Archives par mot-clé : piratage

Data Security Confidence : Se protéger des pirates ? Les entreprises doutent

Data Security Confidence – Une nouvelle étude révèle que la plupart des entreprises doutent de leur capacité à protéger leurs données en cas de cyberattaque.

Malgré l’augmentation du nombre de cyberattaques et la perte ou le vol de 3,9 milliards de registres de données depuis 2013, de nombreuses entreprises continuent d’avoir confiance dans l’efficacité du périmètre mis en place pour les protéger. Ceci est l’une des nombreuses conclusions mises en exergue par la troisième édition annuelle du Data Security Confidence Index publié par Gemalto.

Sur les 100 décideurs informatiques français interrogés, 39% déclarent que leurs systèmes de défense informatique (pare-feu, IDPS, antivirus, filtres de contenu, détecteurs d’anomalies, etc.) permettraient d’interdire très efficacement l’accès des personnes non autorisées au réseau. Cependant, 72 % disent ne pas être en mesure d’assurer la protection de leurs données si ces systèmes de défense venaient à être compromis. Ils étaient 51% dans ce cas en 2015 et 70% en 2014. En outre, 81% pensent que les utilisateurs non autorisés sont capables d’accéder au réseau, voire, pour 18% des interrogés, de l’infiltrer dans sa totalité.

« Ce rapport montre le fossé existant entre la perception et la réalité en ce qui concerne l’efficacité du périmètre de sécurité », souligne Jason Hart, VP et CTO de Gemalto pour la protection des données. « Même si l’époque de la prévention des cyberattaques est révolue, un grand nombre d’entreprises continuent de placer le périmètre de protection au cœur de leurs stratégies sécuritaires. Les professionnels doivent à présent changer leur façon de penser et ne plus chercher à prévenir les attaques, mais comprendre que ces dernières sont inévitables, et qu’ils doivent avant tout s’assurer de protéger les données ainsi que les utilisateurs qui y ont accès. »

Data Security Confidence

Même si le périmètre de sécurité reste prioritaire, il n’est pas suffisant. Toujours selon cette étude, 87% des décideurs informatiques français déclarent avoir ajusté leur stratégie en matière de sécurité après avoir été victimes d’une cyberattaque sophistiquée, un pourcentage qui était de 82% en 2015 et de 41% en 2014. D’autre part, 83% ont déclaré avoir augmenté le budget alloué à leur périmètre et 87% pensent que l’argent a été investi dans les technologies les plus adaptées.

Malgré les efforts qui continuent à être portés sur le périmètre de sécurité, les résultats de ce Data Security Confidence Index sont révélateurs des défis que les entreprises rencontrent en matière de vol de données. 82% des personnes interrogées en France indiquent que leur entreprise a fait l’objet d’un vol de données au cours des cinq dernières années. Plus d’un quart (32%) disent en avoir fait l’expérience depuis les 12 derniers mois, avec le même nombre de décideurs IT (30%) déclarant la même fréquence en 2015. Cela suggère que les entreprises n’ont pas réussi à limiter le nombre d’attaques, et ce malgré l’investissement réalisé au niveau du périmètre de sécurité.

« Alors que les entreprises pensent utiliser à bon escient leur budget sécurité, il est clair que les protocoles de sécurité employés ne répondent plus aux nouvelles exigences en la matière. Même si s’assurer de la robustesse de leur périmètre reste une priorité, elles doivent à présent adopter une approche multidimensionnelle en cas d’attaque. En ayant recours à des outils tels que le chiffrement de bout en bout et l’authentification à deux facteurs sur leur réseau et dans le cloud, elles seront capables de protéger l’ensemble de leur structure, ainsi que les données, ressources clés de l’entreprise, » conclut Hart.

Piratage d’utilisateurs de TeamViewer : la faute aux utilisateurs

Un nombre conséquent d’utilisateurs de TeamViewer se sont plaints du piratage de leur compte. La société américaine indique que les utilisateurs sont responsables… de leur négligence.

De nombreuses sociétés Internet comme Reddit ont dû modifier les mots de passe de certains de leurs utilisateurs, 100.000 pour Reddit, à la suite du piratage massif des données de Myspace, LinkedIn… Pourquoi ? Les utilisateurs exploitaient le même mot de passe sur différents supports numériques. Autant dire du pain béni pour les pirates. Parmi les victimes, le fondateur de Facebook. Lui, il cherchait doublement les ennuis, son mot de passe n’était rien d’autre que « dadada« . Bref, à force de penser que cela n’arrive qu’aux autres, le danger vous tombera dessus, un jour ou l’autre, et plus rapidement que vous pourriez le penser.

TeamViewer, l’outil qui permet de se connecter sur un ordinateur, à distance, vient d’alerter ses utilisateurs. Un grand nombre de clients TeamViewer s’étaient plaints du piratage de leur compte. L’entreprise a utilisé le terme de « négligence » pour définir les récents problèmes.

TeamViewer a mis en place, la semaine dernière, un nouveau système de sécurité pour renforcer les connexions : la double authentification. Le porte-parole de TeamViewer a indiqué que le développement des outils de sécurité avait commencé, il y a quelques semaines, lorsque les premiers rapports de vols de compte ont émergé du web.

Un million d’ordinateurs piégés par un botnet

Un botnet infectant près d’un million de machines détourne les requêtes effectuées sur Google, Bing et Yahoo. Les programmes d’affiliation publicitaires génèrent des millions de dollars de revenus, ce qui n’a pas échappé aux pirates. Les redirections frauduleuses de trafic et le détournement de clics sont exploités depuis longtemps.

Il y a seulement quelques semaines, les auteurs du malware botnet DNSChanger ont été condamnés à sept ans de prison pour ce type de pratiques. Grâce à ce malware, Vladimir Tsatsin avait ainsi pu gagner un million de dollars en modifiant les paramètres DNS des ordinateurs infectés pour détourner les publicités, effectuer du « clickjacking » ou modifier les résultats des moteurs de recherche. Avec la nouvelle génération de clickbots tels que le Trojan Redirector.Paco ce type de détournement de revenus publicitaires prend une ampleur sans précédent. Le cheval de Troie Redirector.Paco repose sur un fichier PAC (Proxy auto-config) permettant de rediriger toutes les recherches effectuées via Google, Bing ou Yahoo des machines infectées sur des résultats définis par les pirates.

Comment ça marche ?
L’objectif du malware est de rediriger tout le trafic généré lors de l’utilisation d’un des principaux moteurs de recherche (Google, Yahoo ou Bing) et de remplacer les résultats de cette recherche par ceux obtenus à partir d’un autre moteur conçu à cet effet. Le but étant de permettre aux cybercriminels de gagner de l’argent grâce au programme AdSense. Le programme Google AdSense for Search affiche normalement des publicités contextuelles sur les pages de résultats du moteur de recherche et partage une partie de ses revenus publicitaires avec les partenaires du réseau AdSense. Pour rediriger le trafic, le malware effectue quelques réglages simples au niveau du registre. Il modifie les valeurs des clés AutoConfigURL et AutoConfigProxy des paramètres Internet de sorte que pour chaque requête effectuée par l’utilisateur, une requête de fichier PAC (Proxy auto-config) soit effectuée. Ce fichier impose au navigateur Web de rediriger le trafic vers une adresse différente.

Le malware s’efforce de donner une apparence d’authenticité aux résultats obtenus. Cependant, certains indices devraient normalement alerter les utilisateurs. Dans la barre d’état du navigateur, des messages tels que « Waiting for proxy tunnel » ou «Downloading proxy script » peuvent être affichés. Deuxièmement, la fausse page Google est anormalement longue à charger. De plus, le malware n’affiche pas les lettres colorées habituelles du logo Google au-dessus des numéros de page. Le botnet Redirector.Paco est en activité depuis la mi-septembre 2014. Depuis, il a réussi à infecter plus de 900 000 adresses IP dans le monde entier, principalement en Inde, Malaisie, Grèce, Italie, au Pakistan, au Brésil, aux États-Unis, et en Algérie.

25 bases de données piratées diffusées sur la toile

25 bases de données piratées diffusées sur Internet par un pirate. De la promo vente sur le dos de millions d’internautes. Des Français concernés.

Le 18 mai dernier, un pirate informatique a décidé de diffuser sur Internet 25 bases de données piratées. Les cibles de ce malveillant numérique courent de 2014 à 2016. J’ai pu constater de nombreuses informations de Français enregistrées dans les bases de données volées aux sites 000webhost, Vodaphone, SnapChat, BlackHatWorld pour ne citer qu’eux.

La plus récente des BDD concerne le site LinuxMint, piraté en 2016. Le pirate a diffusé les contenus non pas par beauté du geste, il n’y en a aucun dans tous les cas, mais par intérêt économique. D’abord il diffuse son compte Bitcoin, histoire de s’attirer les donateurs, mais aussi les clients qui pourraient lui commander d’autres données, via les informations qu’il garde en secret, dans son ordinateur. Il met aussi en pâture des bases de données qu’il n’a plus besoin. Des millions de datas ponctionnées, vidées, revendues dans le black market, depuis des semaines.

Les cybers attaques ont un impact réel sur la confiance des consommateurs

Une enquête menée par le cabinet d’études VansonBourne à l’initiative de FireEye auprès d’un panel représentatif de 1000 consommateurs français, révèle que les cyber attaques de grande ampleur qui se sont produites en 2015 ont affecté durablement la confiance des consommateurs envers les grandes marques.

Les résultats de l’enquête ont mis en évidence une inquiétude grandissante du public directement liée à la perception d’un manque d’intérêt des directions générales pour la protection des données, plus des trois quarts (77%) des consommateurs déclarant être prêts à stopper leurs achats auprès d’une entreprise si une cyber attaque révélait une négligence de la part des dirigeants sur la protection des données. Cette négligence des dirigeants est d’ailleurs jugée plus grave que si la faille de sécurité est simplement due à une erreur humaine, seules 53% des personnes interrogées évoquant cette raison pour stopper leurs achats.

Les conclusions de l’enquête révèlent également l’impact financier potentiel sur le long terme des vols de données pour les grandes marques, 54% des consommateurs déclarant qu’ils engageraient des poursuites judiciaires contre les entreprises si leurs données personnelles étaient volées ou utilisées à des fins criminelles à la suite d’une cyber attaque. 71% des consommateurs indiquent également qu’ils divulgueront à l’avenir moins d’informations personnelles aux marques avec lesquelles ils sont en relation, ce qui pourrait avoir un impact négatif sur les ventes de beaucoup d’entreprises qui exploitent les donnes de leurs clients pour optimiser leur marketing.

Richard Turner, President EMEA de FireEye, a déclaré : « Les cyber attaques et les vols de données se sont multipliés dans l’actualité au cours de l’année écoulée, et les entreprises françaises n’ont pas toutes été épargnées. Les dirigeants des entreprises concernées ont dû réagir immédiatement pour limiter les pertes financières directes, en offrant des ristournes ou d’autres compensations aux consommateurs ». Mais cette enquête montre que les pertes financières dues à un vol de données s’étendent longtemps après que l’attaque initiale ait eu lieu. Elle met en lumière le « coût caché » des cyber attaques sur les entreprises, avec des consommateurs moins enclins à acheter auprès d’organisations réputées négligentes en matière de sécurité, et de plus en plus tentés d’engager des poursuites contre des fournisseurs si leurs données tombent en de mauvaises mains.

Les conclusions de cette enquête sur la confiance des consommateurs montrent que les perceptions négatives du public pour les marques attaquées peuvent persister longtemps après qu’elles aient quitté l’actualité, et que de plus en plus de consommateurs affectés par les vols de données pointent du doigt les responsables tout en haut de l’échelle. Il y a là des leçons importantes à retenir pour les directions générales, qui commencent à comprendre pourquoi elles doivent jouer un rôle plus actif dans la cyber sécurité. Il est également intéressant de voir dans ces résultats que les consommateurs accordent de plus en plus d’importance à la sécurité des données et gardent cet aspect à l’esprit lors de leurs décisions d’achat. Alors que la sécurité des données a été trop souvent considérée par le passé par les entreprises comme un simple centre de coût, elle représente désormais pour elles une opportunité d’attirer de nouveaux clients qui veulent avoir l’assurance que leurs données seront en sécurité. »

Les principales conclusions de l’enquête sur la confiance des consommateurs

·         Plus de la moitié des consommateurs interrogés (53%) déclarent prendre la sécurité de leurs données personnelles en considération lorsqu’ils achètent des produits et services.

·         71% des consommateurs interrogés divulgueront dans l’avenir moins de données personnelles aux organisations qui leur fournissent des produits et des services, en conséquence des cyber attaques majeures qui ont eu lieu l’année dernière.

·         Près de la moitié (42%) des consommateurs seraient prêts à payer plus un fournisseur de service garantissant une meilleure sécurité des données.

·         54% des consommateurs déclarent qu’ils engageraient des poursuites judiciaires contre leurs fournisseurs de produits et services si leurs données personnelles étaient volées ou utilisées à des fins criminelles à la suite d’une cyber attaque.

·         13% des personnes interrogées déclarent que la sécurité de leurs données personnelles est désormais leur principale préoccupation lorsqu’elles achètent des produits et services.

·         38% des consommateurs déclarent que les cyber attaques de grande ampleur qui se sont produites l’année dernière ont eu un impact négatif sur leur perception de la réputation des entreprises attaquées, tandis que 30% d’entre eux déclarent que ces cyber attaques ont dégradé la réputation de toutes les entreprises auprès desquelles elles font leurs achats.

·         21% des personnes interrogées qui ont eu connaissance des cyber attaques de l’année passée considèrent que la communication des dirigeants des entreprises concernées a été mauvaise ou très mauvaise.

·         L’enquête a également révélé que 93% des personnes interrogées s’attendraient à être informées dans les 24 heures si leur fournisseur de service était victime d’une attaque susceptible de compromettre leurs données. La nouvelle directive européenne GDPR (General Data Protection Regulation) imposant que les autorités soient informées d’un vol de données dans les 72 heures, ceci montre que les consommateurs sont encore plus stricts dans leurs exigences, 68% d’entre eux s’attendant même à être informés immédiatement.

Renforcer la cybersécurité des organismes financiers

La société financière SWIFT a publié très récemment un communiqué visant à sensibiliser ses 11 000 banques clientes à relever le niveau de sécurité lors de l’utilisation de leur système de transfert. Cette recommandation fait suite à la cyberattaque perpétrée contre la Banque Centrale du Bangladesh (BCB) ayant conduit au vol de 81 millions de dollars via un système de transfert de fonds Swift.

Dans ce contexte de sensibilisation accrue et de transformation digitale des entreprises, les cyberattaques perpétrées contre les organismes financiers démontrent le besoin global de revoir la place de la sécurité dans les stratégies des organismes financiers et des entreprises, aux plus hauts niveaux de ces dernières. C’est d’autant plus essentiel à l’heure où les dommages collatéraux tels que l’impact sur le cours de la bourse et sur les investissements semblent inévitables.

Jean-François Pruvot, Regional Director France chez CyberArk, commente à Data Security Breach : « La cybersécurité doit irrévocablement être considérée comme une priorité par les entreprises car les répercussions immédiates d’une faille de sécurité concernent directement, et en premier lieu, leurs dirigeants qui sont porteurs de ces questions et sont donc tenus pour responsables du moindre incident. Dans le cas d’une cyberattaque de grande ampleur, cela aboutit la plupart du temps au renvoi ou à la démission quasi immédiate du PDG, comme ce fût le cas, par exemple, de la Banque Centrale du Bangladesh. Des mesures souvent radicales qui s’expliquent par des arguments économiques et stratégiques« .

D’un point de vue économique, les cybermenaces doivent aujourd’hui être considérées comme un risque systémique. En effet, les attaques contre les organisations financières impactent directement les investissements et le cours de la bourse, ce qui contribue à inciter les agences de notation et les organismes de contrôles financiers, qui jusqu’à présent ne prenaient pas en compte le risque cyber dans leurs analyses, à l’intégrer de plus en plus, à l’instar d’analystes financiers tels que Moody’s. L’adoption de cette démarche anticipative leur permet entre autres d’éviter que les investisseurs ne se retournent contre eux dans le cas d’un décrochage boursier causé par une cyberattaque.

Relever le niveau de sécurité

Par ailleurs, dès lors que les investissements et/ou le cours de la bourse sont impactés, les organisations doivent prendre conscience de l’effet « boule de neige » d’une cyberattaque, d’un point de vue stratégique. En effet, en attaquant l’entreprise, elle touche en premier lieu la direction, suivi du comité de direction et par extension atteint le conseil d’administration. Cela conduit à la nécessité de développer en amont un plan d’urgence, tenant compte des répercussions sur l’image et la réputation, pour faire face à l’éventualité d’une cyberattaque. Mais ce qui aura le plus de poids est sa manière d’appréhender une telle crise auprès de ses clients, partenaires et investisseurs et surtout sa capacité à recouvrer le business suite à une compromission. Par exemple, le renvoi effectif d’un dirigeant, ou sa démission, reste à l’heure actuelle quasiment inévitable car il démontre une volonté de l’entreprise d’aller de l’avant et de ne pas reproduire les mêmes erreurs : il envoie un message de renouveau à l’opinion.

Cependant, avant d’en arriver là, les hauts dirigeants, qui ont en majorité pris conscience de la menace du risque lié à la cybersécurité, doivent à présent s’atteler sérieusement à la mise en place et au verrouillage d’un plan de sécurité de l’information au sein de leur organisation, et ce, au-delà des investissements financiers dans les technologies. Pour y parvenir, ils doivent indiscutablement impliquer l’ensemble des départements de l’entreprise afin d’adresser à l’unisson, et en priorité, le problème central des pirates informatiques qui trouveront le moyen de s’introduire dans le périmètre de sécurité, et de détourner et d’abuser d’identifiants afin d’accéder à des informations sensibles ou de perpétrer des transactions frauduleuses dont les conséquences risquent de marquer l’organisme au fer rouge pour de longues années.

Une faille du Login de Facebook corrigée

Les pirates se faisaient passer pour les titulaires des comptes en exploitant une faille du Login de Facebook.

Les Bitdefender Labs ont révélé une vulnérabilité  lors de l’authentification en ligne sur des sites Web tiers via Facebook. Un manque de mesure de sécurité lors de la validation permet aux pirates d’usurper l’identité des internautes et d’accéder, sans mot de passe, à leurs comptes en ligne.

Les social logins sont une alternative à l’authentification traditionnelle et un mode apprécié par les utilisateurs pour leur côté pratique : ils permettent aux utilisateurs de se connecter à leurs comptes Web sans saisir leur nom d’utilisateur ni leur mot de passe. La plupart des sites offrent des social logins via Facebook, LinkedIn, Twitter ou Google Plus. Les chercheurs des Bitdefender Labs ont trouvé un moyen d’usurper l’identité de l’utilisateur et d’avoir accès à ses comptes Web en utilisant le plug-in Facebook Login.

« Il s’agit d’une vulnérabilité grave qui permet aux pirates de créer un compte avec une adresse e-mail ne leur appartenant pas et de changer l’adresse e-mail liée au compte d’un site par une autre adresse non vérifiée », prévient Ionut Cernica, chercheur spécialiste des vulnérabilités chez Bitdefender. « Cela signifie qu’un pirate peut effectuer des paiements en ligne au nom de l’utilisateur, arrêter son moteur antivirus pour infecter ses périphériques, propager des malwares à ses contacts et bien plus encore. »

Pour que l’attaque réussisse, l’adresse e-mail de la victime ne doit pas déjà être enregistrée sur Facebook. La plupart des internautes ont plus d’une adresse e-mail publiée sur différents sites Web, accessibles à tout le monde. Il est donc assez simple pour le pirate d’obtenir une de ces adresses et de créer un compte Facebook avec cette dernière.

Pour vérifier l’identité d’un utilisateur sans exposer ses identifiants d’authentification, Facebook Login utilise le protocole OAuth. Grâce à OAuth, Facebook est autorisé à partager certaines informations de l’utilisateur avec le site Web tiers.

Comment se fait l’usurpation d’identité ? Une faille du Login de Facebook

Bitdefender a réussi à contourner l’étape de confirmation généralement requise lors de l’enregistrement d’une nouvelle adresse e-mail Facebook.

L’un de ses chercheurs a créé un compte Facebook avec l’adresse e-mail de la victime.

Après l’inscription, il a remplacé l’adresse e-mail par une autre dont il a le contrôle.

Après actualisation de la page, il apparaît que l’adresse e-mail de la victime a également été validée.

Lorsque le chercheur a tenté de se connecter sur un autre site via le bouton Facebook Login (avec l’adresse e-mail de la victime), il a dû confirmer sa propre adresse e-mail, et non celle de la victime.

Bien que le chercheur de Bitdefender n’ait confirmé que son compte personnel dans les paramètres du compte Facebook, l’adresse de la victime était bien le contact principal.

« J’ai utilisé à nouveau Facebook Login et décidé de mettre mon adresse comme contact principal à la place de celle de la victime, puis de la changer à nouveau pour faire du compte de la victime le compte principal. C’est une étape importante pour reproduire le problème », a ajouté Ionut Cernica.

Puis, sur un autre site Web, le chercheur de Bitdefender a utilisé Facebook Login pour se connecter sous l’identité de la victime. Le site a fait le lien entre l’adresse e-mail de la victime (en passant par Facebook) et le compte existant et a permis au chercheur, qui aurait pu être un pirate, de contrôler ce compte. « Le fournisseur d’identité – dans ce cas, Facebook – aurait dû attendre que la nouvelle adresse e-mail ait bien été vérifiée », affirme Ionut Cernica à DataSecurityBreach.fr.

Une faille du Login de Facebook corrigée rapidement. Facebook a réparé la vulnérabilité après en avoir été alerté par Bitdefender.

La France : une cible privilégiée pour les cybercriminels

Selon la société américaine de sécurité informatique Symantec, la France fait son retour dans le top 10 des pays à cybercriminalité la plus active, aux côtés de la Chine et des Etats-Unis. Quelles sont les sanctions en pratique ? Ce récent sondage questionne l’effectivité des dispositifs juridiques mis en place en vue de lutter contre le piratage. Bref, comment ne pas finir comme cible privilégiée pour les cybercriminels ?

La position de la France en la matière s’explique en grande partie par l’utilisation croissante des rançongiciels. En effet, ces derniers représenteraient plus de 391 000 attaques en 2015. L’utilisation de ces logiciels malveillants permet aux hackers de chiffrer les fichiers d’un ordinateur, avant d’exiger une rançon en contrepartie de leur décryptage.

Un récent sondage de Kaspersky montrait que les pays les plus visés par cette pratique sont la Russie, l’Inde et l’Allemagne. Il sévit également en Italie, en Autriche, aux Etats-Unis, et en Chine. Marco Preuss, chargé de la recherche et du développement au sein de Kaspersky Lab en Europe, a d’ailleurs déclaré que « 2016 est probablement l’année du ransomware. Au cours du seul mois de février, nous avons déjà dénombré autant de tentatives d’attaques contre nos clients que lors des cinq mois précédents cumulés ». Des chiffres qu’il faut cependant modérer. L’entreprise américaine se base sur ses chiffres clients.

Bien qu’il existe 60 variantes de ce programme, le procédé est toujours le même. Il est généralement reçu par courriel dans lequel figure la plupart du temps une pièce jointe qui peut se présenter sous la forme d’une notification de fax ou de scanner. Une fois installé sur l’ordinateur, une bannière sur laquelle il est indiqué qu’il faut envoyer un SMS à un numéro de téléphone spécifié ou verser de l’argent sur un compte bancaire, s’affiche.

Cible privilégiée pour les cybercriminels

L’Agence nationale de sécurité des systèmes informatiques mène actuellement une campagne de sensibilisation sur l’utilisation des rançongiciels, ce qui démontre l’ampleur du phénomène. En cas d’infection de l’ordinateur, elle préconise de porter plainte au commissariat de police.

Il est en effet possible d’agir à l’encontre des pirates informatiques sur le fondement des articles 323-1 et suivants du Code pénal. En effet, le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60 000 euros d’amende. De même, le fait d’entraver le fonctionnement d’un système informatique est puni de cinq ans d’emprisonnement et 150 000 euros d’amende. Enfin, est puni des mêmes peines, le fait d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données d’un tel système.

D’où il résulte, la nécessité accrue d’une vigilance renforcée pour ne pas finir comme une cible privilégiée pour les cybercriminels. Les entreprises ont de plus en plus conscience des enjeux que représente la sécurité de leurs systèmes informatiques. Toutefois, encore faut-il que les textes précités soient appliqués ! L’impunité du piratage informatique engendre un risque augmenté d’insécurité des systèmes informatiques. Il est indispensable que les forces de police et les magistrats veillent au respect de ces dispositions, ce qui n’est pas le cas à l’heure actuelle. A quand une prise de conscience ?

Par Maitre Antoine Chéron, pour DataSecurityBreach.fr, avocat spécialisé en propriété intellectuelle et NTIC, fondateur du cabinet ACBM (http://www.acbm-avocats.com)

43 heures de communications pirates pour la Ville de Solignac

La commune de Solignac se fait pirater son standard téléphonique. Aucun employé ne s’était rendu compte du problème. L’opérateur va réagir après avoir découvert 43 heures de communications pirates durant le week-end de Pâques.

Que dire ? Les petites et moyennes communes ne prennent pas leur sécurité informatique au sérieux. Le silence est d’or, l’excuse du droit de réserve a bon dos… Le dos de l’argent et des données des contribuables s’envolant à coups de piratages, fuites de données, ransomwares, phreaking…

C’est d’ailleurs du phreaking, piratage dans la téléphonie, qui vient de toucher une commune de la région de Limoges. La Direction Générale de la mairie de Solignac a été alertée par l’opérateur Orange d’un étrange comportement de sa ligne téléphonique. Le pirate est un malin, 43 heures d’appels téléphoniques illicites sur le dos des finances de la ville, entre le samedi après-midi et la nuit du lundi au mardi du week-end de Pâques.

Les phreakers sont particulièrement bien organisés. Je peux en croiser, dans certains blackmarkets,  proposant ce type de service. Durant ces trois jours, 283 appels à destination de l’Azerbaïdjan, le Pakistan, le Liberia, la Somalie,  les Iles Falkland, les Maldives et Haïti. Bref, plusieurs dizaines de milliers d’euros envolés.

Du piratage de standard téléphonique qui n’est pourtant pas une nouveauté. Malheureusement, je croise trop de chefs de service aux égos surdimensionnés, aux titres ronflants et à l’incapacité de gérer l’informatique, la sécurité, ou simplement la communication sur ce type de méfait. Je ne parle même pas des budgets qui se réduisent comme peau de chagrin et des employés territoriaux devenus responsables informatiques par l’effet du Saint-Esprit (comprenez le piston). Je ne généralise pas, mais mes constatations me font dire que cela ne s’arrange pas. En novembre 2015, 43 000 € de détournement téléphonique au Conseil Départemental des Deux-Sévres ; 15 000 à la commune de Pessac, 15 000 pour la commune de Licques… et ici, je ne parle que des cas connus.

Communications pirates : ce que dit la loi

Pour les pirates, la loi est claire : piratage, escroquerie, … entre 5 et 7 ans de prison et jusqu’à 350000 euros d’amende. Pour l’entreprise impactée, il est dorénavant possible de se retourner contre le prestataire de service, l’entreprise qui a pris en charge l’installation du standard. Une jurisprudence condamne les intégrateurs dans la mesure où ces derniers n’ont pas informé et formé leurs clients.

Une tentative de piratage oblige une entreprise de transport à fermer ses serveurs

L’autorité des transports publics australienne, qui gère trains, bus et ferries, a du fermer ses sites web et serveurs informatiques internes à la suite d’une tentative de piratage.

Une tentative de piratage a mis en panique totale l’autorité des transports publics australienne. Une tentative malveillante suffisamment sérieuse, à première vue, pour obliger la compagnie à fermer l’accès de l’intégralité de ses sites Internet et serveurs informatiques internes. Bilan, les clients ne pouvaient plus accéder aux informations liées aux bus, trains et bateaux. Les employés ne pouvaient plus utiliser leur compte mail. « Les lignes téléphoniques ne sont pas affectées » annonce la société sur son fil Twitter !

Stopper la progression des pirates au cœur des systèmes informatiques

Systèmes informatiques – Selon une étude conduite récemment par le Club des experts de la sécurité de l’information et du numérique (Cesin), 81 % des entreprises et administrations françaises déclarent avoir subi une attaque au cours des douze derniers mois et 93 % ne font pas confiance à leurs outils informatiques, leurs fournisseurs et leurs hébergeurs.

L’erreur humaine, les vulnérabilités favorisées par la montée du cloud et la généralisation du BYOD dans les entreprises sont autant de facteurs de risques qui menacent la sécurité de leurs données et fragilisent la confiance des RSSI en leur capacité à contrôler l’ensemble des points d’accès du système d’information.

La plupart des attaques avancées commencent par des e-mails de phishing envoyés aux utilisateurs d’une entreprise qui ne disposent pas d’accès aux comptes d’administrateurs dits « à privilèges ou hauts-pouvoirs » par défaut. Ces derniers, permettant d’accéder à l’ensemble des données de l’entreprise et de prendre le contrôle des systèmes, sont la première cible des cyberattaques. Ainsi, les comptes disposant de privilèges d’administration locaux représentent un important vecteur d’attaque car ils se trouvent sur chaque terminal et sur chaque serveur de l’environnement. En outre, les comptes d’utilisateurs individuels qui y résident et disposent de privilèges d’administration contribuent à accroître la surface d’attaque. En moyenne, dix emails1 suffisent aux pirates informatiques pour parvenir à leurs fins et introduire un malware au sein des systèmes. Ces programmes malveillants très sophistiqués, lorsqu’ils ont pénétré le réseau, exploitent des machines, dérobent des données, capturent les informations d’identification des comptes à hauts pouvoirs ou endommagent des systèmes. L’erreur étant fondamentalement humaine, tout le monde est susceptible de se faire piéger au moins une fois par un email de phishing, que ce soit par manque d’attention ou par curiosité, ce qui confirme une nouvelle fois que la menace se trouve aussi à l’intérieur. Il ne s’agit donc plus d’empêcher une intrusion dans un système avec un pare-feu, un anti-virus ou tout système de blocage à l’entrée du réseau, mais bien de stopper la progression des pirates déjà infiltrés à l’intérieur du réseau.

Systèmes informatiques

Il est par ailleurs difficile pour les équipes IT de faire un suivi détaillé de l’ensemble des applications et programmes présents dans les systèmes d’une organisation et d’en vérifier précisément la fiabilité. Partant du principe qu’une entreprise peut rassembler jusqu’à 20 000 applications métiers2, on peut facilement concevoir que des applications corrompues passent inaperçues et constituent des portes d’entrée dans les systèmes, et donc un accès direct aux données de l’entreprise. C’est là que la gestion des droits d’administration relatifs aux applications s’avère cruciale : ainsi, une entreprise peut intervenir sur les droits de l’utilisateur afin d’éviter les erreurs liées à la modification des configurations systèmes, à l’installation de programmes malveillants ou encore à l’accès et à la modification de comptes utilisateurs. Toutefois, révoquer tous les droits d’administration des utilisateurs oblige parfois les équipes IT à leur accorder de nouveau des privilèges pour effectuer certaines tâches au niveau des applications. Ces derniers, une fois accordés, sont rarement révoqués et s’accumulent au fil du temps, rouvrant ainsi une faille de sécurité liée à l’excès de droits d’administration ; supprimer ces droits pour les utilisateurs au niveau des points d’accès et des serveurs sans contrôler au préalable les programmes autorisés sur ces machines favorise l’introduction et l’exécution autonomes d’applications malveillantes au sein du réseau.

Pour relever ces défis, les organisations ont besoin d’outils flexibles, permettant d’automatiser la gestion des privilèges des administrateurs locaux et le contrôle des applications sur l’ensemble des périphériques et serveurs. En privilégiant la combinaison du contrôle d’application et du principe du « moindre privilège » pour développer une approche de sécurité équilibrée et organisée par couches, les organisations peuvent réduire la surface d’attaque et mieux se protéger contre les menaces ayant déjà pu infiltrer le système. Ainsi, les équipes de sécurité sont immédiatement alertées de potentielles tentatives d’attaques en cours, le tout sans perturber la productivité des employés, ni surcharger les services IT en charge de la sécurité. Si on considère qu’un pirate motivé parviendra toujours à s’introduire dans le système d’une entreprise, ces mesures bloqueront sa progression et l’empêcheront de naviguer des points d’entrée vers les serveurs pour prendre possession du réseau. (Par Jean-François Pruvot, Regional Director France chez CyberArk)

Sources:
1- Verizon, « 2015 Data Breach Investigations Report », page 13
2- Viewfinity, « IT Security’s 50 Shades of Grey Whitepaper », page 2

1,5 million de comptes volés sur le site KM.RU à la suite d’un piratage politique

Piratage – Le portail Russe KM.RU piraté. L’auteur indique avoir volé 1,5 million de données pour soutenir l’Ukraine.

Le portail Russe KM.RU propose un service de webmail. Ce service de courriel a été la cible d’une attaque informatique qui est annoncée comme une action politique par son auteur. Le pirate, qui se baptise Cyber Anak, explique sur Internet que les données ont été volées en juillet 2015. Il souhaitait les diffuser après qu’un avion Ukrainien se soit écrasé. Un missile Russe avait été pointé alors du doigt comme la raison de ce mystérieux incident. « La raison qui me pousse à diffuser ces données aujourd’hui [mars 2016] (…) je proteste contre la politique étrangère de la Russie en ce qui concerne l’Ukraine. » Dans les données volées, j’ai pu constater les dates de naissance, adresses mails, emplacements géographique, adresses mails de secours, questions et réponses de sécurité, pseudonymes… d’1,5 millions d’utilisateurs Russes.

Sécurité des voitures connectées : l’importance de l’identité

Depuis quelques années, de plus en plus de produits rejoignent l’Internet des Objets. S’il était auparavant réservé à de simples produits, il s’étend aujourd’hui à des produits haut de gamme tels que les voitures connectées. En effet, selon l’IDATE, en 2020, 420 millions d’automobilistes généreront un marché de connectivité d’une valeur de 9 milliards d’euros.

Cependant, les voitures, devenant de plus en plus de véritables plateformes informatiques au lieu d’être simplement un moyen d’aller d’un point A à un point B, sont également des cibles de plus en plus attrayantes pour les hackers. 40 millions d’automobilistes a notamment dévoilé en 2014 que trois quarts des voitures volées en France sont électroniquement piratées. Les questions de sécurité et d’identité doivent donc être prises en compte en faisant appel à des experts du domaine. La sécurité menée par l’identité va devenir une nécessité, et le contrôle de sécurité par le propriétaire est susceptible de devenir monnaie courante.
 
Voitures connectées : Un secteur en pleine expansion mais un manque de sécurité
La transformation numérique touche l’ensemble des secteurs d’activités mais en particulier celui de l’automobile. En effet, ce secteur est incontestablement en pleine mutation. Le métier des constructeurs automobiles évolue sans cesse et d’ici une dizaine d’années les sociétés automobiles seront totalement différentes, passant d’un profil de constructeurs à celui de prestataires de services.

L’ensemble des constructeurs et des sous-traitants du secteur automobile produisent aujourd’hui en majorité des smart devices, c’est-à-dire des objets intelligents tous connectables. Pourquoi ? Car à terme ils souhaitent récupérer l’ensemble des données attenantes à un véhicule (distance parcourue, vitesse, taux de freinage, etc.) pour fournir des services basés sur ces dernières. En effet, en manipulant ces données relatives à l’utilisateur, ils pourront lui fournir des services dédiés et ainsi augmenter leur part de marché.

On estime aujourd’hui qu’il y a entre 40 et 60 millions de voitures connectées dans le monde, chacune comportant un grand nombre d’objets intelligents eux-mêmes connectés à internet. D’ici 5 ans, ce chiffre devrait passer à plus de 200 000 millions. Seulement, on estime aussi que le niveau de sécurité de ces voitures est équivalent au niveau de sécurité dont disposaient les ordinateurs et les systèmes d’informations des entreprises des années 80-85…

Des voitures connectées encore trop vulnérables
A ce jour, énormément de tests ont été réalisés pour démontrer la vulnérabilité des voitures connectées, au cours desquels des ingénieurs spécialisés en sécurité ont pu à distance se connecter à des voitures. Une grande partie des véhicules proposés par les grandes marques du marché automobile ont en effet été testés et piratés. La totalité des constructeurs est réellement concernée par ce sujet.

Au cours de ces tests, les ingénieurs ont pu effectuer à distance différentes actions relativement bénignes : allumer la radio, activer les essuies glaces, allumer les feux, etc. Cependant, ils ont également réussi à baisser les vitres, à stopper le moteur sans que le conducteur de la voiture ne puisse le redémarrer ou encore à couper les freins sans que ce dernier ne puisse les réactiver. Ces prises de contrôle à distance peuvent donc avoir des conséquences graves si la personne aux commandes est un pirate informatique mal intentionné.

Un élément au cœur de la transformation numérique du secteur : l’identité
Aujourd’hui, l’ensemble des voitures dites « intelligentes » dispose d’un ordinateur de bord connecté à internet. A travers cette connexion internet, il est possible de se connecter à ces ordinateurs et d’accéder aux différents appareils tels que celui gérant l’allumage du moteur, le réglage des freins, etc.

Désormais lorsque l’on parle d’une automobile, l’identité est un élément central : identité de l’utilisateur, de la voiture, des dizaines voire des centaines d’objets connectés au sein d’un véhicule, etc. Le problème majeur est qu’il n’y a pas de corrélation entre l’identité du conducteur et l’ensemble des identités des objets intelligents présents dans la voiture.

En terme de sécurité, il faut créer cette relation pour que seule l’identité du conducteur, préalablement fortement authentifiée, puisse engager les actions sur ou au travers de l’identité des différents objets connectés. Ainsi lorsqu’un pirate cherchera à prendre le contrôle d’un véhicule à distance, son identité n’étant pas reconnue par les différents objets connectés, il n’y aura pas accès. Il est donc nécessaire de mettre en œuvre une plateforme de gestion des identités qui va permettre de contextualiser et de relier entre elles ces différentes identités.

Une authentification nécessaire mais non contraignante pour les voitures connectées
Lorsqu’il y a authentification de l’identité du propriétaire, le véhicule n’est pas forcément uniquement dédié à ce dernier. L’identité d’un véhicule ou d’un objet peut être reliée aux différentes identités physiques des individus qui auraient une interaction avec elle. Un véhicule peut par exemple être rattaché aux différents membres d’une famille avec une autorisation pour chacun des parents ainsi que pour leur fille titulaire du permis de conduire. De plus, chacun peut avoir des autorisations spécifiques quand aux différentes actions qu’ils vont pouvoir réaliser. On peut par exemple relier l’identité de la voiture à celle du fils âgé de 10 ans et lui interdire totalement d’avoir accès au contrôle du moteur, des freins, etc.

Enfin, au delà d’une base logicielle s’appuyant sur des standards d’authentification, différentes méthodes sont envisageables : empreinte digitale, reconnaissance faciale … et tout ce que les constructeurs seront capables d’imaginer dans les années à venir ! (Ismet Geri, vice-président France et Europe du sud chez ForgeRock)

Classification des données : la première étape pour sécuriser votre propriété intellectuelle

Le piratage médiatisé du site Ashley Madison devrait inciter toute entreprise hébergeant des données (à vrai dire, toutes les entreprises de la planète) à se pencher sérieusement sur la sécurité de leurs données. Dès lors que vous saisissez des informations d’une personne dans la base de données de votre entreprise, vous devez vous assurez que ces dernières restent privées et confidentielles. Cette exigence fait partie des bonnes pratiques, et, dans certains pays, elle est même réglementaire.  En cas de piratage et de divulgation de ces données, vous pourriez bien encourir des poursuites judiciaires et des pénalités… sans compter la mauvaise presse qui ternira l’image de votre entreprise.

Les entreprises soumises aux réglementations les plus strictes, dans les métiers de la finance et des soins de santé par exemple, connaissent plutôt bien les informations dont elles disposent, ainsi que leur niveau de confidentialité. Mais de nombreuses autres entreprises ne sont pas forcément au fait de leurs obligations en matière de sécurité de leurs bases de données. A titre d’exemple, un point de vente est susceptible de détenir des informations personnelles liées à un programme de fidélité, tandis qu’un acteur de la vente par correspondance gère des centaines ou des milliers de numéros de carte de paiement. Autant de données qui exigent d’être parfaitement sécurisées.

Et il ne s’agit pas que des informations personnelles : toute ressource ou donnée confidentielle ou propriétaire (propositions commerciales, rapport de gestion de la relation clients, plans stratégiques, et autres), bien que ne relevant pas forcément de la réglementation en matière de confidentialité des données, doit néanmoins rester à l’abri des regards indiscrets.  Et pour compliquer les choses, dès que vous stockez les données dans le Cloud ou dans des centres de données tiers, vous perdez quelque peu le contrôle sur la gestion de ces données. Pas simple et clair de connaître précisément vos obligations et responsabilités.

Les métadonnées, essentielles à la protection des données
L’une des étapes clé lorsque vous sécurisez vos bases de données est de classifier ces données. Toutes les données ne représentent pas la même valeur pour votre entreprise. Certaines, d’ordre financière, ou portant sur des informations clients ou personnelles, exigent une protection optimale. D’autres éléments, à l’image de documents internes généralistes ou de brochures marketing ne sont pas aussi sensibles. Il est donc pertinent de ne pas traiter toutes vos données de la même façon. La hiérarchisation des données peut également impacter le stockage. Certaines données peuvent être stockées en mémoire pour un accès rapide, tandis que d’autres trouveront leur place sur des bandes magnétiques.

Le concept essentiel qui sous-tend cette approche est celui de la métadonnée. C’est une information à propos d’une information. Une métadonnée descriptive, lorsque formulée de manière appropriée, présente un réel atout pour votre stratégie de sécurité de données. Les métadonnées peuvent contenir des champs dédiés au niveau de la confidentialité (public ou privé, secret, très sensible, etc.), la date de recueil des données, le détail des traitements réalisés sur les données, les niveaux d’accès (rôles et profils pouvant accéder à cette donnée) et, très important, le délai à partir duquel ces données peuvent être supprimées.

Arbitrer le coût de la sécurité/du stockage des données et leur valeur
Les audits de données gagnent en importance et témoignent de la lutte menée par les organisations pour sécuriser et stocker des bases de données toujours plus volumineuses. Avec la business intelligence, les référentiels de données et le Big Data, les organisations se contentent de recueillir les données une fois, pour ensuite les propager sur l’ensemble de leur parc systèmes. Le stockage et la sécurité des données sont onéreux et les meilleures pratiques incitent à évaluer vos investissements de sécurité et de stockage compte tenu de la valeur de chaque profil de données pour votre organisation. Les métadonnées forment ainsi un levier qui permet d’effectuer des audits de données efficaces et exhaustifs.

eBay : une inquiétante faille révélée

EBay alerté au sujet d’une vulnérabilité de sa plateforme de vente en ligne qui permet à des cybercriminels de diffuser des campagnes de phishing et des logiciels malveillants.

eBay, le géant de la vente aux enchères et du commerce électronique en ligne, possède des bureaux dans plus de 30 pays et plus de 150 millions d’utilisateurs actifs dans le monde. L’entreprise ayant une clientèle importante, il n’est donc pas surprenant qu’elle soit la cible de nombreuses cyberattaques.

Check Point, éditeur de solution de sécurité informatique, a découvert une grave vulnérabilité dans la plateforme de vente en ligne d’eBay. Cette vulnérabilité permet à un agresseur de contourner la validation de code d’eBay et de contrôler le code vulnérable à distance pour exécuter du code JavaScript malveillant auprès d’utilisateurs ciblés. Sans correction de cette faille, les clients d’eBay continueront d’être potentiellement exposés à des attaques de phishing et de vol de données.

Un agresseur pourrait cibler les utilisateurs d’eBay en leur envoyant une page légitime contenant du code malveillant. Lors de l’ouverture de la page, le code serait alors exécuté par le navigateur de l’utilisateur ou une application mobile, conduisant à plusieurs scénarios inquiétants allant du phishing jusqu’au téléchargement binaire.

Après avoir découvert la vulnérabilité, Check Point en a communiqué les détails à eBay le 15 décembre 2015. Cependant, le 16 janvier 2016, eBay a déclaré n’avoir prévu aucune correction de la vulnérabilité. La démonstration de la méthode d’exploitation est encore disponible en ligne.

Découverte de la vulnérabilité

Roman Zaikin, chercheur de Check Point, a récemment découvert une vulnérabilité qui permet à des pirates d’exécuter du code malveillant sur les appareils des utilisateurs d’eBay, à l’aide d’une technique non standard appelée « JSF**k ». Cette vulnérabilité permettrait à des cybercriminels d’utiliser eBay comme plateforme de phishing et de diffusion de logiciels malveillants.

Pour exploiter cette vulnérabilité, un agresseur a simplement besoin de créer une boutique eBay en ligne, et publier une description malveillante d’un article dans les détails de sa boutique. eBay empêche les utilisateurs d’inclure des scripts ou des iFrames en filtrant les balises HTML. Cependant, grâce à JSF**k, l’agresseur peut créer un code qui va charger du code JS supplémentaire depuis son serveur. Cela lui permet d’insérer du JavaScript qu’il peut contrôler et ajuster à distance, par exemple, pour adapter son attaque à un navigateur différent.

eBay n’effectue qu’une simple vérification, et ne supprime que les caractères alphanumériques des balises de script. La technique JSF**k permet aux agresseurs de contourner cette protection en utilisant un nombre très limité de caractères.

Comme on peut le voir, le message qui apparaît sur l’application eBay (plus précisément dans la boutique de l’agresseur sur le site eBay) incite l’utilisateur non averti à télécharger une nouvelle application mobile eBay en proposant une remise.

L’utilisateur qui appuie sur le bouton « Télécharger », téléchargera à son insu une application malveillante sur son appareil mobile.

« La méthode d’attaque fournit aux cybercriminels un moyen très facile de cibler les utilisateurs en leur envoyant un lien vers un produit très attrayant pour exécuter l’attaque. La principale menace est la diffusion de logiciels malveillants et le vol de données privées. Un agresseur pourrait également proposer une méthode de connexion alternative via Gmail ou Facebook pour détourner des comptes utilisateurs, » précise Oded Vanunu, responsable d’un groupe de recherche chez Check Point. « Check Point reste à l’affût des vulnérabilités dans les applications et les plateformes Internet courantes. En communiquant les menaces au fur et à mesure de leur découverte, nous protégeons l’avenir. »

Des clients de Neiman Marcus piratés

Le détaillant de produits de luxe Neiman Marcus Group a informé certains de ses clients du piratage informatique de leur compte. Les pirates ont utilisé la méthode du dictionnaire de mots de passe.

Selon la compagnie Neiman Marcus Group, des cybercriminels ont utilisé une attaque automatisée pour tester diverses combinaisons de logins et mots de passe sur les sites de l’entreprise : Neiman Marcus, Last Call, Bergdorf Goodman, Horchow… Un brute force qui aurait débuté vers le 26 Décembre.

La société a déclaré que les pirates avaient réussi à accéder à environ 5 200 comptes. Neiman Marcus Group précise que ce vol n’est pas dû au piratage de son serveur. Il aurait pu rajouter que cela avait été possible en raison de la faiblesse de son outil de gestion des mots de passe [refuser les informations placées dans le formulaire d’inscription ; refuser mot de passe de moins de 10 signes ; refuser un mot de passe sans chiffres, majuscules et autres signes de ponctuation…).

Les internautes ciblés sont aussi fautifs. Il y a de forte chance que les informations utilisées par les pirates provenaient de bases de données déjà piratées. Les contenus (mails, logins, mots de passe) réutilisaient sur d’autres espaces web.

Ce n’est pas la première fois que les clients de Neiman Marcus sont ciblés par des cybercriminels. En Janvier 2014, la société révélait le vol d’au moins 1,1 million de cartes de paiement de ses clients à l’aide de lecteurs de cartes bancaires (POS) piégés par des logiciels malveillants. 350 000 cartes auront effectivement été exploitées par les malveillants.

Trois employés de TalkTalk arrêtés

Novembre 2015, deux adolescents sont arrêtés dans l’affaire du piratage de données de l’opérateur TalkTalk. En Inde, trois employés du Call Centre de l’entreprise viennent d’être entendus par la police.

Un rapport avec l’affaire du piratage des données clients de l’opérateur britannique TalkTalk ? Je vous expliquais, en novembre 2015, comment deux adolescents avaient été arrêtés au Royaume-Unis. Ils étaient soupçonnés d’avoir participé au piratage des données de l’opérateur britannique TalkTalk. Quatre millions de données avaient été consultés. 157 000 avaient été volées.

Trois mois plus tard, en Inde cette fois, trois employés de TalkTalk, ils officiaient au Call Center de la société, ont été arrêtés. Ces personnes travaillaient pour un partenaire de TalkTalk, la société Wipro, un fournisseur de centre d’appel basé à Calcutta.

Suite à la cyberattaque d’octobre 2015, un audit a été lancé par l’opérateur. Il a été découvert que les trois individus avaient fait de « grosses bêtises » numériques. Un rapport avec le piratage ou un moyen pour TalkTalk de modifier son contrat commercial avec Wipro ? Chose est certaine, les trois indiens se sont servis dans les informations clients.

Que faire face à la déferlante des applications mobiles ?

Dans les entreprises, l’engouement pour les applications mobiles, couplé au phénomène BYOD (Bring Your Own Device), impose de sécuriser les systèmes et données en instaurant une gestion des certificats numériques.

Les acteurs opérant dans le secteur informatique depuis au moins 20 ans auront observé une quantité astronomique de changements. Si chacun d’eux est nécessaire, certains se révèlent plus intéressants que d’autres. L’essor des applications mobiles, en l’occurrence, représente incontestablement l’une des déferlantes frappant de plein fouet le monde de l’entreprise.

S’agissant des applications mobiles grand public, comme celles axées sur les jeux vidéo et les réseaux sociaux, les failles de sécurité sont aisément repérables dès lors que vous possédez un bagage dans le domaine. Étant donné que les développeurs d’applications mobiles sont, au contraire, très peu versés dans la sécurité, il est à craindre qu’ils exposent leurs applications à des risques dont ils n’ont pas même conscience. Personnellement, je m’intéresse à la composante Infrastructure à clé publique depuis le début de ma carrière, à l’époque où je participais au développement de logiciels pour l’Administration américaine. De ce fait, la sécurité a toujours été ma priorité. Et l’une des premières questions que je me suis efforcé d’élucider, au moment de l’éclosion des applications mobiles, a été la suivante : qui est chargé de diffuser et de gérer les certificats de sécurité des mobiles ?

La sensibilisation à la problématique de sécurité des applications mobiles s’est généralisée, consécutivement aux récents incidents liés aux certificats qui ont attiré l’attention des consommateurs. Des tas de buveurs de café ont ainsi supprimé leurs applications mobiles Starbucks à la suite de piratages qui ont exploité les failles de sécurité de l’entreprise pour accéder directement aux comptes bancaires des clients. Dans le même registre, des contrôles de certificats défaillants sur l’application Télé-Accès OnStar ont permis à des pirates de localiser, déverrouiller et même démarrer à distance des véhicules GM, d’où une certaine réticence de la part des propriétaires de véhicules de cette marque à utiliser l’application mobile du constructeur. General Motors a résolu le problème, contrairement à nombre de ses concurrents qui semblent l’ignorer ; récemment, un pirate a exploité exactement la même faiblesse de certificat dans les applications iOS pour BMW, Mercedes et Chrysler.

Des problèmes de ce genre montrent à quel point les clés et certificats numériques sont essentiels ; de fait, ils constituent le fondement même de la sécurité pour tous les équipements connectés. Néanmoins, sachant que même les entreprises les plus prudentes développent aujourd’hui des applications pour mobiles, assurer leur suivi est devenu une véritable gageure. Au moment où j’écris ces lignes, ces acteurs continuent à divulguer des informations qu’ils réservaient auparavant à leurs propres réseaux. Et, pour compliquer encore davantage la donne de la sécurité mobile, avec la révolution BYOD, les salariés accèdent aux informations de l’entreprise au moyen d’équipements qui échappent à leur contrôle. Autant d’aspects qui ont véritablement rendu plus délicate la vérification des certificats numériques. Tant que cette situation n’évoluera pas, les cybercriminels détourneront les certificats numériques pour mettre à profit les données résidant sur terminaux mobiles, qu’elles appartiennent à l’entreprise ou à ses collaborateurs, tout simplement parce que cette opération est un jeu d’enfant.

Pour empêcher ce scénario, les développeurs d’applications mobiles doivent être en mesure de sécuriser et de protéger leurs clés cryptographiques et certificats numériques. Les entreprises doivent avoir recours à des outils de cybersécurité permettant aux développeurs de découvrir et contrôler des certificats sur des appareils mobiles. À l’instar du système immunitaire qui assure la défense de l’organisme en repérant les agents pathogènes et les anomalies, ces outils surveillent les appareils mobiles en réseau pour détecter les certificats porteurs d’anomalies et de risques et les révoquer aussitôt. Ils s’intègrent également avec la plupart des solutions de gestion de flotte mobile (MDM) pour aider les entreprises à mettre en œuvre des règles qui leur permettront de se maintenir à flot sur un océan de réglementations et d’impératifs sécuritaires. (Par Hari Nair, Director, Product Management chez Venafi)

Attaque informatique de masse à l’encontre de l’Irlande

Une attaque informatique de masse, de type DDoS, a mis au tapis plusieurs sites du gouvernement Irlandais.

Étonnante attaque,  la semaine dernière, que celle vécue par le gouvernement Irlandais. Un certain nombre de portails gouvernementaux ont été contraints de se déconnecter du web en raison d’une cyberattaque à grande échelle. Des services tels que le Central Statistics Office, the Oireachtas ( l’ensemble du corps législatif irlandais), le Ministère de la Justice, de la Défense, ainsi que la cour de justice d’Irlande ont bloqués par des Dénis Distribués de Service, des DDoS.

Des connexions pirates, par millions, lancées par des robots malveillants contrôlés par des inconnus. L’attaque n’a pas été revendiquée, du moins officiellement et publiquement. Quelques jours plus tôt, la Loterie Nationale avait connu une panne de deux heures à cause d’une attaque similaire. Un moyen pour des pirates, du type de ceux arrêtés il y a quelques jours [DD4B], de montrer leur force de frappe à de potentielles victimes prêtes à payer pour ne pas être bloqués ?

Piratage de Cryptsy annonce-t-il la fin du Bitcoin ?

Cryptsy, l’une des bourses d’échanges de Bitcoins piratée. Une porte cachée installée dans le code du porte-monnaie de cette crypto-monnaie.

Voilà un piratage impressionnant. D’abord par sa mise en place. Le pirate présumé, le développeur d’un concurrent du Bitcoin, Lucky7Coin. Il aurait inséré une backdoor (une porte cachée) directement dans le code du Cryptsy. Bilan, via IRC (Internet Relay Chat), le pirate aurait été capable de prendre le contrôle de  Cryptsy et de détourner des milliers de bitcoins et Litcoin. 13.000 bitcoins et pas moins de 300.000 litcoins ont été volés, soit un total de 11 millions d’euros. Un piratage qui daterait de 2014. Ce boursicoteur de Cryptsy avait réussi à éponger la perte.

Seulement, une descente de la police relance l’affaire. Plus efficace que le pirate, cette rumeur de perquisition a inciter les clients à retirer leur argent. Bilan, les transactions ont été stoppées tellement le cours chuté comme neige au soleil.

Pendant ce temps, chez les développeur de la crypto-monnaie, ça bouge, et pas dans le bon sens. Mike Hearn, co concepteur historique du Bitcoin a décidé de stopper son engagement considérant que ses collégues ne laissaient aucunes chances d’évolution à la monnaie numérique. Il souhaitait 24 transactions par seconde alors que ses « amis » ne souhaitent pas dépasser l’unique transaction par seconde. Et ce n’est pas les fermes de bitcoins, installées en Chine qui vont aider dans la bonne évolution de la monnaie 2.0.

Une prime de 1000 BTC a été proposée à toute personne capable de remonter à l’argent volé. Ce dernier a été entreposé sur un wallet qui n’a pas évolué depuis 2014. Big Vern, de chez Cryptsy, promet « le pardon » dans le cas ou le pirate rend spontanément les Bitcoins détournés. Sans réponse, ce dernier indique que « ce sera la guerre » contre ce pirate.

Nagerfit, Plaquerfit, SauterFit, hackerFit !

Le piratage de données de clients des produits connectés FitBit se précise.

Pourquoi s’attaquer aux clients des montres et bracelets connectés FitBit ? Malheureusement, simple et facile. Une fois qu’un pirate a mis la main sur un compte, il peut tenter de piéger la société en se faisant envoyer un produit de remplacement encore sous garantie. Au pirate de trouver le moyen de se faire communiquer le produit qu’il revendra ensuite.

Depuis plusieurs semaines, la communauté Fitbit vibre. Des dizaines de clients font état d’une modification de leur page d’administration Fitbit. La société a confirmé le problème et annonce se pencher sur la chose. Des pirates qui ont, via cet accès, aux informations GPS, et toutes autres données sauvegardées sur les serveurs de la marque de produits high-tech pour sportifs.

Le pirate a changé les informations de connexion

D’après BuzzFeed, toujours le même pseudo caché derrière ces piratages annoncés : « threatable123 ». Un bot serait-il utilisé par le malveillant ou alors ce dernier est trop feignant pour se cacher ? Plusieurs clients reprochent à FitBit de faire la sourde oreille et de les accuser de ne pas avoir prêté attention à leurs identifiants de connexion. Alors attaque sur la base de données ou simple phishing ? A suivre…

Sécurité informatique : recommandation pour les fabricants de dispositifs médicaux

L’US Food and Drug Administration a publié un document décrivant les étapes importantes qui doivent suivre les fabricants de dispositifs médicaux afin de régler les risques en matière de cybersécurité.

Comme je vous l’expliquais il y a peu, l’US Food and Drug Administration, l’agence chapeautée par le ministère américain de la Santé et des Services sociaux, a fait interdire du matériel médical car considérés comme trop facilement manipulable par un pirate informatique. La FDA vient de diffuser un document, baptisé « Draft Guidance for Industry andFood and Drug Administration Staff » décrivant les étapes importantes qui doivent suivre les fabricants de dispositifs médicaux afin de régler les risques en matière de cybersécurité.

Ce projet d’orientation détaille les recommandations de l’Agence pour la surveillance, l’identification et le traitement des vulnérabilités en matière de cybersécurité dans les dispositifs médicaux une fois que les machines sont sur le marché. Le projet d’orientation fait partie des efforts en cours de la FDA pour assurer la sécurité et l’efficacité des dispositifs médicaux, à tous les stades de leur cycle de vie.

« Tous les dispositifs médicaux qui utilisent un logiciel et qui sont reliés à un réseau ont très certainement des vulnérabilités que nous ne pouvons protéger de manière proactive » souligne Suzanne Schwartz de la FDA. Pour la directrice adjointe du secteur contre-mesures médicales, ce projet de directives doit protéger les patients contre les menaces cybernétiques en recommandant aux fabricants de dispositifs médicaux de renforcer leur surveillance.

Le projet de directive recommande la mise en œuvre d’un programme de gestion des risques en matière de cybersécurité, structuré et systématique, et de répondre en temps opportun aux vulnérabilités identifiées. Bref, les fabricants doivent mettre en action les principes fondamentaux qui sont d’identifier, protéger, détecter, réagir et récupérer. La FDA demande aussi que des cellules de veille soient mises en place chez les constructeurs « Une surveillance des sources d’information liées à la cybersécurité afin d’identifier et détecter les vulnérabilités et les risques en matière de cybersécurité« . Parmi les autres propositions : adopter une politique de divulgation des vulnérabilités coordonnées.

Le public et les professionnels ont 90 jours pour commenter ce projet.

Des hôtels de luxe Français visés par un piratage informatique

Je vous révélais, en décembre 2015, une attaque massive à l’encontre d’hôtels de luxe. Un piratage qui a visé, en France, Le Hyatt Regency Paris Étoile, le Hyatt Paris Madeleine et le Grand Hyatt Cannes Hôtel Martinez. Des stars dans les données volées ?

Après les Hôtels Sheraton, Hilton et Le Méridien, c’est au tour du groupe hôtelier Hyatt d’être la cible d’une attaque informatique. Des pirates ont infiltré les machines en charge de la gestion du système de paiement de ses sites Internet du groupe hôtelier. Hyatt vient de diffuser les conclusions de son enquête interne. 250 hôtels ont été piratés dans 54 pays. Une attaque massive entre le 13 août et le 8 décembre 2015. Trois hôtels Français ont été touché (du 13 août au 14 octobre 2015) : le Hyatt Regency Paris Etoile, le Hyatt Paris Madeleine et le Grand Hyatt Cannes Hôtel Martinez.

Alors qu’en décembre 2015, Hyatt indiquait ne pas savoir si des données bancaires avaient été touchées. Un mois plus tard, il a été confirmé le vol, via les terminaux de paiement de restaurants, spas, parking, réceptions… des noms, numéros de carte bancaire, dates d’expiration, CVV, codes de vérification interne.

Clé USB perdue pour un hôpital, 29 000 patients concernés

La fuite de bases de données peut prendre de multiples formes. La perte d’un support de stockage contenant des informations sensibles médicaux par exemple.

Ca n’arrive pas qu’aux autres – 29 000 patients de l’hôpital universitaire Arnett de l’Indianna viennent d’être alertés d’un problème concernant leurs dossiers médicaux. Le centre hospitalier a alerté la justice de l’Etat à la suite de la « perte » d’une clé USB. Dans le support de stockage de l’University Health Arnett Hospital, des informations de santé de milliers de patients. La clé n’était pas chiffrée, n’avait pas de mot de passe. Le document n’était pas protégé contre les lectures non autorisées. Plus grave encore, les données couraient de novembre 2014 à novembre 2015. Quid des autres sauvegardes et de la sécurité de ces dernières ?

A noter, qu’en France, ce mardi 11 janvier, un hébergeur Lillois a été attaqué par un pirate informatique Turc. Des cabinets dentaires, des sites d’infirmiers et infirmières Français ont été impactés par cette attaque. Impossible de savoir si des données sensibles ont été collectées par le malveillant.

Nouvelles applications malveillantes retirées du Google Play

Des applications malveillantes découvertes en décembre dans la boutique de Google. Des programmes espions pour appareils sous Android.

La boutique Google Play permet de télécharger musiques, films et autres applications. Des programmes pour l’environnement Android, l’un des OS de Google. Un environnement qui plait aux pirates. GData annonçait, l’année dernière, qu’Android voyait apparaître, chaque jour, 4 500 codes malveillants.

En septembre dernier, plusieurs applications avaient été effacées de l’Internet et de la boutique du géant américain. Il avait été découvert un malware, un code pirate qui permettait d’espionner les utilisateurs et utiliser leur appareil pour générer des revenus publicitaires au pirate. Baptisé Brain Test, du nom de l’application pirate, les téléphones et tablettes infiltrés devenaient des aides involontaires malveillants.

Check Point Threat mobile avait détecté plusieurs cas via des clients de la société piégés. Le malware avait été diffusé sous deux formes cumulant 600 000 téléchargements selon les statistiques de Google Play. Alerté le 10 Septembre 2015, Google retirait les APPs le 15 Septembre 2015.

Quatre mois plus tard, treize autres applications piégées disparaissaient après une alerte de LockOut, une autre société spécialisée dans les applications mobiles. Certaines de ces « applis » tentaient d’obtenir les privilèges root, bref souhaitez devenir maître du smartphone [ordiphone] persistez dans les appareils même après le Factory Reset, la mise à zéro d’un appareil sorti d’usine.

Les jeux avaient été installés dans Google Play quelques semaines auparavant. Ils ne contenaient aucun malware. C’est lors d’une mise à jour, fin décembre, que le pot au rose est apparu. Une mise à jour qui rajoutait les commandes pirates dans les applications. Les programmes piégeaient se nommaient Cake Tower, Honey Comb, Cake Blast, jump Planet, Crazy block, Crazy Jelly, Tiny Puzzle, Ninja Hook, Piggy Jump, Just fire, Eat Bubble, Hit Planet, Cake tower 92829 ou encore Drag box.

Fraude : Pôle Emploi diffuse de fausses annonces

Devenir chauffeur, recevoir un chèque à débiter et renvoyer l’argent liquide par Wester Union ? Bienvenue dans les petites annonces pirates diffusées par Pôle Emploi.

Les fraudes à l’emploi, via Internet sont légions. Je vous en parle malheureusement très souvent. Elles prennent différentes formes : faux contrat de gestion de colis. Des objets volés ou acquis avec des CB piratées. Les colis sont à renvoyer à une adresse donnée (DropBox) au dernier moment, par le pirate. Gestion de fausses commandes. L’employé reçoit de l’argent sur son compte en banque. L’escroc explique qu’il provient de commandes de clients d’un « grand distributeur international de produits de créateurs ». Il s’agit surtout de fraudes bancaires [Phishing, CB piratée, cyber boutiques pillées…). Le pigeon doit renvoyer un pourcentage en liquide, par Western Union. Bref, la fausse offre d’emploi permet aux voleurs d’amadouer sa victime. Il lui communique un chèque à déposer en banque. La cible doit renvoyer la liquidité par un procédé choisi par le pirate. Le chèque est faux ou sans provision.

De la Mule à l’âne, il n’y a qu’un pas

En plus de devenir une « mule » en blanchissant de l’argent volé et de participer à une escroquerie en bande organisée, l’internaute piégé par ce type d’escroquerie met aussi ses informations personnelles en danger. En fournissant des renseignements privés comme son compte bancaire ou la photocopie de son passeport. L’activité de la « mule » consiste à accepter des transferts d’argent sur son compte personnel. La victime utilise ensuite les services de transfert de fonds comme la Western Union pour envoyer l’argent vers une supposée adresse d’entreprise, en Europe de l’Est, à Hong-Kong ou simplement en Belgique. L’ « employé » conserve un certain pourcentage sur le montant du transfert, généralement entre 3% et 5%, comme commission pour le service. L’opportunité d’embauche proposée dans ces emails est alléchante : travailler comme agent financier ou chef de transaction, pour quelques heures par semaine seulement et à partir de son domicile, contre une rémunération élevée. Une fois l’argent en route vers l’étranger, la victime escroquée n’a quasiment plus aucune chance de récupérer son argent. Lorsque la fraude est découverte, ce sont les blanchisseurs d’argent, les mules insouciantes, qui reçoivent les demandes de dommages et intérêts et/ou les lettres de l’accusation. Sans parler de la visite des « Amis du petit déjeuner« . Bref, de la Mule à l’âne, il n’y a qu’un pas.

Fausse annonce, faux chèque, vraie arnaque

C’est cette dernière possibilité qui a touché plusieurs demandeurs d’emploi du nord de la France. Un habitant de la région Lilloise a répondu, par exemple, à une petite annonce diffusée par Pôle emploi. La mission, devenir chauffeur de maître pour une famille Suisse qui doit s’installer quelques temps en France. L’arnaque est simple, mais efficace. Pour louer la voiture dédiée à ce travail, l’escroc envoie un chèque à sa victime. Le document bancaire, d’un montant variant de 2000 à 3000se, doit permettre de louer la voiture. La cible le dépose donc sur son compte en banque. Le surplus d’argent doit être renvoyé, par Wester union. Le voyou 2.0 vient de récupérer des euros sonnants et trébuchants. La personne piégée se retrouve avec un énorme trou dans son compte en banque. Sans parler de la location de la voiture, que les escrocs pourront récupérer et utiliser à d’autres fins que les vacances !

Comment les repérer ?

Pôle Emploi, qui dans le Nord de la France ne semble pas vérifier l’intégralité de ces offres comme l’indique la Voix du Nord du 5 janvier 2016, donne quelques clés pour ne pas être piégés. Parmi les propositions : Ne donnez jamais vos données personnelles à un inconnu (votre numéro de sécurité sociale, le numéro de permis de conduire, votre RIB, numéros de compte, de carte bancaire, accès de connexions, etc.). Tout recruteur qui vous demanderait ce type d’information, avant même de vous avoir rencontré, doit être considéré comme suspect ; protégez votre ordinateur ou votre périphérique en installant antivirus et pare-feu ; n’envoyez pas d’argent à un employeur potentiel ; Ne versez aucune somme d’argent en échange d’un contrat de travail potentiel ; N’acceptez aucune rétribution, de quelque nature que ce soit, de votre futur employeur tant que vous n’avez pas signé le contrat de travail [Attention, j’ai pu croiser de faux contrats de travail. Bannissez les entreprises inconnues, basées à l’étranger, NDR) ; Ne poursuivrez pas la communication si vous doutez de l’honnêteté de votre interlocuteur. « N’hésitez pas à demander toute précision qui vous semble utile afin de vous assurer que l’offre proposée est bien réelle et sérieuse » termine Pôle Emploi sur son site web.

Dans le quotidien nordiste, l’une des victimes indique cependant n’avoir reçu aucune réponse à ses demandes insistantes sur le sérieux d’une des annonces « J’ai contacté mon conseiller pour demander si une vérification est faite sur le sérieux des offres. Je n’ai jamais obtenu de réponse. »

En cas de fraude ou d’abus de ce type, n’hésitez pas à contacter la rédaction de ZATAZ.COM via leur protocole d’alerte sécurisé ou encore Info Escroquerie au 0 811 02 02 17 ou via le site Internet internet-signalement.gouv.fr.

La signature de vos mails, porte d’accès pour pirate

Quoi de plus anodin qu’une signature dans un courrier électronique. Prenez garde, elle peut révéler beaucoup d’informations au premier pirate qui passe. DataSecurityBreach vous propose un mode d’emploi contre la collecte d’information via votre répondeur.

Dans le piratage informatique, la collecte d’informations sur la cible est primordiale. Avant d’attaquer un ordinateur, le pro de la malveillance informatique doit tout savoir sur l’humain et son environnement. Connaitre sur le bout des doigts la vie de l’objectif. Parmi les « espaces » de travail de l’espion : les poubelles (on se retrouve au FIC 2016 lors du challenge CDAISI, NDR) ; les bureaux ; les pages communautaires (Facebook, …) ainsi que les mails, les signatures et, surtout, le répondeur qui annonce votre absence.

Les réponses automatiques, l’ami de vos ennemis
Aussi bête que cela puisse paraître, j’ai pu constater depuis des années que les messages automatiques des répondeurs de nos boites mails étaient capables de fournir des informations sensibles, stratégiques pour celui qui sait les lires. Comme l’explique le site Internet dédié aux Professionnels de l’opérateur Orange « Au moment de paramétrer votre message d’absence pensez à faire figurer quelques informations comme » et l’entité historique des télécoms Français d’égrainer les données à fournir dans le message automatique : La durée de votre absence ; les coordonnées d’une personne à contacter en cas d’urgence... »

Aujourd’hui, ces informations ne sont plus à mettre. Imposez à votre direction une adresse électronique générique à mettre en place durant les absences. Paul.Abuba@Federalbank.gov.us n’est plus pensable dans un répondeur. Absence@Federalbank.gov ou informatique@Federalbank.gov (si vous officiez dans ce service, NDR) semble plus logique. Il ne faut plus communiquer la durée de l’absence, et encore moins l’identité de la personne à contacter en cas d’absence.

Social Engineering automatisé

Votre répondeur ne doit plus ressembler au message ci-dessus, mais à celui proposé ci-dessous. Un message qui aura pour mission de préserver les intérêts de votre entreprise et de votre vie numérique. De bloquer les tentatives de fraudes, de type Fraude au président par exemple. Il est aujourd’hui impératif d’éviter toute personnalisation. Un malveillant possédant l’identité de vos proches collaborateurs, d’un numéro de téléphone direct et de la date de votre absence à suffisamment de données pour piéger votre entreprise.

Piratage d’entreprises au Japon : la moitié ne le savaient pas

Sur 140 entreprises privées et publiques japonaises interrogées, 75 organisations ne savaient pas que les données de leurs utilisateurs avaient été volées.

Le piratage informatique n’arrive pas qu’aux autres. Nous sommes toutes et tous susceptibles de finir dans les mains malveillantes de pirate informatique. Nos données sont tellement partagées par les entreprises qu’il est difficile, voire impossible, de les contrôler.

Au japon, par exemple, une étude intéressante vient d’être publiée par le Kyodo News. Sur les 140 entreprises interrogées, et ayant été piratées en 2015, 75 organisations ont confirmé qu’elles n’avaient pas remarqué l’attaque. Plus de la moitié avaient découvert la fuite de données après l’intervention de la police, ou d’une autre source. Sur ces 140 entreprises, 69 étaient du secteur privé, 49 étaient des agences gouvernementales et 22 universités.

Les 65 entreprises restantes ont indiqué s’être rendues compte, via des audits internes, de la fuite de leurs données. En 2015, les sociétés telles que Seki Co (267000 CB piratées) ; Chateraise CO (200000 données clients) ; Tamiya Inc (110000 données clients) ou encore Itochu Corp, l’Université de Tokyo, la Waseda University, l’association du pétrole japonais ont été touchés par un piratage informatique.

La plus grosse fuite aura touché le service des pensions de retraite du Japon (Japan Pension Service) avec 2,7 millions de données dans la nature. En 2014, Japan Airlines avait du faire face à la fuite de 750,000 données de son club de clients VIP. En 2013, Yahoo! Japan enquêtait sur le vol probable de 22 millions de comptes utilisateurs.

Piratage : Coupure de courant en Ukraine à la suite d’un acte 2.0 contre une centrale

Coupures de courant en Ukraine à la suite de l’attaque informatique à l’encontre d’une centrale électronique.

Les professionnels de la sécurité des systèmes d’information alertent depuis quelques années sur les vulnérabilités, les failles et les défauts de sécurisation dans les systèmes industriels. L’attaque Stuxnet en 2010 a non seulement démontré que ce genre d’attaque pouvait endommager un système SCADA mais a aussi généralisé l’outillage et le mode opératoire, pour être exploitable par des non experts.

Le 23 décembre 2015, une variante du logiciel malveillant Black Energy a paralysé plusieurs centrales électriques Ukrainiennes, causant une coupure électrique dans une des régions du pays. Avec cette attaque et 5 ans après Stuxnet, on voit bien que la menace ciblant les systèmes industriels SCADA est plus que jamais présente et constitue un risque réel pour les infrastructures vitales d’un pays.

Conçu au départ en 2007 comme Cheval de Troie pour mener des attaques en Déni de Service Distribués (DDOS), BlackEnergy a mué au fil du temps en un outil modulaire et sophistiqué, capable de passer inaperçu et conçu comme une boite à outil pour contourner les antivirus, mener des campagnes de fraude sur les banques en ligne ou des attaques ciblées.

La Loi de Programmation Militaire aborde ces aspects de protection contre les cybermenaces et liste les mesures de sécurité à mettre en œuvre en vue de protéger les infrastructures vitales. Afin de se préparer au mieux contre des attaques visant des OIV (Opérateur d’Importance Vitale), il faut effectivement mettre en place des mécanismes de protection et de cloisonnement entre les réseaux SCADA et les autres réseaux ; mais encore faut-il avoir la visibilité et l’intelligence pour détecter les intrusions au niveau applicatif.

La solution pourrait venir de l’Analyse Comportementale ou des “Analytics” qui consistent à agréger, corréler et interpréter des informations issues des infrastructures réseaux et applicatives. La société F5 Network propose ce type d’outil, capable de détecter différent types de malwares qu’ils soient génériques ou ciblés. En novembre dernier, le HackFest Canada 2015, proposait un concours de hacking éthique sur le thème, entre autres, du piratage d’infrastructures SCADA.

En France, la licence CDAISI (Licence Professionnelle Cyber défense, anti-intrusion des systèmes d’information) de Maubeuge apprend aux informaticiens (à partir de bac +2) à réfléchir comme un pirate informatique afin de mieux les contrer propose des cours sur ce thème.

Dans le cas des centrales électriques Ukrainienne, le cheval de Troie BlackEnergy a ciblé et exploité des postes de travail des opérateurs, donc « légitimes », en utilisant des vulnérabilités connues comme vecteurs d’attaques. Une fois installé sur le poste de l’opérateur, Black Energy a eu le champ libre pour intercepter les crédentiels (couples nom d’utilisateurs / mots de passes) utilisés par les opérateurs en charge des systèmes SCADA. Rien de magique. Un pirate malin, un courriel bien ciblé, des ordinateurs nons sécurisés, ni mi à jour et le tour était joué. la cible est moins conventionnelle.

Face à ce mode opératoire, la solution est de mettre en place des technologies de protection contre la fraude qui permettent d’avoir une visibilité sur les activités frauduleuses initiées depuis le poste de l’opérateur d’un système SCADA. L’objectif étant de détecter les comportements identifiables d’un malware et de brouiller, par exemple, les crédentiels collectés lors de l’utilisation d’un navigateur Web, comme le fait BlackEnergy.