implique. Un chiffre relativise cette notion de politique de sécurité : seuls 8% des établissements ont un référent à temps complet. L’implication est plus importante pour les CHU et CHR, avec un Monsieur -ou une Madame- Sécurité SI à temps complet dans 42% des cas. Les autres mutualisent ou externalisent.

Quelle que soit la formule choisie, la politique de sécurité informatique d’un hôpital passe par la sensibilisation de son personnel. Car le point d’entrée le plus vulnérable d’un réseau, c’est bien l’humain. Sa méconnaissance des dangers, comme l’ouverture d’une pièce jointe dans un mail, peut conduire à la catastrophe. Ou l’affichage d’un mot de passe sur un bout de papier collé sur un bureau pour l’ensemble d’un service…

L’hygiène informatique en milieu hospitalier passe aussi par une évaluation de la solidité du réseau et des matériels connectés, des ordinateurs jusqu’à l’IRM. Par une protection anti-virus et l’utilisation de mots de passe complexes, pour accéder au réseau, puis à chacun des appareils connectés. Par une utilisation des derniers logiciels, et un suivi régulier de leurs mises à jour.

Tout comme les infections nosocomiales, les virus informatiques représentent une réelle menace pour les hôpitaux et autres établissements de santé. Ils n’ont donc d’autres choix, aujourd’hui et demain plus encore, que d’appliquer une politique d’hygiène informatique stricte. Il y va de la confidentialité de nos dossiers médicaux, mais aussi et surtout de l’intégrité du système de santé et de son bon fonctionnement au service du public. (Tanguy de Coatpont, directeur général de Kaspersky Lab France)

Oodrive et Atos se joignent pour répondre aux nouvelles réglementations

Répondre aux nouvelles réglementations ! Oodrive, professionnel du Cloud computing en France, et Atos, au travers de sa marque technologique Bull, s’engagent dans une coopération technique. À ce titre Atos fournit des boîtiers HSM (Hardware Security Module) au leader français du Cloud.

Nouvelles réglementations et technologies ! Face aux nouvelles exigences réglementaires de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), des nouvelles réglementations et actions relatives à la cybersécurité, nombreuses sont les entreprises et OIV (Opérateur d’Importance Vitale) à devoir s’équiper de solutions ultra-sécurisées. Depuis la loi de programmation militaire adoptée en décembre 2013, les OIV font face à de nouvelles obligations que les éditeurs de logiciels sont contraints de prendre en compte. En effet, les cyberattaques se multiplient, deviennent de plus en plus sophistiquées et ont un impact qui peut être destructeur.

C’est pourquoi, afin de préserver la confidentialité des informations sensibles échangées sur ses solutions BoardNox, DilRoom et iExtranet, Oodrive s’est équipé des boîtiers HSM TrustWay Proteccio® de Bull. Ainsi, Oodrive permet à ses utilisateurs de bénéficier d’un service cryptographique certifié et de protéger les données de toutes les cybermenaces.

Les HSM TrustWay Proteccio® sont des boîtiers de chiffrement permettant de générer, stocker et protéger des clés cryptographiques à l’intérieur d’un coffre-fort virtuel. Les informations sensibles sont donc manipulées uniquement dans l’environnement protégé du HSM.

« TrustWay Proteccio® répond à des critères de sécurité de haut niveau. Ce nouveau HSM constitue la seule solution de sécurité de référence reconnue par l’ANSSI », déclare René Martin, Directeur de l’unité TrustWay chez Atos. « Grâce à ce partenariat commercial, les solutions Oodrive répondent aux préconisations sécuritaires de l’État », annonce de son côté Frederic Fouyet, Directeur Sécurité, Innovation et Produits chez Oodrive.

… pour des solutions Cloud ultra-sécurisées destinées à répondre aux nouvelles réglementations
L’enjeu est tout aussi important du côté de l’éditeur de logiciels avec lequel les entreprises s’engagent à travailler. Les DSI sont contraints aujourd’hui de gérer un parc informatique de plus en plus disparate pour lequel les solutions doivent offrir le même degré de sécurité et ce, quel que soit le périphérique concerné (tablette, PC, smartphones, etc.).

En effet, L’ANSSI est catégorique sur ce point : lorsque des informations à caractère sensible doivent être partagées, leur diffusion doit se faire dans un cadre défini et maîtrisé. « Dans l’environnement professionnel, la circulation d’informations à caractère sensible s’effectue désormais majoritairement par voie électronique. Cela représente un véritable défi en termes de sécurité et de confidentialité, explique Frederic Fouyet. Les cybermenaces sont en constante augmentation, et représentent un risque que les entreprises ont parfaitement intégré. Et c’est pour répondre à ces exigences toujours plus élevées que nous avons décidé d’associer notre expertise à celle d’Atos. Nous sommes convaincus que nos savoir-faire sont complémentaires et nous permettront de bâtir ensemble un Cloud à la fois très accessible et ultra-sécurisé. »

Si le recours à des clés de chiffrement protégées au sein d’un coffre-fort virtuel répond à la problématique de confidentialité des données, encore faut-il l’associer à un système d’authentification forte, pour gérer la protection des accès depuis internet. C’est ce que fait Oodrive en s’appuyant sur l’expertise de sa filiale CertEurope, qui travaille avec Atos depuis plus de dix ans pour la génération de certificats électroniques.

Les Hauts de France, une région infestée de zombies ?

Révélation sur les villes et régions qui concentrent le plus de botnets et donc de machines-zombies en France.

L’éditeur américain de solutions de sécurité informatique, Symantec, a publié lors du lancement des Assises de la Sécurité un rapport mettant en lumières quelles régions et quelles villes en France avaient concentré l’an passé le plus de botnets, ces réseaux de machines zombies, que celles-ci soient des PCs, des Macs, des smartphones, tablettes ou d’autres objets connectés.

Contrôlées à distance par des cybercriminels et faisant partie d’un botnet, ces machines zombies sont utilisées pour réaliser des attaques par déni de services (ou DDoS – des attaques qui ont pour objectif de rendre indisponible un site Internet), envoyer du spam, perpétrer des fraudes au clic ainsi que de nombreux actes de cyber-crime, à l’insu du propriétaire du terminal infecté. Ces botnets, disponibles à la location sur des forums spécialisés et sur le darknet, peuvent coordonner des millions de terminaux connectés pour des attaques massives et coordonnées.

La France est le 5ème pays le plus hospitalier pour les zombies de la région EMEA, représentant plus de 7 % de la totalité des bots, et le 9ème au monde. « Les Hauts de France est la troisième région française la plus infestée en zombies, représentant 7,77 % du nombre total de bots en France, avec Lille comme principal foyer de zombies (4,16 % de la population nationale) » explique Laurent Heslault de chez Norton by Symantec. L’Île-de-France reste cependant la région où l’on trouve le plus de zombies, représentant 51,7 % du nombre total de bots du pays, avec Paris comme ville la plus infectée avec 26 % du nombre total de bots du pays. Pounic, 0,829%.

Les trois autres régions françaises les plus peuplées en zombies sont le Grand Est avec 8,92 % (Strasbourg avec 4,34 %), la région PACA avec 6,42 % (Marseille avec 2,49 %) et la région Auvergne-Rhône-Alpes totalisant 6,04 % (Lyon avec 3,97 %). Si l’on ramène les chiffres régionaux à la population connectée, la France se classe en 24ème position : l’internaute français court un risque sur 3 609 d’être un zombie (ou du moins l’un de ses terminaux).

Les meilleures destinations zombies dans la région
Si, parmi les destinations de longs week-ends, Istanbul arrive en tête des destinations zombies, avec plus de 11 600 bots détectés, les villes préférées des français sont bien souvent également celles des bots : Rome arrive au 3ème rang, Budapest au 4ème et Madrid au 8ème, offrant à l’Espagne la 6ème place du pays. Chacune d’entre elles abrite par ailleurs plus de la moitié des machines zombies recensées dans leur pays respectif.

La Turquie, l’Italie et la Hongrie dans le peloton de tête
La Hongrie figure dans le top 10 de tous les classements : nombre de bots total dans le pays (3ème) et les villes (Budapest et Szeged respectivement 4ème et 5ème), et proportion de machines-zombies par internaute (1er). Les bots y sont par ailleurs géographiquement très concentrés puisque Budapest et Szeged totalisent 93 % de ces infections dans le pays. Un internaute hongrois sur 393 utilise par ailleurs un terminal qui fait partie d’un botnet.

L’Italie arrive en 2ème position en raison du nombre élevé et de la forte concentration de machines zombies à Rome, qui représente 75 % de la population de bots totale de la … Botte (!).

La Turquie, qui a été la cible de plusieurs attaques par des groupes d’hacktivistes en 2015, concentre, et de loin, le plus grand nombre de bots, avec un nombre d’infections deux fois plus élevé que le second pays. Au 4ème rang mondial pour ce type de menaces, la Turquie héberge 18,5 % des bots de la zone EMEA, et 4,5 % au niveau mondial. En ramenant ces statistiques à la taille de la population connectée (la 7ème de la région), l’étude montre qu’un internaute turc a un risque sur 1 139 d’utiliser une machine-zombie. Par ailleurs, les machines zombies sont particulièrement urbaines, avec 97 % d’entre elles se trouvant entre Istanbul et Ankara. Ces deux villes en totalisent d’ailleurs plus que l’ensemble de l’état d’Israël.

En dépit des nombreuses escroqueries dites « à la nigériane », le Nigeria ne figure qu’au 94ème rang du nombre de bots par internaute1, avec une machine-zombie pour 2,1 millions d’internautes. D’une façon générale, les pays d’Afrique concentrent moins de bots par internaute que l’Europe occidentale ou le Moyen-Orient.

Si l’on considère le nombre de bots en le comparant au nombre d’internautes de chaque pays, on détermine le risque qu’encourt chaque internaute d’utiliser une machine – zombie. Sur ce critère, c’est la Hongrie et Monaco qui occupent la tête du classement. Les Hongrois ont un risque sur 393 d’avoir un terminal utilisé par ailleurs par des cybercriminels pour lancer des attaques ou diffuser du spam et les Monégasques un sur 457.

Voitures connectées : les cybercriminels dans l’angle mort ?

Voitures connectées, dangereuses ? La nouvelle édition du salon de l’auto interpelle le grand public sur les nouveaux pirates de la route.

Nul doute, la voiture connectée est encore l’une des stars du salon de l’auto cette année. Comme tout ce qui attrait à internet et aux objets connectés, il est légitime de se poser quelques questions notamment sur la sécurité liée au partage des données ainsi qu’à cette forme de déplacement autonome. Un véhicule connecté est en effet doté d’un accès à Internet ainsi que, plus généralement, d’un réseau local sans fil. L’accès Web offre divers services supplémentaires tels que la notification automatique des embouteillages, la réservation de parking, la surveillance du style de conduite (pouvant par ailleurs avoir une incidence sur le montant des primes d’assurance automobiles) etc.

De multiples raisons peuvent motiver les cybercriminels à tenter de pirater des voitures connectées :
L’appât du gain : ll s’agit de bloquer l’accès au véhicule jusqu’à ce la victime paie une rançon.
L’espionnage : l’activation du micro ou de la caméra équipant le véhicule peut donner accès à des informations exclusives et des données sensibles.
La violence physique : les attaques peuvent avoir pour but de blesser le conducteur, ses passagers, ou encore d’endommager d’autres véhicules sur la route.

C’est en analysant ses raisons que la société russe développe une approche de la sécurité interne des véhicules connectés. Elle reposent sur deux principes : D’abord l’isolement veille à ce que deux entités indépendantes (applications, pilotes, machines virtuelles) ne puissent interférer l’une avec l’autre en aucune façon. Ensuite, le contrôle des communications signifie que deux entités indépendantes ayant à communiquer dans le système doivent le faire conformément à des règles de sécurité. L’utilisation de techniques de cryptographie et d’authentification pour l’envoi et la réception des données fait également partie intégrante de la protection du système.

Dans un proche avenir, le véhicule sera connecté en permanence, échangeant des mégaoctets de données et prenant des décisions pour le conducteur afin de lui faciliter grandement la tâche. Tous ces avantages peuvent se transformer en problèmes majeurs si l’on ne prête pas suffisamment attention à la cybersécurité de l’infrastructure cloud, à l’authentification, au cryptage des données transmises, à la gestion et au stockage des clés, etc.

Les trois principales implications de sécurité de l’IoT

Les professionnels de la sécurité informatique font face depuis une dizaine d’années au raz-de-marée que provoque l’augmentation des connexions d’utilisateurs et de terminaux pour accéder aux ressources de l’entreprise ; dans le même temps, ils s’efforcent de réduire la surface d’exposition aux attaques en éliminant autant de points d’accès que possible.

Pour ce faire, ils procèdent généralement à un inventaire des connexions, ils consolident les systèmes sur le réseau et les serveurs ciblés, ils créent des portails en alternative aux accès à distance, et ils opèrent une corrélation avancée des événements de sécurité au moyen d’une solution centrale de sécurité.

Introduire des dispositifs IoT dans un environnement revient à ajouter un nombre inconnu de nouvelles portes à un bâtiment qui en compte déjà 100 dont l’accès est à peine contrôlé. En 20 ans, nous sommes passés d’un appareil par utilisateur à quatre ou cinq par personne et bientôt nous ne saurons probablement plus combien notre environnement compte de points d’accès exploitables connectés à Internet.

Rien que l’audit et l’inventaire de ces terminaux apparaissent comme des tâches monumentales, or c’est la première étape d’une stratégie de protection efficace. L’accessibilité future de dispositifs IoT sur le réseau a des incidences sur la sécurité. Voici trois implications qu’il convient de garder à l’esprit :

La prolifération des dispositifs IoT augmente la surface d’attaque
Pensez aux conditions d’accueil des personnes dans un grand immeuble de bureaux d’une ville moyenne. Il est possible que de nombreuses portes ne soient pas gardées, mais la progression du flux est guidée vers un guichet d’accueil ou un hall d’entrée central où les personnes titulaires d’un badge le présentent tandis que les autres doivent se soumettre à des procédures de vérification d’identité avant de se voir remettre un badge qui les autorise à aller plus loin. Pour d’autres types d’accès, l’approche n’est pas différente ; en instaurant une connexion centrale de courtage, au moins pour les requêtes émanant de l’extérieur de la surface d’attaque, l’entreprise peut établir des contrôles à un point unique d’entrée/sortie.

Suffisamment anodins pour être ignorés, mais suffisamment intelligents pour être dangereux
On a trop souvent tendance à réduire l’IoT à un grille-pain intelligent. Et c’est une partie du problème.
La plupart des « objets » connectés sont d’une telle simplicité qu’on banalise leur présence ou ce sont des outils ou des fonctions intégrées dont on ignore même l’existence. On en vient à oublier que, tout anodin qu’ils aient l’air, ces dispositifs sont connectés à Internet. Ce qui les rend aussi intelligents que quiconque décidera d’y accéder ou de s’en servir.

L’objet entre vos mains, à qui appartient-il réellement ?
Ce qui nous amène à la troisième préoccupation : à qui appartient réellement ou qui contrôle le dispositif IoT avec lequel vous vivez ? Est-ce vous qui l’entretenez ? Espérons que quelqu’un s’en charge car faute de correctifs et de maintenance, il y a fort à parier que votre dispositif IoT figurera bientôt dans une base de données des vulnérabilités avec le risque d’être exploité immédiatement après. S’il y a effectivement maintenance, qui y a accès ? Et même si vous avez la réponse à cette question, que savez-vous de la politique de sécurité du fournisseur concerné ? Pour revenir au point précédent, votre sécurité dépend de la vigilance dont fait preuve celui à qui vous confiez des droits d’accès au réseau de votre entreprise. Effrayant, non ? Mais à nouveau, c’est en suivant les bonnes pratiques de gouvernance des accès, comme l’utilisation d’une connexion de courtage comme indiqué précédemment, que vous saurez qui a accès à vos systèmes IoT, par quel moyen, où, quand et comment.

Le nombre des points d’accès et des dispositifs connectés présents sur votre réseau va très certainement continuer d’augmenter au cours des prochaines années. Avez-vous adopté des mesures pour prévenir les risques de compromission liés aux dispositifs IoT ? (Par Thierry Tailhardat, Directeur France de Bomgar)

Cybersécurité/Cyberattaque : les mauvaises habitudes persistent

Cyberattaque : Bien que la prise de conscience s’améliore pour 82 % des entreprises, elles peinent toujours à mettre en place les bonnes pratiques dans les domaines critiques.

Alors que 82 % des organisations constatent une progression de l’industrie de la sécurité informatique dans la lutte contre les cybermenaces, cette prise de conscience est entamée par des pratiques sécuritaires volontairement nuisibles dans des domaines sensibles comme la sécurité des comptes à privilèges, l’accès à distance de fournisseurs tiers et le cloud, selon les résultats d’une étude internationale commissionnée et publiée par CyberArk.

La 10e enquête annuelle internationale « Threat Landscape Report » sur le paysage des menaces avancées 2016 de CyberArk, porte sur « la cybersécurité : hier, aujourd’hui et demain ». Ce rapport examine si les entreprises internationales ont appris et appliqué les leçons sur les cyberattaques, et comment leurs priorités en termes de sécurité et de prises de décisions sont influencées.

Malgré les campagnes de sensibilisation, les mauvaises pratiques de sécurité sont toujours présentes
L’importante médiatisation des cyberattaques a renforcé la prise de conscience actuelle sur la nécessité d’une cybersécurité renforcée. Toutefois, puisque les bonnes pratiques en termes de protection ne sont pas pour autant renforcées, les progrès des entreprises dans ce domaine sont directement impactés.

.         79 % des entreprises interrogées indiquent avoir tiré des leçons des principales cyberattaques et avoir mis en place les actions nécessaires pour améliorer leur sécurité contre 76 % en France.

o   67 % pensent qu’à l’heure actuelle leurs PDG ou membres du conseil d’administration assurent une direction claire en matière de cybersécurité, contre 57 % en 2015.

o   Cette prise de conscience a engendré plusieurs actions majeures : le déploiement de solutions de détection de malwares (25 % au niveau global, 32 % en France), de sécurité des points d’accès (24 % au niveau global, 30 % en France) et d’analyses de sécurité (16 % au niveau global contre 17 % en France).

·          55 % des répondants indiquent que leur organisation a changé et adopté des processus avancés pour la gestion des comptes à privilèges. Cette proportion s’élève à 61 % pour la France.

o   Malgré cela, 40 % des organisations stockent toujours les mots de passe admin et de comptes à privilèges dans un document Word ou Excel, et 28 % utilisent un serveur partagé ou une clé USB.

·         49 %, soit près de la moitié des organisations, autorisent des fournisseurs extérieurs (comme les entreprises de gestion logistique et informatique) à accéder à distance à leurs réseaux internes.

o   Bien que la majorité des sondés sécurisent et surveillent cet accès, les entreprises du secteur public sont celles ayant le moins de contrôle en place pour l’accès des fournisseurs extérieurs ; 21 % d’entre-elles n’ont aucune sécurité et 33 % ne surveillent pas cette activité.

Un cyber-état d’esprit : trouver l’équilibre entre peur et excès de confiance
Les organisations adoptent de plus en plus un état d’esprit post-intrusion, c’est-à-dire qu’elles se préparent à gérer une cyberattaque et à adapter leur activité en cas d’intrusion. Cette anticipation conduit à des mesures positives pour la planification post intrusion, mais on peut se demander si cet excès de confiance n’affecte pas leur capacité à se protéger contre les cyberattaques :

·         En 2016, 75 % soit trois personnes sur quatre ayant un pouvoir décisionnel dans les services informatiques pensent pouvoir empêcher des pirates informatiques de s’introduire dans leur réseau interne, contre 44 % en 2015.

o   Cela dit, 36 % pensent qu’un pirate informatique a actuellement accès à leur réseau ou y a accédé au cours des 12 derniers mois.

o   46 % pensent que leur organisation a été victime d’une attaque par ransomware au cours des deux dernières années.

·         82 % des sondés pensent à présent que l’industrie de la sécurité informatique fait en général des progrès contre les cyberattaques.

o   17 % pensent que le secteur est en déclin.

·         Presque toutes les organisations (95 %) ont un plan de réponse cyber-sécuritaire d’urgence.

o   Cette préparation appropriée est affectée par un manque de communication et de tests ; seules 45 % des entreprises communiquent et testent régulièrement leur plan avec l’ensemble du personnel de leurs services informatique.

·         68 % des organisations indiquent que perdre leurs données clients est l’une de leurs préoccupations principales en cas de cyberattaques.

o   60 % des utilisateurs du cloud y stockent leurs données clients.

o   57 % des organisations qui stockent des informations sur le cloud ne font pas entièrement confiance à leur fournisseur cloud et à sa capacité à protéger leurs données.

·         Concernant l’identification des étapes les plus difficiles à gérer lors d’une cyberattaque, les installations intempestives de malware sont classées en premier (41 %), suivies par une appropriation des comptes à privilèges (25 %).

A observer : émergence de futurs risques
Alors que les cyberattaques continuent d’être commises contre des institutions de confiance comme les gouvernements, les systèmes financiers et les services publics, les sondés ont identifiés quels types de cyberattaques ou de cyber tactiques les inquiètent le plus. Les répondants ont également partagé les scénarios qui selon eux représentaient la menace potentiellement la plus catastrophique.

·         Les sondés listent les types de cyberattaques suivantes comme étant leur première préoccupation pour les 12 mois à venir : attaques par déni-de-service distribué (DDoS) (19 %), l’hameçonnage (14 %), les ransomwares (13 %), l’exploitation des comptes à privilèges (12 %) et les intrusions de périmètre (12 %).

·         Les attaques contre les systèmes financiers, y compris la perturbation de marchés internationaux est la menace qui est perçue par 58 % des personnes interrogées comme étant potentiellement la plus catastrophique, suivie par les attaques endommageant massivement les ressources primaires (55 %) et celles ayant un impact sur les services publics comme les services de santé et les hôpitaux (51 %). En France, 48 % partagent le sentiment relatif aux systèmes financiers, mais 73 % estiment qu’une cyberattaque de grande ampleur contre des infrastructures critiques pouvant conduire à des pannes de courant ou des problèmes pouvant toucher la qualité de l’eau par exemple seraient catastrophiques.

Cyberattaque : L’impact d’une intrusion dans les données clients et la responsabilité des entreprises
L’enquête a montré une image globale variée en termes de préparation pour une surveillance réglementaire accrue et en termes d’impact sur des programmes de cybersécurité et de responsabilité :

·         Cyberattaque : Même si 70 % des sondés indiquent que la menace d’actions en justice et d’amendes influence le niveau d’implication des cadres ou des conseils d’administration, 22 % ne prend pas en compte les frais d’amendes ou de justice (19 %) dans le coût potentiel d’une intrusion.

·       Cyberattaque : Ce qui inquiète le plus les sondés internationaux sur les conséquences d’une cyberattaque est la perte de données client (68 %), d’informations financières (52 %), de la confiance des clients (35 %), de leur réputation (33 %) et de leur capacité à opérer (32 %).

·        Cyberattaque : Presque sept sondés sur dix (69 %) ont déclaré que leur priorité en cas de cyberattaque serait de stopper l’intrusion, d’expulser les intrus, puis de détecter la source de l’intrusion (53 %).

o   Peu de répondants ont mis le fait de notifier leur conseil d’administration ou leur PDG (26 %), l’ensemble du personnel (25 %) et les clients (18 %) comme une priorité.

La sécurité des données des services financiers passera par le cloud

Le secteur des Services financiers se tourne progressivement vers le cloud afin de proposer de nouveaux produits, services et offres personnalisées sans avoir à concéder d’investissements initiaux de capitaux. Malgré cela, l’idée de céder le contrôle de son infrastructure et de ses données clients sensibles à des fournisseurs de services cloud suscite encore des inquiétudes, notamment vis-à-vis des risques de conformité et de sécurité. On constate néanmoins les prémices d’un changement.

Suite à la dernière décision de la Competition and Markets Authority (CMA) visant à stimuler la concurrence dans le secteur bancaire, les établissements sont désormais tenus de numériser complètement leurs systèmes d’ici 2018. Ce jugement intervient après que la Financial Conduct Authority (FCA) a ouvert la voie pour que l’ensemble du secteur puisse tirer parti du cloud tant que les « mesures de protection appropriées » seront en place. Le cloud computing est donc amené à occuper une place de choix dans l’avenir de l’industrie bancaire.

En revanche, son adoption non sécurisée présente des risques énormes pour les sociétés de services financiers, avec notamment des dégâts potentiels considérables aux niveaux opérationnel et de leur réputation. Près de 20 millions de documents financiers auraient ainsi fait l’objet de fuites en 2015. Pour tirer pleinement parti de solutions cloud, les organisations du secteur et leurs clients doivent avoir l’assurance que leurs données sensibles soient en sûreté. Les premiers avertissements sont d’ailleurs clairs : le dernier rapport Shadow Data de Blue Coat a révélé que 87 % des applications cloud utilisées par les entreprises ne chiffrent pas correctement leurs données. Cela pose un problème de taille pour le secteur des services financiers, dont 85 % des données sensibles sont stockées dans les nuages. Pour tirer pleinement parti de ces solutions, ces organisations et leurs clients doivent avoir l’assurance que leurs données sensibles soient en sûreté.

Des données personnelles prêtes pour le cloud
Les sociétés de services financiers se tournent aujourd’hui vers le cloud pour remplacer leurs systèmes traditionnels et optimiser leurs opérations. Beaucoup sont actuellement en train d’y migrer différentes fonctions de manière à bénéficier de fonctionnalités de pointe, et d’une évolutivité et d’une flexibilité de premier plan. Ces organisations espèrent en effet profiter de l’association de fonctionnalités internes et propriétaires avec des systèmes cloud grâce à des API dernier cri.

Compte tenu des enjeux, nombreuses sont celles qui font preuve de prudence à l’idée de céder les données clients sensibles actuellement sur leurs systèmes locaux traditionnels à des fournisseurs de services cloud. Elles s’interrogent notamment et à juste titre sur la capacité de ces derniers à gérer de façon adéquate l’emplacement destiné au stockage et au traitement de ces données.

Toute incapacité à garantir leur sécurité des données nuit en effet considérablement à la confidentialité, et augmente les risques de sécurité informatique et de conformité. Les fuites et les incidents de sécurités concernant des données réglementées peuvent aussi être à l’origine de coûts élevés, de sanctions et de risques pour la réputation des entreprises. Selon l’enquête 2016 Cost of Data Breach Study pubiée par Ponemon, le coût moyen d’une fuite par document dans le secteur financier s’élève à 221 $, soit plus que les 158 $ perdus en moyenne par les autres secteurs. En outre, de nouvelles réglementations, comme le Règlement général européen sur la protection des données (GDPR), obligent les sociétés du secteur à alerter les clients affectés par une fuite de données. Les dégâts causés à ces marques peuvent alors se traduire en pertes de bénéfices et de capitaux.

Sécuriser les données sensibles dans le cloud
Les organisations souhaitant sécuriser leurs informations clients sensibles de façon optimale doivent identifier celles pouvant résider sans problème dans le cloud. Les données sensibles ou réglementées doivent ainsi être classées en vertu de leurs niveaux de sensibilité. Des audits peuvent être effectués par la suite afin de confirmer que les stratégies de sécurité et de maîtrise des risques proposées ont été mises en place. Cependant, les organisations doivent pour cela s’assurer d’avoir une visibilité, et le contrôle des données dans le cloud. Mais la plupart d’entre elles n’ont malheureusement pas les ressources techniques nécessaires. Impossible de réaliser des audits ou d’effectuer des classifications de données lorsque l’on n’est même pas en mesure de déterminer quelles données sont envoyées vers le cloud.

Il est nécessaire de définir les règles et de gérer l’accès aux données sensibles issues des systèmes, processus et individus. Pour sélectionner les systèmes de contrôle appropriés et assurer ainsi la protection des données confidentielles accédées via le cloud, les équipes informatiques et de conformité doivent établir le parcours des informations tandis qu’une variété d’applications et d’individus y accèdent et les traitent à différentes fins.

Enfin, toutes les organisations devraient avoir des stratégies de confidentialité et de sécurité concises, afin notamment de distinguer les données à protéger des autres. Il est par ailleurs crucial que ces pratiques internes, conçues pour garantir le contrôle des données, ne soient pas contournées ou compromises, en particulier lors du partage via un fournisseur de services cloud.

Plus qu’un effort symbolique
Les données doivent impérativement être sécurisées lors de leur transit vers et en depuis le cloud, ainsi que lors de leur traitement dans le cloud, comme c’est généralement le cas. Elles doivent également l’être pendant qu’elles sont « au repos » (stockées) et « en mouvement » (en transit entre l’utilisateur et l’application cloud). La principale problématique pour les entreprises réside souvent au niveau du service lui-même. Mais les organisations doivent malgré tout s’assurer que les données envoyées vers le cloud soient protégées « en mouvement », avec des technologies de chiffrement et de tokénisation tout au long du traitement dans les nuages.

Le chiffrement encode les données de sorte que seules les parties autorisées puissent les lire. Il s’agit de la technologie standard de protection des données. Bien qu’il ne permette pas d’éviter leur interception, le chiffrement renforcé empêche aux individus non autorisés de les visualiser. Afin de respecter les meilleures pratiques en la matière, les organisations doivent adopter une forme de chiffrement reconnue et établie. Enfin, bien que les données chiffrées soient protégées, les organisations doivent tenir compte du fait que la nature réversible de ce processus permet de dévoiler les valeurs des données originales en cas de compromission de la clé de chiffrement.

Avec la tokénisation, les champs des données se voient attribuer une valeur de substitution appelée token (jeton). Lorsque les données doivent être lues, ce jeton est de nouveau remplacé par la valeur à laquelle elles sont associées. Le principal avantage de la tokénisation est qu’elle supprime entièrement les données originales du document ou de la forme une fois qu’elles quittent le réseau. Tout lien mathématique entre la valeur du jeton de remplacement et les données sensibles originales est ainsi supprimé. Contrairement aux données chiffrées, il est impossible d’intercepter des données dans le cloud et de pirater un jeton afin d’en révéler le contenu, car les données ne sont en réalité pas présentes. Cette approche offre également d’énormes bénéfices en matière de respect des règles de conformité sur la localisation des données.

Faire face aux problématiques actuelles
Beaucoup de sociétés de services financiers semblent hésiter à tirer parti des nouvelles fonctionnalités d’applications cloud de premier plan par crainte à l’idée de laisser le contrôle de leurs données sensibles et précieuses à un tiers. Il est aisé de comprendre pourquoi compte tenu des répercussions potentielles. Les solutions de sécurisation des applications cloud (CASB) et les plateformes de protection des données cloud telles que Blue Coat Elastica (qui appartient désormais à Symantec) aident à apaiser certaines de ces inquiétudes.

Ces plateformes constituent une solution de sécurité flexible grâce à laquelle les entreprises peuvent protéger leurs informations sensibles avant qu’elles ne quittent leur réseau. Elles leur permettent également d’identifier et de contrôler les données partagées dans l’ensemble de leur organisation par leurs salariés au sein d’applications cloud. Les solutions de protection des données cloud en assurent la sécurité en chiffrant et en tokénisant les informations sensibles. En les associant à d’imposants protocoles de sécurité dédiés, les organisations seront en mesure de maintenir leurs services cloud et de faire preuve de l’évolutivité réclamée par leurs utilisateurs. Il est difficile de prédire l’avenir, mais une chose est sûre : celui des banques passera par le cloud. (Par Robert Arandjelovic, directeur de la stratégie de sécurité de Blue Coat)

Près de la moitié des français n’achèterait pas à une entreprise piratée

78 % des français souhaitent plus de condamnations et des sanctions plus sévères envers les cyber criminels qui volent les données personnelles.

F5 Networks a présenté dernièrement les résultats d’une étude sur les attitudes des français face au piratage. L’étude révèle que les français prennent conscience des problèmes liés au piratage – avec 47 % qui affirment qu’ils n’ouvriraient pas de compte, ne partageraient pas de données ou n’achèteraient pas à une entreprise déjà piratée par le passé (50 % en UK – 51 % en Allemagne).

Même si 49 % des français changent parfois ou à chaque fois leur mot de passe si une entreprise dans laquelle ils possèdent un compte a été piratée, nous sommes encore 17 % à ne jamais changer nos mots de passe après le piratage d’une entreprise dans laquelle nous possédons un compte (8 % en UK – 9 % en Allemagne).

https://twitter.com/zataz/status/783060182205161472

Les motivations des pirates
Selon les français, les pirates sont principalement motivés par le fait de gagner de l’argent grâce au vol de données personnelles (60 %), suivi par la possibilité de souligner des failles dans l’entreprise et les solutions de sécurité (9 %) puis de dérober des secrets d’affaires (8 %). Nous sommes également près de 60 % à penser que les pirates deviennent plus professionnels (72 % en UK – 64 % en Allemagne) et 22 % à penser que les employés ne reçoivent pas des formations appropriées en matière de cybersécurité.

A qui la faute ?
Les français sont partagés : 39 % d’entre eux pensent que la responsabilité doit être attribuée aux solutions de sécurité elles-mêmes, alors que 37 % pensent que l’équipe IT et sécurité est responsable, si l’entreprise est victime d’une cyber attaque. Alors que les britanniques et les allemands sont plus tranchés : ils sont respectivement 52 % et 53 % à penser que la responsabilité doit être attribuée à l’équipe IT et sécurité. 49 % des français estiment également que les entreprises ne prennent pas assez de mesures pour elles-mêmes et leurs clients afin de se protéger contre les cyber criminels, comparativement à 61 % en Angleterre et 46 % en Allemagne. « Les individus pensent de plus en plus qu’il est de la responsabilité des entreprises de mener la lutte contre les cyber criminels et de s’assurer qu’elles protègent les données de leurs clients. Alors que les consommateurs doivent améliorer leur comportement en ligne en pensant à la sécurité, la protection des données reste la responsabilité de l’entreprise », pense Gad Elkin, directeur de la sécurité EMEA chez F5 Networks.

Que faire ?
Lorsque l’on demande aux consommateurs comment les entreprises doivent-elles améliorer leur façon de se protéger contre les hackers, “Investir dans les technologies de sécurité” arrive en première position dans les trois pays (61 %), suivi par “une meilleure éducation des consommateurs sur la menace” et ”partager leurs (les entreprises) connaissances sur la menace” en troisième position.

Et si les français pouvaient tous pirater…
Si l’étude a également permis de révéler que près d’un français sur 5 place les hackers du côté « des bons » (contre seulement 1 britannique sur 10), ils sont 37 % à citer les banques et 22 % le secteur public, parmi leurs victimes – s’ils pouvaient pirater pour une raison ou une autre (voler des données, découvrir des secrets d’affaires ou gagner de l’argent) sans aucune conséquence.

« Les chiffres de l’étude montrent que l’ensemble des consommateurs à travers l’Europe sont disposés à quitter un prestataire pour choisir un concurrent non piraté. La cyber sécurité devient donc un avantage concurrentiel pour les entreprises et non plus seulement un centre de coûts – et celles-ci doivent trouver comment améliorer leurs propres défenses d’une part, et comment éduquer les consommateurs sur les risques informatiques d’autre part. »

Pirater des systèmes biométriques à partir de vos photos Facebook

Des chercheurs découvrent comment pirater des systèmes biométriques grâce à Facebook. Les photographies sauvegardées dans les pages de Facebook peuvent permettre de vous espionner.

De nombreuses entreprises de haute technologie considèrent le système de reconnaissance faciale comme l’une des méthodes fiables pour être reconnu par votre ordinateur. J’utilise moi-même la reconnaissance biométrique digitale, rétinienne et du visage pour certaines de mes machines. C’est clairement un des moyens simples et fiables de vérification d’une identité. Cependant, des chercheurs prouvent que la biométrie peut se contourner, dans certains cas, avec une photo, de la colle…

Une nouvelle découverte vient de mettre à mal, cette fois, la reconnaissance faciale mise en place par Facebook. Comme je pouvais vous en parler en 2014, Facebook met en place une reconnaissance faciale que des commerçants Américains ont pu tester avec succès. Des chercheurs ont découvert que cette prouesse technologique n’est pas encore parfaite et sujette au piratage. Des pirates peuvent utiliser votre profil Facebook, et les photos sauvegarder.

Systèmes biométriques

Des étudiants de l’Université de Caroline du Nord ont expliqué lors de la conférence d’Usenix, à Austin, avoir découvert une nouvelle technique particulièrement exaspérante pour intercepter l’intégralité d’un visage, via Facebook. Le rendu 3D et certaines « lumières » peuvent permettre de cartographier votre visage en deux clics de souris. Les chercheurs ont présenté un système qui créé des modèles 3D du visage via les photos trouvées sur Facebook. Leur modèle 3D va réussir ensuite à tromper quatre systèmes de reconnaissance faciale… sur 5 testés : KeyLemon, Mobius, TrueKey, BioID, et 1D.

Pour leur étude, 20 cobayes volontaires ont participé à l’expérience. Leurs photos sont tirées d’espaces publiques comme Facebook, mais aussi LinkedIn et Google+. La modélisation des visages à partir de 27 images différentes va permettre de créer des modèles en 3D, avec des animations faciales : bouches, yeux… Les chercheurs ont reconstruit les visages via les bouts trouvés sur les différentes photographies.

Possible attaque d’un état contre Bitcoin

Alerte pour les utilisateurs de Bitcoin. Espérons-le, nous sommes tous biens conscients que nous devrions faire preuve de beaucoup prudence lors du téléchargement de programmes et/ou logiciels à partir d’internet.

Utilisateurs de Bitcoin, prudence. Beaucoup de cas de logiciels et programmes malveillants sont dissimulés sur le web, et même sur des sites falsifiés d’entreprises ou institution. Ils peuvent être téléchargés par inadvertance –ou par ignorance- . Pour réduire les chances de télécharger un programme infecté, Bitdefender, éditeur de solutions de sécurité informatique, conseille de se rendre sur le site certifié du programme en question (pour plus de sécurité) et vérifier que le téléchargement correspond aux instructions reçus par le vendeur agréé,  et en vérifiant la signature numérique officiel du programme.

Les membres de la communauté Btc doivent garder cela à l’esprit aujourd’hui – en particulier s’ils ont l’habitude de télécharger des versions exécutables du logiciel Bitcoin Core sur la plateforme Bitcoin.org,  au lieu de prendre l’approche recommandée qui est de compiler les codes du logiciel open source.

Le site a publié un avertissement aux utilisateurs de conseils pour être particulièrement vigilant lors du téléchargement de la prochaine 0.13.0 libération de Btc de base. La crainte évidente est qu’une version falsifiée du Bitcoin de base puisse conduire certains utilisateurs à perdre le contenu de leurs portefeuilles numériques, ou voir leurs ordinateurs compromis et détournés en lançant d’autres attaques contre le réseau Btc. Bien que cette menace d’attaque ne soit pas confirmée, il est tout de même judicieux de prendre l’avertissement un minimum au sérieux. Une chose est claire, les utilisateurs Bitcoin une fois encore, craignent pour leur sécurité.

Un pirate sur la fréquence radio du NYPD

La police de New York est sur les dents. Un pirate s’amuse avec la fréquence sécurisée de la NYPD.

Voilà une pirate informatique qui risque gros, très gros. Un individu a joué avec la fréquence radio de la police de New York, une police considérée comme l’une des plus importantes « armées » du monde. Le pirate des ondes s’est amusé à insulter, durant de longues minutes, un policier. Le message s’est diffusé à travers plusieurs divisions de la NYPD. Parmi les « contacts » : une fausse intervention de la police, avec un tir mortel ; des menaces et des insultes. Un policier a répondu à ce trolleur « Hey, gars… faut grandir. Certaines personnes essaient de faire leur travail« . L’enquête est toujours en cours. Piratage de la fréquence ou utilisation d’une radio perdue par un policier ? (NYMag)

Piratage inédit de caméras de surveillance connectées

La société américaine Sucuri a mis en lumière un piratage inédit de caméras de surveillance connectées permettant de mener des attaques par déni de services contre des entreprises.

La société américaine Sucuri a mis en lumière un piratage inédit de caméras de surveillance connectées (25 000 caméras concernées dont 2% estimé en France), destiné à créer un réseau de botnet (machines zombies utilisées à l’insu de leur propriétaire) permettant de mener des attaques par déni de services contre des entreprises. Ce cas met une nouvelle fois en avant la problématique de sécurité des objets connectés. Ce n’est pas la premiére fois que le problème des caméras Ip est dénoncé. Lire les articles à ce sujet ICI et LA. Peter Gyöngyösi, Responsable produits chez BalaBit IT Security, fournisseur européen de solutions de sécurité contextuelle indique à ce sujet que « Les coûts de fabrication priment toujours sur la sécurité : Ce cas de piratage de 25 000 caméras de surveillance démontre une nouvelle fois la problématique de la sécurité des objets connectés de notre quotidien ». Cette fois, les conséquences ne ciblent pas directement les utilisateurs, le piratage n’aura donc clairement pas la même portée que celui d’un fabricant de jouets comme Vtech ou le piratage de babyphones, mis en lumière il y a quelques mois par exemple.

En effet, dans ce cas les criminels ont piraté des objets connectés pour utiliser leur puissance au sein d’un réseau de machines zombies- botnet (utilisées donc à l’insu de leur propriétaire) en vue de mener des attaques par déni de services contre des entreprises (envoi simultanée de milliers de requêtes dans le but de saturer les serveurs au sein des entreprises).

Même s’il fait moins parler, ce cas démontre l’importance d’un engagement fort des fabricants d’objets connectés en matière de sécurité. Car aujourd’hui, le développement d’objets connectés est une véritable aubaine pour les cybercriminels. Et malheureusement, aujourd’hui nous constatons qu’il est encore utopique de penser que la sécurité sera un jour une priorité dans la conception des objets connectés grand public.

Aujourd’hui, objets connectés signifient des développements très rapides, des objectifs de coûts les plus bas possibles, tout en conservant une expérience utilisateur simple, rapide et agréable. Et clairement, personne ne veut se compliquer la tâche avec des problèmes de sécurité complexes lorsqu’il s’agit d’utiliser un objet connecté. Ceci n’est pas une fatalité et il faut espérer que les choses vont changer, les fabricants doivent prendre de vraies mesures de sécurité et mettre en place des politiques de sécurité plus strictes. Rappelons que dans ce cas mis en lumière par la société Sucuri, le piratage a été permis par une simple faille présente dans un système commun utilisé par toutes les caméras. Une simple mise à jour aurait donc suffi à empêcher le piratage.

A noter que le 14 juin, Imperva Incapsula a neutralisé une attaque par déni de service distribué (DDoS) à 470 gigabits par seconde (Gbit/s), la plus intense enregistrée à ce jour.