Archives mensuelles : mai 2017

Android, Cyber-attaque, Cybersécurité, escroquerie, ID, Identité numérique, Mise à jour, Particuliers, Patch, Piratage, Smartphone, Social engineering, Téléphonie

Judy : Potentiellement la plus grande campagne de malwares détectée sur Google Play

Les chercheurs de chez Check Point viennent de découvrir une nouvelle menace baptisée JUDY, passée sous le radar de la sécurité de Google Play.

Ce malware de publicité frauduleuse est contenu dans 41 applications d’une société Coréenne. Son principe est simple : il produit un grand nombre de clics sur de la publicité, et génère ainsi un revenu important pour les créateurs des applications malveillantes. Check Point estime le nombre de victimes entre 4,5 et 18 millions. Le code malicieux est présent sur Google Play depuis des années, mais il est impossible de savoir depuis quand exactement.

Les applications malveillantes ont atteint un écart étonnant entre 4,5 millions et 18,5 millions de téléchargements. Certaines des applications découvertes résident sur Google Play pendant plusieurs années, mais toutes ont été récemment mises à jour. On ne sait pas combien de temps existe le code malveillant dans les applications, d’où la diffusion réelle du malware reste inconnue.

Base de données, Cybersécurité, Emploi, Entreprise, Fraude au président, ID, Identité numérique, Justice, santé, Sauvegarde

Piratage de données ? 1,5 million de données étudiants à vendre sur le web

Piratage de données ? Numéros de téléphone, adresse électronique, … appartenant à plus d’1,5 million d’étudiants en vente sur le web.

Le piratage de données privées est une manne financière loin d’être négligeable pour les pirates informatiques. 1,5 million d’étudiants Indiens en font les frais, sauf que dans ce cas, il ne semble pas s’agir de données « piratées ». Depuis quelques jours, dans le Blackmarket, leurs données sont à vendre. Identités, adresses postales et électroniques, numéros de téléphone mobile, … sont commercialisées entre 13 et 800 euros ! D’après les échantillons qu’il est possible de trouver sur des sites tels que studentsdatabase.in, kenils.co.in et allstudentdatabase.in, les informations appartiennent à des étudiants ayant passé les tests d’entrée en MBA (santé et ingénierie) depuis 2009. Une fuite de données qui étonne en Inde d’autant plus que les sites n’expliquent pas d’où proviennent leurs informations qu’ils commercialisent.

L’affaire n’aurait pas connu un aspect public si des écoles de commerce n’achetaient pas les informations en question pour leurs démarchages. Il faut savoir qu’en Inde, tout comme en France, le collecte de données est illégale sans l’accord des personnes concernées pas cette collecte. En France, la loi Informatique et Liberté veille à ce sujet. Ce qui ne m’empêche pas de trouver, chaque jour, des milliers de données appartenant à des Français, oubliés/sauvegardés sur des sites Web sans aucun respect de la loi et de l’éthique. Autant de données que peuvent collecter des malveillants du web, qu’ils soient professionnels du marketing ou de « simples » pirates informatiques.

Argent, Chiffrement, cryptage, Cybersécurité, Entreprise, escroquerie, Paiement en ligne, Particuliers, ransomware, Social engineering

La France, 4ème pays le plus touché par Wannacry

Malwarebytes dévoile un ranking des pays les plus touchés par la cyberattaque mondiale de mai. La France, cinquième pays le plus touché par WannaCry.

WannaCry s’est propagé globalement en l’espace de quelques heures en utilisant une vulnérabilité dans un protocole de transmission de données utilisé par Windows. On estime à environ 300 000 le nombre de machines qui ont été infectées, surtout en Europe et en particulier en Russie. Malwarebytes a examiné les données collectées à partir de ses produits déployés sur des millions de terminaux à travers le monde, et les a classées par pays. La France se classe en 4ème position mondiale alors que la presse, et certains « experts » indiquaient l’hexagone comme épargné.

Mise à jour : la société a contacté DataSecurityBreach.fr pour lui indiquer s’être trompée dans son mail précédent. Il s’agissait de la 4ème position, et non la5e.

Communiqué de presse

WannaCry un coup de semonce mondial à moindre frais pour les RSSI ?

RSSI versus pirate ! La propagation mondiale d’une rapidité sans précédent de WannaCry et de ses variantes qui exploitent une vulnérabilité d’exécution de code à distance, a fortement mobilisé les RSSI (Responsables Sécurité des Systèmes d’Information) et les équipes en charge de la cybersécurité des entreprises et des administrations durant le week-end du 13 mai et des jours qui ont suivis. Le baromètre annuel Cesin-Opinionway situait cette année encore le ransomware au premier rang des menaces pour la sécurité des systèmes d’information, le Cesin a fait un point dès le début de la semaine avec ses membres sur l’impact de ce malware particulièrement virulent.

Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN)  dresse le bilan d’une semaine agitée. Un sondage flash effectué auprès des RSSI, membres de l’association, apporte un éclairage sur l’incidence de cette attaque. Même si la majorité des entreprises interrogées avait, au moins partiellement, déjà déployé les correctifs de sécurité pour la faille de sécurité Microsoft adressée par un correctif disponible dès le mois d’avril 2017, une grande partie d’entre elles a mis en place une cellule de crise, ou une cellule de vigilance renforcée dès le soir du vendredi 12 mai, voire durant le week-end, afin d’apprécier l’évolution de la situation opérationnelle sur la planète et d’effectuer les actions préventives nécessaires.

De larges campagnes de communication ont été réalisées auprès des utilisateurs mais aussi auprès des équipes de support, indiquant notamment comment se présente un poste infecté ainsi que la marche à suivre en cas de détection d’une infection. Un déploiement massif du correctif de sécurité a été entrepris pour les entreprises et administrations qui n’étaient pas à jour. Des mesures d’urgence ont consisté en la mise en œuvre de campagnes spécifiques de mises à jour complémentaires pour les plates-formes qui ne sont plus maintenues par Microsoft comme Windows XP ou Windows 8. Certaines machines ne pouvant recevoir de correctifs de sécurité ont même été arrêtées. Ces campagnes de mises à jour ont créé des sollicitations fortes auprès des sociétés d’infogérance pour ceux qui y recours qui ont dû répondre à une très forte demande de leurs clients. Les entreprises ont mis en œuvre des filtrages réseaux afin de limiter les flux entrant sur les ports vecteurs de l’infection. Des mises à jour des antivirus et règles de surveillance de SOC ont été établies, ainsi qu’une surveillance accrue des connexions aux botnets et domaines douteux et de l’apparition éventuelle d’extensions de fichiers indiquant le démarrage d’une infection. Les dispositifs de sauvegarde ont été vérifiés afin de s’assurer de l’efficacité des restaurations si une infection survenait.

Au cours de la semaine, deux attaques exploitant la même faille de sécurité que WannaCry ont été identifiées, entrainant de nouvelles actions de filtrage, de recherche de compromissions éventuelles et de monitoring.

La menace reste élevée et une veille constante est assurée par l’ensemble des organisations. Le CERT-FR publie d’ailleurs régulièrement de nouvelles informations. D’autres failles de sécurité ainsi que des outils exploitant ces vulnérabilités ont été divulgués et sont en mesure d’entraîner à court terme de nouveaux épisodes de cyber-attaques à grande échelle. La crise étant encore en cours, il est trop tôt pour en tirer toutes les conclusions. On peut néanmoins s’interroger sur la nécessité de créer des circuits de communication particuliers afin d’échanger avec les agences étatiques autour des vulnérabilités les plus dangereuses non encore publiques. Le CESIN réfléchit quant à lui sur la mise en place d’un tel circuit d’échange d’information réservé à ses membres. De même, les failles étant exploitées par les agences de renseignements, il apparait opportun de déployer des systèmes de sécurité différents de ceux qui sont présents dans les systèmes d’information de leurs cibles.

Le CESIN n’ignore pas les relations particulières entre les services étatiques et les éditeurs. En l’espèce, il déplore le manque de transparence de Microsoft quant à la dangerosité effective de la faille MS17-010, qui semble par ailleurs avoir été utilisée par certains services de renseignement, mais apprécie sa fourniture rapide de correctif pour des environnements plus supportés tels que Windows XP.

Par ailleurs, le Cesin salue le travail indépendant des trois chercheurs français qui ont œuvré à la création du logiciel nommé Wanakiwi (Benjamin Delpy, Matthieu Suiche et Adrien Guinet), une solution validée par l’office de Police européenne Europol, permettant de récupérer l’accès aux données verrouillées (à la condition toutefois que ces machines n’aient pas subi de redémarrage). Cette solution développée dans l’urgence fonctionne, dans le périmètre de la version actuelle du malware, sur Windows XP, Windows Vista et Windows 7.

Cette crise a, une fois de plus, démontré que le RSSI qui est au centre de la protection du patrimoine informationnel de l’entreprise par temps calme, se retrouve en première ligne de la cyber défense dans la tourmente. Elle montre également que les principes parfois d’extrême précautions des entreprises qui ne patchent pas par crainte de dysfonctionnement des applications vont devoir désormais choisir entre le risque de subir de telles attaques ou s’en prémunir en appliquant les correctifs sans nécessairement faire des tests de non-régression complets.

Enfin le CESIN souligne l’impérieuse nécessité de la synergie entre toutes les parties prenantes de la cybersécurité.

Cyber-attaque, Cybersécurité, escroquerie, ID, Logiciels, Microsoft, Mise à jour, Particuliers, Patch, Piratage, Social engineering

Les sous-titres de films dangereux sur le web ?

Un commentaire

Des chercheurs ont étudié un nouveau vecteur d’attaque, les sous-titres, menaçant des centaines de millions d’utilisateurs de lecteurs multimédias populaires, dont notamment VLC, Kodi (XBMC), Popcorn Time et Stremio.

En créant des sous-titres malveillants, qui sont ensuite téléchargés par les téléspectateurs, des agresseurs peuvent potentiellement prendre le contrôle total de tout appareil utilisant les plates-formes vulnérables.

« La chaîne d’approvisionnement des sous-titres est complexe. Il existe plus de 25 formats de sous-titres différents, tous dotés de fonctionnalités uniques. Un tel écosystème fragmenté, avec une sécurité limitée, signifie qu’il existe de multiples vulnérabilités qui pourraient être exploitées, ce qui en fait une cible extrêmement attrayante pour les agresseurs, » déclare Omri Herscovici, vulnerability research team leader chez Check Point. « Nous avons actuellement découvert que des sous-titres malveillants peuvent être créés et automatiquement diffusés à des millions d’appareils, en contournant les logiciels de sécurité et en donnant aux agresseurs un contrôle total sur les appareils infectés et les données qu’ils détiennent. »

L’équipe de recherche a découvert des vulnérabilités dans quatre des lecteurs multimédias les plus populaires, VLC, Kodi, Popcorn Time et Stremio, et a suivi les bonnes pratiques de communication responsable pour signaler les vulnérabilités. En exploitant les vulnérabilités de ces plates-formes, des pirates étaient en mesure d’utiliser des fichiers malveillants pour prendre le contrôle des appareils équipés de lecteurs de médias vulnérables.

Les sous-titres des films ou des émissions de télévision sont créés par une grande variété d’auteurs de sous-titres, et sont téléchargés sur des sites de partage tels que OpenSubtitles.org pour indexation et classement. Les chercheurs de Check Point ont également démontré qu’en manipulant l’algorithme de classement de ces sites, les sous-titres malveillants peuvent être automatiquement téléchargés par le lecteur multimédia, ce qui permet aux pirates d’exercer un contrôle total sur toute la chaîne d’approvisionnement des sous-titres sans nécessiter d’interaction de la part des utilisateurs.

Depuis que ces vulnérabilités ont été signalées, les quatre entreprises les ont corrigées. Stremio et VLC ont également publié de nouvelles versions de leurs logiciels intégrant cette correction. « Pour se protéger et minimiser le risque d’attaque, les utilisateurs doivent mettre à jour leurs lecteurs en streaming, » conclut M. Herscovici.

La dernière version de VLC publiée le 5 juin 2016 a été téléchargée plus de 170 millions de fois. Kodi (XBMC) compte plus de 10 millions d’utilisateurs uniques par jour et près de 40 millions d’utilisateurs uniques par mois. Aucune estimation actuelle n’existe quant aux utilisateurs de Popcorn Time, qui sont cependant estimés à des dizaines de millions. Check Point a des raisons de croire que des vulnérabilités similaires existent dans d’autres lecteurs multimédias.

Chiffrement, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Piratage, RGPD, Sauvegarde

RADWARE’S HACKERS CHALLENGE 2017

RADWARE’S HACKERS CHALLENGE 2017 : Radware’s et CISCO organisent un ethical hacking challenge. A gagner, entre autres, un voyage tout frais payé à au Black Hat Europe 2017.

Vouloir découvrir la sécurité informatique par le biais d’un concours, voilà une idée qui fait son chemin. Vous avez envie de vous tester à la sécurité informatique, vous avez envie d’accrocher à votre CV un concours d’ethical hacking ? Le RADWARE’S HACKERS CHALLENGE 2017, organisé par Radware’s et CiSCO, est fait pour vous. Il se déroulera le mardi 20 juin 2017 au Karé à Boulogne-Billancourt. Inscription et participation gratuite. Il est même possible de venir en simple spectacteur. ZATAZ.COM propose de découvrir les règles du jeu et le scénario.

Chiffrement, Communiqué de presse, Cybersécurité, Emploi, Entreprise

Un collectif spontané lance un Manifeste de « Résistance CYBER »

Un collectif spontané regroupant chefs d’entreprises, responsables et représentants de clubs, associations, clusters, référents cyber, journalistes, référents du numérique lance un Manifeste de « RESISTANCE CYBER » avec, au regard de l’actualité, des propositions concrètes pour le pays afin de réagir face au terrorisme informatique. Vous trouverez ici le contenu de ce manifeste : https://www.slideshare.net/ITrustFrance/manifeste-resistancecyber
Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch

Sécurité informatique : six Faiblesses dans les installations Industrielles

FireEye annonce avoir identifié six faiblesses majeures que des individus mal intentionnés peuvent utiliser pour saboter le fonctionnement d’installations industrielles. Les entreprises industrielles telles que les fournisseurs d’électricité, les compagnies pétrolières et les industries lourdes investissent lourdement dans des systèmes de contrôle industriels (ICS) pour faire fonctionner des processus industriels de façon efficace, fiable et sûre. Sans les technologies présentes dans leurs usines, leur activité n’existerait pas. Mais les administrateurs, les dirigeants et les responsables de la sécurité n’ont souvent pas conscience que les technologies qui gèrent le moteur économique de leurs entreprises sont perméables à des attaques non détectées.

Protocoles non authentifiés : Lorsqu’un protocole ICS n’est pas authentifié, n’importe quel ordinateur sur le réseau peut envoyer des commandes qui altèrent les processus industriels. Ceci peut mener à des processus incorrects, endommageant des biens, détruisant des équipements, blessant du personnel ou dégradant l’environnement. Matériels obsolètes: Les matériels des systèmes de contrôle peuvent être opérationnels depuis des décennies. Ils peuvent fonctionner de façon trop simpliste ou ne pas disposer de la puissance de traitement et de la capacité mémoire nécessaires pour gérer l’environnement de menaces qui caractérise les technologies  réseau d’aujourd’hui. Authentification des utilisateurs trop faible : Les faiblesses en matière d’authentification des utilisateurs dans les systèmes de contrôle traditionnels comprennent souvent des mots de passe statiques programmés en dur, des mots de passe faciles à craquer, des mots de passe stockés dans des formats facilement récupérables, et des mots de passe envoyés en clair. Un attaquant qui obtient ces mots de passe peut souvent interagir à sa guise avec les processus sous contrôle. Contrôles insuffisants de l’intégrité des fichiers : L’absence de ‘software signing’ permet aux attaquants d’abuser les utilisateurs, qui installent à leur insu des logiciels qui ne proviennent pas de leur fournisseur légitime. Elle permet aussi aux attaquants de remplacer des fichiers légitimes par des fichiers malicieux. Systèmes d’exploitation Windows vulnérables : Beaucoup de systèmes industriels fonctionnent souvent sous des systèmes d’exploitation Windows non patchés, ce qui les expose à des vulnérabilités connues. Relations avec des tiers (fournisseurs, partenaires…) peu ou mal documentées : Beaucoup de fournisseurs de systèmes de contrôle industriels peuvent ne pas connaître parfaitement les composants utilisés par des tiers, ce qui rend difficile pour eux d’informer leurs propres usagers des vulnérabilités sous-jacentes. Des assaillants au courant de ce manque d’information peuvent cibler un logiciel que l’industriel n’a même pas conscience d’utiliser.

Installations industrielles

Les sites industriels dépendent de plus en plus de systèmes connectés et de capteurs pour assurer leur bon fonctionnement, mais la cyber sécurité sur la plupart de ces sites n’est pas du tout ce qu’elle devrait être. Une compréhension claire des faiblesses communes aux environnements industriels aide les dirigeants et les responsables informatiques à aborder le sujet de la sécurité en toute connaissance de cause, à se poser les bonnes questions, et à investir à bon escient” déclare Sean McBride, Attack Synthesis Lead Analyst chez FireEye.

 

Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch

Vulnérabilités : Microsoft corrige son moteur de protection anti-Malware

Quelques heures avant la diffusion de son Patch Tuesday, Microsoft a publié une mise à jour urgente qui corrige une vulnérabilité au sein de son moteur de protection anti-Malware (Malware Protection Engine). Cette vulnérabilité critique permet à un attaquant de prendre le plein contrôle de la machine ciblée en envoyant tout simplement un courrier avec une pièce jointe malveillante. Lorsque le moteur de protection anti-malware analyse la pièce jointe, le code malveillant présent dans le fichier s’exécute et donne à l’attaquant un accès complet et total à l’ordinateur ciblé. L’attaque peut également être menée en envoyant le fichier par l’intermédiaire d’un message instantané ou en persuadant la victime de télécharger le fichier depuis un site Web. Il est absolument essentiel que les entreprises qui utilisent Microsoft Malware Protection Engine vérifient qu’elles disposent bien de la version 1.1.10701.0 ou supérieure. En outre, elles doivent vérifier si elles ont bien déployé le correctif pour la vulnérabilité CVE-2017-0290 qui vient d’être publié pour résoudre même problème.

Dans ce Patch Tuesday de mai, Microsoft publie des correctifs pour un total de 57 vulnérabilités. La priorité absolue va à la correction des vulnérabilités 0-Day activement exploitées. Au top de notre liste, le patch pour Office destiné à corriger la vulnérabilité CVE-2017-0261 qui est déclenchée lorsqu’un utilisateur ciblé ouvre un fichier Office contenant une image graphique déformée. Le fichier peut être envoyé par email ou tout autre moyen. Comme cette vulnérabilité est activement exploitée en aveugle et que les attaquants peuvent prendre le plein contrôle du système visé, elle doit être traitée de manière prioritaire.

La vulnérabilité CVE-2017-0222 se trouve également en haut de notre liste car elle affecte Internet Explorer dont les utilisateurs peuvent être compromis s’ils se rendent sur un site Web malveillant hébergé par des attaquants. Ce correctif est prioritaire car la vulnérabilité est actuellement exploitée en aveugle et les attaquants peuvent prendre le plein contrôle du système ciblé.

La priorité suivante revient à CVE-2017-0229, la vulnérabilité qui touche le navigateur Edge et qui a été divulguée publiquement avant la publication de ce Patch Tuesday. Grâce à cette faille, un attaquant peut prendre le contrôle total de la machine ciblée lorsqu’un utilisateur navigue sur des sites malveillants à l’aide d’Edge.

Ensuite, la priorité va à trois vulnérabilités critiques au sein du protocole SMB avec exécution de code à distance (CVE-2017-0277, CVE-2017-0278 et CVE-2017-0279) qui affectent les serveurs Windows ainsi que les postes de travail clients. Ce problème est lié à la manière dont le serveur Microsoft Server Message Block 1.0 (SMBv1) traite certaines requêtes. En effet, un attaquant parvenant à exploiter cette vulnérabilité pourrait exécuter du code sur la machine ciblée. Dans la plupart des cas, pour exploiter cette vulnérabilité, un attaquant non authentifié enverra un paquet malveillant au serveur SMBv1.

Microsoft a profité de ce Patch Tuesday pour publier des mises à jour pour Microsoft Edge et Internet Explorer 11 pour empêcher le chargement de sites protégés par l’algorithme SHA-1 et afficher un avertissement de certificat non valide. Ce changement impactera uniquement les certificats SHA-1 chaînés à un certificat racine faisant partie du programme de certificats racines de confiance Microsoft où le certificat de l’entité finale ou de l’autorité de certification intermédiaire s’appuie sur l’algorithme SHA-1. Les certificats SHA-1 installés manuellement dans les entreprises ou auto-signés ne seront pas concernés par cette mesure.

En résumé, la publication d’aujourd’hui permet de corriger 3 vulnérabilités activement exploitées ainsi que 4 vulnérabilités divulguées publiquement dont celles affectant le moteur de protection anti-logiciels malveillants Microsoft, Office, IE, Edge et le protocole SMB. Gardez également en mémoire que Microsoft a déprécié les certificats SHA-1 pour IE et Edge. (Publié par amolsarwate dans The Laws of Vulnerabilities)

Banque, Chiffrement, cryptage, Cybersécurité, loi, Social engineering

Pirates, rien à déclarer ?

Le service de déclaration des revenus a été lancé le 13 avril dernier, et déjà près de 5 millions de français y ont eu recours. Pratique, rapide et mobile, la déclaration s’effectue en seulement quelques clics et permet même de bénéficier d’un délai supplémentaire ! La version papier devait être déposée au plus tard ce 17 mai, tandis que les citoyens ont jusqu’à la fin du mois, voire début juin en fonction de leur département, pour la soumettre en ligne. Chaque année, de plus en plus de français choisissent cette dernière option. Dans ce contexte, bien que le site officiel du gouvernement soit sécurisé et vise à protéger les informations des internautes, les hackers sont à l’affût de la moindre faille. Ils misent notamment sur la volonté de bien faire des citoyens ainsi que sur la crainte d’être en situation d’impayé avec l’administration fiscale.

Les pirates se donnent beaucoup de mal pour imiter les interactions entre les contribuables et les institutions. Emails frauduleux, fausses pages internet ou encore virus propagés sur les réseaux sociaux, autant de techniques employées pour tenter d’accéder aux données personnelles des citoyens pendant la période de télédéclaration. Le phishing par exemple, ou hameçonnage, consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance afin de lui soutirer des informations cruciales. Profitant que l’administration envoie notamment des emails pour rappeler les dates de soumission des déclarations et informer sur les démarches à suivre, les pirates vont utiliser ce même canal et prétendre qu’il manque un versement et qu’une majoration sera due s’il n’est pas réglé. La technique est imparable, les questions liées à l’argent et au respect de la loi fragilisent toujours les particuliers, par conséquent moins vigilants face à ce type d’emails.

Pour se protéger de telles tentatives de cyberattaque, il existe quelques indices faciles à repérer et des bonnes pratiques à adopter : S’assurer que l’adresse email de l’expéditeur soit bien « dgfip.finances.gouv.fr » et que celle du site internet soit « https://www.impots.gouv.fr« . Même si le format, le logo ou encore les couleurs sont similaires à la page web officielle, cette vérification est primordiale et donne déjà un premier niveau d’information concernant la source ;

Contrôler que le site en question utilise le protocole « https », garantissant ainsi la confidentialité et l’intégrité des données envoyées par le citoyen et reçues du serveur ;

Ne pas répondre aux emails prétendant provenir de la Direction Générale des Finances publiques et qui demandent des identifiants ou des informations bancaires par exemple. L’administration fiscale n’exige en effet jamais ainsi ce type de données de cette façon. Elle le rappelle d’ailleurs sur son site : « pour votre sécurité, ne répondez jamais à un courriel vous demandant vos coordonnées bancaires. » ;

Ne pas cliquer sur les liens contenus dans ce type d’email, ils peuvent renvoyer vers des faux sites derrières lesquels se cachent des hackers qui tenteront de récupérer des données personnelles et des informations bancaires ;

Supprimer tout email supposé frauduleux et mettre à jour le système de protection du terminal utilisé pour optimiser leur détection.

Ces bonnes pratiques semblent simples sur le papier. Néanmoins, il y a encore aujourd’hui trop de victimes de ces hackers qui emploient des techniques toujours plus sophistiquées pour « singer » les communications officielles et parvenir à leurs fins. Il est donc primordial de continuer à sensibiliser les internautes afin qu’ils connaissent les règles de sécurité à adopter pour protéger leurs données et leur argent ! Ce travail d’information est d’autant plus important que le gouvernement cherche à inciter toujours plus de contribuables à effectuer leurs déclarations en ligne, jusqu’à les rendre obligatoires et généralisées dès 2019. (Par Bastien Dubuc, Country Manager, Consumer, chez Avast France)

Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, IOT

Le nouveau Président et la Cyber Sécurité – comment va-t-il se protéger ?

La Cyber Sécurité devient aujourd’hui un élément à part entière de la sécurité d’un état, mais bien au-delà de ça elle représente aussi un enjeu économique majeur pour le pays.

Le nouveau président devra donc s’attaquer de front à ces deux challenges qui sont la protection des actifs étatiques, des institutions et des citoyens et l’accompagnement, la mise en avant et les projets d’éducations permettant à la France de faire de la cyber un relai de croissance des prochaines années.

Commençons par le coté sécuritaire de la chose dans un premier temps. Il est clair qu’aujourd’hui l’informatique et le monde cyber doivent être considérés comme le potentiel 5 champs de batailles après la mer, la terre, l’air et l’espace. Nous l’avons lors de cette campagne présidentielle mais aussi auparavant lors de campagnes de cyber espionnage, le monde cyber a une influence grandissante et majeure dans les choix, dans les stratégies et dans le positionnement des états.

L’arsenal utilisé par les groupes attaquants va du vol d’informations, à la manipulation d’information en passant par des attaques qui peuvent paralyser des fonctions étatiques, des entreprises ou la vie du citoyen. Il paraît donc important pour le nouveau président de continuer et de dynamiser des programmes de sécurisation, de communication et d’éducation.

Depuis plusieurs années la France a décidé d’investir dans des centres de cyber excellence notamment à Rennes, dans l’extension des capacités de l’Agence Nationale de Sécurité des Systèmes d’Informations (ANSSI) et dans d’autres programmes. Ces efforts se doivent d’être pérennisés car les enjeux sont grands. Il paraît aussi critique de s’ouvrir à l’Europe dans le cadre de nos programmes de sécurisation de l’information afin de donner une capacité plus large aux sociétés de contribuer à l’effort national et aussi de trouver de nouveaux marchés de croissance.

La sécurisation du patrimoine informationnel français doit être une priorité forte, et ce par la mise en place d’outils de sécurité mais aussi d’outils d’analyses, d’investigations et de réponses à incidents. Il faut se doter de capacité de compréhension afin de réagir au plus vite et comprendre afin de limiter les potentiels impacts. Un positionnement fort dans la Cyber est aujourd’hui aussi un enjeu de politique international, cela a été démontré lors de la présidence de Monsieur Obama, leur notamment des accords avec Monsieur XI JinPing sur la non inférence de l’état dans les vols de propriétés intellectuels des entreprises américaines.

Un des autres enjeux vus pendant cette campagne tournera clairement sur l’usage des réseaux sociaux et la propagation des Fake News. L’utilisation des outils informatiques nouveaux afin d’influencer les décisions des citoyens est un risque majeur qui se présentera pendant la prochaine présidence. La question qui se posera sera comment éduquer et accompagner les citoyens dans l’évolution de leurs capacités de jugement.

C’est cet enjeu qui nous amène clairement à un point fort qui est la Cyber comme relai de croissance pour l’état. La digitalisation de la vie du citoyen, l’informatisation de notre quotidien à travers les Smart Cities, L’Internet des Objets, La médecine accompagnée, l’intelligence artificielle … et la sécurisation de l’ensemble de ces nouveaux usages sont autant de nouveaux marchés et de nouvelles opportunités que le nouveau président de la République se devra de saisir. La mise en place de filière de formation, d’accompagnement à la recherche, de facilitation de création de StartUp sont des vecteurs de croissance important pour les prochaines années. Un point commun à tout cela en dehors de l’outil informatique est la confiance numérique ; le citoyen, le consommateur aura besoin d’une assurance de confiance, que ce soit dans l’usage de ses données personnelles, dans la qualité des outils qui lui sont proposées ou encore dans la disponibilité et la qualité des outils fournis.

Etre capable de sécuriser, de répondre à des incidents qui arriveront car la sécurité à 100% n’existe pas, seront aussi deux enjeux majeurs de la prochaine présidence si elle souhaite faire de cette opportunité cyber, une opportunité pérenne, il n’y a pas de relations longues sans confiance. L’arrivée des réglementations européennes comme la GDPR sont déjà un bon signe dans cette direction de la confiance, mais la mise en place de formations, d’informations, pourquoi pas dès le plus jeune âge à l’école, sont des éléments qui feront à coup sûr de la France une société en avance et pionnière dans la création d’emplois sur les usages de demain.

Pour conclure, la Cyber est un vrai enjeu de ce futur quinquennat, un enjeu géopolitique de stabilisation des institutions et de rayonnement dans le monde et un enjeu de croissance, de réduction du chômage et de transformation de notre société.  Si notre nouveau président sait saisir cette double opportunité nous en sortirons tous vainqueurs en tant que citoyens mais aussi en tant que pays. (Par David GROUT – Director Technical – PreSales, South EMEA)

Base de données, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Hacking, Sauvegarde

Matrix Appliances : Ne redoutez plus les attaques de malwares !

Matrix Appliances inclus désormais le mode « Stealth » dans toutes ses solutions de sauvegarde-archivage. Vos sauvegardes restent intactes, vos restaurations sont immédiates, saines et garanties à 100%.

La société Matrix Appliances, spécialisée dans la sauvegarde informatique, annonce officiellement que toutes les versions de son logiciel Dataclone disposent désormais d’une fonctionnalité unique qui la rend invisible aux yeux des virus (dont les ransomwares) : le mode Stealth.

Qu’est-ce que le logiciel Dataclone V10 ?
Matrix Appliances commercialise depuis 10 ans des Appliances de sauvegarde et d’archivage des données destinées aux entreprises, bénéficiant de la technologie disk2disk2disk© brevetée par son Directeur Général, Stéphane Pelletier. DataClone est le logiciel embarqué dans les Appliances VP Clone. Conçu pour protéger l’infrastructure informatique des TPE/PME, administrations et grands comptes, il permet de sauvegarder, cloner, répliquer à chaud, sans agent et sans limite en nombre de serveurs ou de postes, les données, bases de données, machines physiques ou virtuelles, dans l’Appliance, puis de les archiver sur des  médias extractibles. Mais surtout, il permet de restaurer avec une facilité sans commune mesure et sans faille, 100 % des données au moment où l’utilisateur en aura le plus besoin.
 
Dataclone Version 10
1. Une interface encore plus simple

2. Le support d’ESX6 (y compris les versions  gratuites) et de VCenter6

3. La  sauvegarde dans le Cloud couplée à  Microsoft Azure

4.  Des médias extractibles de type disque de 10 To : une première sur le marché !

5. Une imperméabilité unique aux malwares en tout genre (virus, chevaux de Troie, ransomwares) : grâce à son mode Stealth qui rend ses Appliances invisibles sur le réseau, Matrix Appliances garantit l’incorruptibilité des sauvegardes si vous êtes victime d’une attaque virale, ce qui, par les temps qui courent est malheureusement devenu tragiquement commun. Le mode Stealth intégré dans les machines masque l’Appliance aux yeux des virus et assure une restauration totale en cas de besoin.

« En 2016, nos Appliances ont permis à plusieurs de nos clients, non pas d’être protégés des malwares (c’est le travail d’un bon anti-virus) mais de pouvoir récupérer toutes les données enregistrées et de reprendre leur travail (en date de la dernière sauvegarde), sans perte de données donc sans perte de temps et d’argent. La totalité des clients qui ont été infectés et qui possédaient notre Appliance ont pu restaurer l’intégralité de leurs données sans délai et avec 100% de réussite » (Stéphane Pelletier).

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, IOT

Transfert de contenu sécurisé

LockSelf, expert dans le domaine de la cybersécurité, présente LockTransfer, une solution de transfert de contenu sécurisé.

A l’heure actuelle, tous les types de sociétés sont sujets à des cyberattaques. Les entreprises ont réalisé un travail colossal pour protéger leurs serveurs et toutes les voies d’accès externes à leur entreprise. C’est pourquoi les hackers ont décidé d’attaquer le cœur même des sociétés : les employés. Le meilleur moyen pour cela est de jouer sur la faille humaine et donc sur le facteur humain pour pénétrer et pirater les données sensibles. En amont de la loi 2018, LockSelf prend de l’avance et propose une solution en parfaite adéquation avec la future réglementation.

Transfert de contenu sécurisé
LockTransfer est une solution qui paramètre tous les documents depuis n’importe quel type de support. L’envoi, chiffré avec un mot de passe spécifique, va bénéficier de la meilleure politique de sauvegarde et de protection possible. De plus, grâce au plugin Microsoft Outlook, l’utilisateur a la possibilité de joindre des fichiers à ses collaborateurs de façon sécurisée au sein même de l’email.

La solution LockTransfer va alors vous permettre de stocker vos fichiers partagés dans l’environnement LockSelf en fonction de votre organisation ; partager de manière sécurisée vos fichiers depuis n’importe quel support (smartphone, tablette, ordinateur) et d’envoyer vos fichiers directement depuis votre messagerie via un plugin sécurisé et contrôler et de tracer l’utilisation de vos fichier partagés grâce à un système d’historisation précis et détaillé. LockTransfer va vous permettre de mettre en place un paramétrage instantané du niveau de sécurité en fonction de la criticité du fichier.

Cyber-attaque, Cybersécurité, DDoS, Espionnae, ID, Identité numérique, IOT, Particuliers, Piratage

Hajime, un nouveau malware IoT aux 300 000 objets sous ses ordres

Hajime – un mystérieux malware IoT (Internet of Things) évolutif qui construit un botnet peer-to-peer géant. Récemment, le botnet s’est largement étendu, infectant des milliers d’appareils partout dans le monde. À date, le réseau compte près de 300 000 machines compromises et prêtes à travailler ensemble pour obéir aux consignes de leur donneur d’ordres. En attendant, la raison d’être de Hajime reste inconnue.

Hajime, qui veut dire « départ » ou « origine » en japonais, a montré ses premiers signes d’activité en octobre 2016. Depuis, il a évolué pour développer de nouvelles techniques de propagation. Le malware construit un gigantesque botnet peer-to-peer – un groupe décentralisé de machines compromises qui réalisent discrètement des attaques DDoS ou des campagnes de spam.

Cependant, Hajime n’est pas composé de code ou de fonctionnalités d’attaque – il contient uniquement un module de propagation. Hajime, une famille avancée et furtive, utilise différentes techniques – principalement des attaques par brute-force sur les mots de passe – pour infecter les machines. Ensuite, le malware prend des mesures variées pour se cacher des victimes. Et voici comment un appareil devient membre du botnet.

Hajime cible tous les types d’appareils. Cependant, les auteurs de ce malware se concentrent particulièrement sur les magnétoscopes numériques, suivis par les webcams et les routeurs.

Selon les chercheurs de Kaspersky Lab, Hajime évite plusieurs réseaux, y compris ceux de General Electric, Hewlett-Packard, des services postaux américains (US Postal Service), du Département de la Défense des États-Unis et un certain nombre de réseaux privés.

L’infection venait principalement du Vietnam (plus de 20%), puis Taiwan (près de 13%), le Brésil (approximativement 9%), au moment où la recherche de Kaspersky Lab a été effectuée.

La plupart des appareils compromis sont situés en Iran, au Vietnam et au Brésil.

Globalement, pendant la durée de ses recherches pas moins de 297 499 appareils uniques partageant la configuration de Hajime « Hajime intrigue particulièrement par sa raison d’être. Alors que son réseau d’objets compromise continue de grandir, son but reste inconnu. Nous n’avons trouvé de traces de sa présence dans aucune attaque ou autre activité malicieuse.. Cependant, nous conseillons aux propriétaires d’objets connectés de changer le mot de passe de leurs appareils au profit d’un mot de passe capable de supporter une attaque par brute-force, et de mettre à jour leur firmware lorsque c’est possible » précise Konstantin Zykov, Senior Security Researcher chez Kaspersky Lab.

backdoor, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch

Du matériel IBM infiltré par un code malveillant dès l’usine

Un outil pirate découvert dans du materiel IBM destiné à certains serveurs du géant de l’informatique. Une fois branchée, elle télécharge un logiciel d’espionnage.

Ambiance espionnage numérique dans les bureaux d’IBM. Le géant de l’informatique vient d’alerter ses clients que des clés USB fournies avec les systèmes IBM Storwize V3500, V3700 et V5000 Gen 1 contiennent un fichier qui a été infecté par un code malveillant. Ni les systèmes de stockage IBM Storwize, ni les données stockées sur ces systèmes ne sont infectés par ce code malveillant. En attendant, dès qu’elle est connectée cette clé USB télécharge un cheval de Troie, un logiciel d’espionnage.

Lorsque l’outil d’initialisation est lancé depuis le lecteur flash USB, ce dropper (logiciel qui va télécharger un autre programme, NDR) se reproduit dans un dossier temporaire sur le disque dur du bureau ou de l’ordinateur portable en fonctionnement normal. Avec cette étape, le fichier malveillant est copié avec l’outil d’initialisation vers le dossier temporaire suivant:

Sur les systèmes Windows:% TMP% \ initTool
Sur les systèmes Linux et Mac: / tmp / initTool

IBM propose de contrer le code malveillant en détruisant « le lecteur flash USB afin qu’il ne puisse pas être réutilisé. » ou en réinstallant les utilitaires contenu sur ce dernier. Les éditeurs d’antivirus ont baptisé le code pirate sous les noms de Pondre, Torjan Dropper, Windex.

Antivirus, Argent, Cyber-attaque, Cybersécurité, escroquerie, Leak, Logiciels, Mise à jour, Particuliers, Patch, Piratage, Virus

Ménage de printemps : Effacer les virus

Effacer les virus ? Les ordinateurs, tablettes et portables ont aussi le droit à leur nettoyage de printemps. Pour optimiser les performances de vos appareils, voici 6 points à ne pas négliger.

Effacer les virus ! D’abord, nettoyer physiquement ses appareils. Ceci vaut surtout pour les unités centrales qui s’encrassent rapidement : les ventilateurs qui permettent de refroidir la machine aspirent de l’air extérieur. L’accumulation de poussières perturbe le refroidissement et peut entraîner une surchauffe, voire le plantage de la machine. Pour cela, il est recommandé de dépoussiérer l’appareil 1 à 2 fois par an avec un petit compresseur à air. Il est conseillé de faire de même avec l’ordinateur portable et de nettoyer également clavier, souris, écran (notamment ceux des téléphones et des tablettes). Les téléphones portables contiendraient 500 fois plus de bactéries que la cuvette des toilettes.

Ensuite, comme le rappelle ESET, mettre à jour les logiciels. La mise à jour des logiciels, quels qu’ils soient, est très importante pour la sécurité des appareils. Elle permet de réparer les éventuelles failles ou vulnérabilités découvertes par l’éditeur. Activer les mises à jour automatiques est un bon moyen de ne plus les oublier.

Faire une copie de ses fichiers sur un autre appareil. Il est important de sauvegarder ses données sur un support amovible (tel un disque dur). Les appareils ne sont pas infaillibles et personne n’est à l’abri d’une fuite de données. Cette étape est nécessaire avant de passer à la suivante, qui consiste à nettoyer entièrement le disque dur de l’ordinateur.

Nettoyer le disque dur

Le disque dur est soumis à rude épreuve : la navigation sur Internet, autant que les logiciels dont on se sert régulièrement (traitement de textes, jeux…) réduisent la place disponible sur le disque dur. Ceci entraîne un ralentissement de la machine. La première étape consiste à vider la corbeille puis à stocker ses données sur un support amovible, comme une clé USB ou un disque dur externe par exemple. Il faudra ensuite compresser les données et vider le cache Internet. Enfin, l’utilisateur devra lancer le nettoyage de disque, une fonctionnalité disponible chez Microsoft® par exemple, et qui permet de gagner de l’espace sur le disque dur en supprimant les fichiers inutiles (cookies, fichiers temporaires…). Une deuxième opération est également nécessaire : il s’agit de la défragmentation. Elle permet de ranger les fichiers les uns à la suite des autres afin d’optimiser l’espace disponible sur le disque dur.

Désinstaller les logiciels inutiles et effacer les virus

Supprimer les logiciels inutiles, voire néfastes, permet de libérer de l’espace sur le disque dur et d’améliorer la sécurité de son appareil. Pour ce faire, il est possible d’utiliser un logiciel spécialisé ou de chercher dans les paramètres de l’ordinateur l’outil de désinstallation d’un programme ou d’une fonctionnalité. C’est le moment d’en profiter pour supprimer les logiciels inutiles dont on ne se sert plus.

Et pour finir, protéger son appareil avec une suite de sécurité efficace afin de ne plus être obligé d’effacer les virus qui auraient pu s’installer dans votre ordinateur, tablette ou smartphone.

Cybersécurité, Justice, loi, RGPD

Brexit, ou le déclenchement d’un cyber-risque Européen

Un commentaire

Cyber-risque : A quelques jours du second tour des présidentielles, et tandis que certains candidats affirment leur volonté de quitter l’Union Européenne à l’instar de nos voisins britanniques, les discussions sur les conséquences d’une telle décision sont animées.

Outre la dimension économique, la mise en application par le Royaume-Uni de l’article 50 du traité de l’Union Européenne selon lequel « tout État membre peut décider, conformément à ses règles constitutionnelles, de se retirer de l’Union » marque un nouveau moment d’incertitude en termes de cybersécurité. Le début des négociations pourrait en effet conduire à une hausse des pratiques malveillantes de la part des hacktivistes ainsi qu’à du phishing politique, ce qui suscite naturellement des inquiétudes autour du partage continu des connaissance de sécurité.

Pour Jean-François Pruvot, Regional Director France, chez CyberArk, alors que trop d’entreprises adoptent la politique de l’autruche concernant les potentielles implications de ce basculement, la collaboration cruciale entre les organisations et les membres de l’UE peut pourtant les aider à garder le contrôle :

« Internet est un vaste exutoire où les utilisateurs partagent leurs frustrations, certains pouvant aller jusqu’à y exercer des actes de vengeance. Les réactions suscitées par le Brexit risquent ainsi de conduire à une augmentation des cyberattaques contre nos voisins britanniques. Selon les derniers chiffres publiés par Gemalto, les attaques hacktivistes ont enregistré une hausse de 31 % en 2016. En effet, les gouvernements, media, infrastructures critiques et tout organisme impliqué de près ou de loin dans le Brexit, qu’ils soient en faveur ou contre lui, sont de potentielles cibles d’attaques et doivent donc rester sur le qui-vive ; il suffit d’un individu aux idées politiques ou idéologiques très fortes pour s’emparer de privilèges et causer d’importants dégâts ! Les entreprises peuvent garder une longueur d’avance sur les pirates informatiques engagés en gérant notamment l’accès aux comptes de réseaux sociaux institutionnels. La protection des accès à privilèges permet également d’empêcher les assaillants d’étendre insidieusement leur empreinte initiale à travers les systèmes.

Cyber-risque

Par ailleurs, l’article 50 reste confus pour un grand nombre d’individus en ce qui concerne ses implications et la manière dont nous – consommateurs et entreprises – devons y répondre. Les cybercriminels s’appuyant sur l’incertitude, le Brexit représente une opportunité en or pour nous effrayer et nous inciter à agir. En effet, le mois suivant les résultats du référendum, des chercheurs de Symantec ont identifié une augmentation de 392 % des emails de spam utilisant le terme « Brexit » dans leur objet pour cibler les individus et organisations. Une nouvelle preuve, s’il en fallait, que les entreprises doivent être diligentes et mettre en place les mesures de sécurité appropriées !

Les tentatives de phishing, de cyber-risque, liées à l’article 50 peuvent en effet assurer le succès d’une attaque ransomware ou permettre à un cybercriminel de s’introduire à l’intérieur des défenses périmétriques puis d’installer une base d’opérations au sein du réseau. Le début des négociations autour de la sortie du Royaume-Uni, devrait donc servir de rappel opportun pour éduquer les employés sur les bonnes pratiques relatives aux emails, comme ne pas ouvrir les pièces jointes émanant d’expéditeurs inconnus, ou encore s’assurer qu’ils possèdent les bons outils de sécurité pour empêcher une tentative de phishing.

C’est pourquoi face aux recrudescences d’attaques, les agences d’intelligence britanniques et internationales doivent impérativement rester soudées pour anticiper et stopper toute cyberactivité hostile pouvant émaner d’autres pays. Le Royaume-Uni, ou tout autre nation souhaitant quitter l’Union, doit donc impérativement veiller à ne pas s’isoler au risque de devenir une cible plus attrayante. L’une des meilleures solutions pour que les entreprises gardent le contrôle reste la collaboration cross-secteurs, encourageant ainsi les dirigeants à partager leurs bonnes pratiques et leurs connaissances pour lutter ensemble contre la cybercriminalité. Quelle qu’en soit la nature, les changements d’une telle ampleur sont une vulnérabilité pour les organisations, et l’adaptation à ces paysages à risques doit donc faire partie intégrante de leurs plans. Une problématique qui ne touche finalement pas seulement le Royaume-Uni ou les pays qui envisagent également un « exit » ! A bon entendeur. » (Par Jean-François Pruvot, Regional Director France, chez CyberArk)

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, ransomware, Social engineering

Les quatre secteurs d’activité visés par les ransomwares

77 % des ransomwares recensés se concentrent sur quatre secteurs d’activité – services aux entreprises, pouvoirs publics, santé et grande distribution.

Les ransomwares attaquent ! NTT Security, la branche sécurité du groupe NTT, vient de publier l’édition 2017 de son rapport sur l’état des menaces dans le monde (GTIR). Ces tendances mondiales proviennent de l’analyse des données de logs, d’événements, d’attaques, d’incidents et de vulnérabilités recensées entre le 1er octobre 2015 et le 31 septembre 2016. À partir de l’étude des contenus des unités opérationnelles du groupe NTT (NTT Security, Dimension Data, NTT Communications et NTT Data), ainsi que des données du centre mondial de cyberveille (GTIC, anciennement SERT), le rapport met en lumière les dernières tendances en matière de ransomware, de phishing et d’attaques DDoS, tout en démontrant l’impact des menaces actuelles sur les entreprises mondiales.

Dans un contexte de généralisation du phishing comme mécanisme de diffusion de ransomware – type de malware conçu pour bloquer les données ou appareils des victimes et les déverrouiller contre rançon – notre rapport révèle que 77 % des ransomwares détectés dans le monde se concentraient sur quatre secteurs d’activité : services aux entreprises (28 %), pouvoirs publics (19 %), santé (15 %) et grande distribution (15 %).

Certes, les attaques spectaculaires exploitant les dernières vulnérabilités tendent à faire les gros titres. Pourtant, les cas les plus fréquents sont souvent moins technique. Ainsi, selon le GTIR, les attaques de phishing ont causé près des trois quarts (73 %) des infections des entreprises par malware. Les pouvoirs publics (65 %) et les services aux entreprises (25 %) ont été les secteurs les plus touchés au niveau mondial. Le rapport révèle que les États-Unis (41 %), les Pays-Bas (38 %) et la France (5 %) sont les principaux pays d’origine des attaques de phishing.

D’autre part, le rapport révèle également que, l’année dernière, seuls 25 mots de passe ont servi dans près de 33 % des tentatives d’authentification sur les honeypots de NTT Security. Plus de 76 % de ces tentatives utilisaient un mot de passe connu pour son implémentation dans Mirai, un botnet composé d’appareils IoT compromis. Mirai a servi de rampe de lancement dans ce qui était à l’époque les plus grandes attaques de déni de service distribué (DDoS) jamais perpétrées.

Dans le monde, les DDoS ont représenté moins de 6 % des attaques recensées. Toutefois, elles constituaient encore plus de 16 % des attaques venues d’Asie, et 23 % en provenance d’Australie.

De son côté, la finance fut le secteur le plus ciblé au niveau planétaire, concentrant à elle seule 14 % de toutes les attaques détectées. Signe de cette prépondérance, ce secteur est le seul à figurer dans le Top 3 de toutes les zones géographiques analysées, suivie par le secteur industriel qui décroche une place sur ce sombre podium dans cinq régions sur six. La finance (14 %), les pouvoirs publics (14 %) et l’industrie (13 %) ont constitué le trio de tête du classement des secteurs les plus attaqués.

D’après Steven Bullitt, vice-président chargé de la cyberveille et des interventions sur incidents et du GTIC pour NTT Security : « Le GTIR se base sur l’analyse de milliers de milliards de logs de sécurité consignés l’an dernier, ce qui en fait le rapport le plus complet dans ce domaine. Sur les 12 mois étudiés, nous avons identifié plus de 6 milliards de tentatives d’attaques – soit environ 16 millions par jour – et suivi la trace de cybercriminels recourant à quasiment tous les types de méthodes. Nous avons assisté des entreprises victimes de violations de données, collecté et analysé les informations de cyberveille mondiales et effectué nos propres recherches de sécurité. Les recommandations de ce rapport se fondent sur les enseignements que nous en avons tirés. »

« Notre but ultime n’est pas de susciter la crainte, l’incertitude et le doute, ni de compliquer davantage le tableau actuel des menaces, mais plutôt de mettre la cybersécurité en valeur et de s’adresser non pas à un seul public d’initiés, mais à toutes celles et ceux qui doivent faire face aux risques d’une attaque. Nous souhaitons les sensibiliser afin qu’ils comprennent leur responsabilité dans la protection de leur entreprise et l’obligation de cette dernière de les accompagner dans cette démarche. »

Pour en savoir plus sur les principales menaces mondiales mais aussi sur les mesures que le management, les équipes techniques et les utilisateurs peuvent prendre pour réduire leur exposition aux risques de sécurité, rendez-vous sur la page de téléchargement du GTIR 2017 de NTT Security : http://www.nttsecurity.com/fr/GTIR2017

Banque, Chiffrement, cryptage, Cybersécurité, Entreprise, loi, RGPD

Développement des risques numériques et assurance

Des offres assurance lancées afin de préserver les TPE et PME des conséquences des risques numériques.

Risques numériques – Generali Protection Numérique est une nouvelle offre proposant assistance, réparation et indemnisation aux TPE et PME exposées aux conséquences des cyber-risques. En cas d’incident numérique, l’entreprise couverte bénéficie des services coordonnés de Generali, d’Europ Assistance et d’ENGIE Ineo afin de rétablir son activité. Interlocuteur principal de l’entreprise, Europ Assistance prend en charge le dossier et accompagne le client tout au long de la gestion du sinistre. La réparation et la sécurisation du système informatique attaqué sont confiées à ENGIE Ineo, Generali indemnisant les conséquences matérielles du dommage (équipements, perte d’exploitation, …) ainsi que la responsabilité civile.

Le risque numérique, une menace encore trop sous-estimée par les TPE-PME

41% des TPE et PME touchées par un cyber-incident connaissent une baisse ou interruption de leur activité, révèle une récente enquête IFOP-Generali. Les petites entreprises sont d’autant plus exposées aux cyber-risques qu’ils résultent d’actes informatiques malveillants, c’est-à-dire d’attaques, dont le risque est augmenté par l’imprudence humaine. Pourtant, seule une entreprise sur trois se dit consciente d’être exposée aux risques numériques. « La majorité de petites entreprises ne pensent pas être concernées, déclarent exercer une activité non ciblée, être dans une structure trop petite et bénéficier de protections fiables », explique Régis Lemarchand, membre du comité exécutif de Generali en charge du marché des entreprises. « Pourtant, l’analyse de la fréquence de leurs sauvegardes et les moyens de protection mis en place révèlent un niveau de protection limité. » Les petites et moyennes entreprises représentent d’ailleurs 77% des victimes d’attaques numériques en France.

Des conséquences lourdes pour les données et l’activité des entreprises

Du ransomware à l’espionnage informatique, du vol de données à l’installation insoupçonnée d’un logiciel malveillant, les incidents numériques sont à l’origine de nombreuses complications non seulement pour les entreprises touchées, mais aussi pour les partenaires, fournisseurs ou clients. « Les conséquences sont graves et multiples, pouvant aller jusqu’à l’arrêt prolongé de l’activité, voire même la disparition de l’entreprise. Frais d’expertise informatique et de reconstitution des données découlent fréquemment de ces incidents. Une atteinte à la réputation de l’entreprise peut aussi générer une perte de confiance des clients, très dommageable pour l’entreprise victime », explique Laurent Saint-Yves, responsable Cyber-sécurité d’ENGIE Ineo.

Generali Protection Numérique anticipe par ailleurs un besoin futur des TPE et PME, concernées par le nouveau cadre juridique européen qui entrera en application le 24 mai 2018. Renforçant l’obligation de notification, le règlement général sur la protection des données (RGPD) contraint les entreprises à informer dans un délai de 72 heures les autorités et les personnes physiques dont les données personnelles ont fait l’objet d’une violation. En cas de non-respect, les sanctions financières peuvent aller jusqu’à 4% du chiffre d’affaires annuel de l’entreprise ou 20 millions d’euros. Pourtant seules 17% des entreprises interrogées par l’IFOP et Generali déclarent avoir connaissance du RGPD.

Cette assurance prend en charge les dommages et pertes subis, notamment les frais d’expertise et de remédiation, les coûts liés à la reconstitution des données et aux notifications règlementaires mais aussi les pertes d’exploitation et les frais supplémentaires engendrés par l’incident. Les conséquences pécuniaires de la responsabilité civile sont également couvertes, en inclusion de l’offre. Generali Protection Numérique inclut des services dédiés à la résolution des incidents, complétés d’une sécurité financière adaptée à la taille de l’entreprise (TPE-PME).

Au sein de l’offre Generali Protection Numérique, ENGIE Ineo assure l’expertise technique liée à l’incident numérique. « Nos collaborateurs ont développé un savoir-faire reconnu dans les solutions liées à la transition énergétique et numérique », souligne Jean-Louis Marcucci, Directeur général adjoint d’ENGIE Ineo. Les experts d’ENGIE Ineo établissent un diagnostic pour qualifier la nature de l’incident et vérifier le caractère cyber de l’attaque. Puis ils procèdent à l’investigation et collectent les preuves de l’attaque. Ils assurent enfin les prestations liées notamment à la restauration et la reconstitution des données. Les experts mobilisés sont en mesure de collaborer avec les équipes dédiées à l’informatique au sein des entreprises. La garantie temps d’intervention (GTI) pour prendre en charge techniquement le dossier est d’une heure. L’intervention des experts d’ENGIE Ineo permet donc de réduire fortement les conséquences d’un risque numérique avéré et assurer la reprise de l’activité dans les meilleures conditions.

Alors qu’on constate que deux à trois attaques ciblées en moyenne par mois et par entreprise atteignent leur objectif  , le Groupe Saretec, acteur de la prévention et de la gestion des risques, dévoile son offre dédiée au risque cyber. Développée en partenariat avec Exaprobe, expert intégrateur en cyber sécurité, l’offre compte trois volets permettant de couvrir l’intégralité du risque cyber, du pentesting à la réponse à incident en passant par l’évaluation des pertes, la recherche de responsabilités et la formation des équipes.

Une offre modulable en trois temps chez Saretec

« Tout est parti d’un constat pourtant simple : le cyber risque est aujourd’hui géré de façon contractuelle, sans réelle implication des DSI concernées et sans souplesse. Or, nous sommes convaincus que sa complexité nécessite d’être adressée par une approche holistique de type service« , résume Alain Guède, DSI du Groupe Saretec. L’assureur a élaboré une offre en trois briques : avant, pendant et après l’incident Cyber et s’articule en cinq packs : Check, Crise, Réparation, Responsabilité et Sérénité.

AVANT (auditer, prévenir) : un audit du niveau de protection engagé afin de faire correspondre les termes du contrat à la nature et à l’importance des risques encourus.
PENDANT (stopper et expertiser) : l’élaboration d’un plan de réponse à incident pour circonscrire l’attaque dans les délais les plus brefs, en identifiant l’origine, et réparer l’incident.
APRES (réparer et capitaliser) : l’évaluation des dommages (financiers, de notoriété, pertes d’informations, …), la communication de crise, la détermination de la chaîne de responsabilité (juridique et assurantielle) et le retour d’expérience pour réajuster les moyens de prévention.

Lancée pour les PME, les ETI et les grandes entreprises, cette cyber réponse promet aux assurances de maximiser leurs gains dans la mesure où le travail de sécurisation du SI est garanti à la source et limite par conséquent le montant du dédommagement.

Base de données, Chiffrement, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise, Espionnae, Leak, Piratage

Cyber-espionnage et ransomware en hausse

Le cyber-espionnage et les ransomwares sont en augmentation constante d’après le Data Breach Investigations Report 2017.

Le cyber-espionnage est désormais le type d’attaque le plus courant dont font l’objet l’industrie, le secteur public et même l’éducation, signale Verizon dans l’édition 2017 de son rapport Data Breach Investigations Report.  Ceci s’explique surtout par la prolifération des recherches de propriété intellectuelle, des prototypes et des données personnelles confidentielles, qui attirent tout particulièrement les cybercriminels. Sur près de 2 000 compromissions analysées cette année, le rapport compte 300 cas de cyber-espionnage (21%), dont beaucoup n’étaient à l’origine que des e-mails de phishing.

De plus, les organisations criminelles intensifient leur utilisation des ransomwares pour extorquer l’argent des victimes : le rapport fait état d’une augmentation de 50% des attaques de ransomwares par rapport à l’année précédente.  Malgré cette augmentation et la médiatisation autour de l’utilisation des ransomwares, de nombreuses entreprises utilisent toujours des solutions de sécurité qui ne sont plus au goût du jour et elles n’investissent pas suffisamment dans des précautions supplémentaires.  Elles honorent les demandes de rançon plutôt que d’investir dans des services de sécurité qui pourraient les protéger d’une cyberattaque.

« Les éclairages qu’apporte le rapport DBIR uniformisent les règles du jeu de la cybersécurité », déclare George Fischer, président de Verizon Enterprise Solutions. « Nous apportons aux états et aux entreprises l’information dont ils ont besoin pour se protéger contre les cyberattaques et mieux gérer le cyber-risque. En analysant les données de notre propre équipe dédiée à la sécurité et celles d’autres grands professionnels de la sécurité et institutionnels du monde entier, nous mettons à disposition de précieuses informations de veille pour aider à transformer le profil de risque d’une organisation. »

Le rapport DBIR de cette année, qui en est à sa 10ème édition, propose une analyse des actuelles problématiques de cybersécurité et des informations sectorielles afin de sensibiliser les entreprises et administrations pour qu’elles fassent de la sécurité leur priorité. Voici quelques-unes des conclusions du rapport :

•    L’importance croissante des malwares : 51% des cas de compromission de données analysés impliquaient des malwares. Le ransomware progresse à la cinquième place des malwares spécifiques les plus courants. Cette technologie d’extorsion de fonds aux victimes affiche une progression de 50% par rapport à l’édition précédente, et fait un énorme bond par rapport au rapport DBIR de 2014 où elle se classait à la 22ème place des types de malwares en circulation.

•    Le phishing a toujours du succès : Dans l’édition 2016 du rapport DBIR, Verizon signalait l’utilisation croissante des techniques de phishing liées à l’installation d’un logiciel sur le terminal d’un utilisateur. Cette année, le processus se retrouve dans 95% des attaques de phishing. Une technique de phishing est présente dans 43% des cas de compromission de données et la méthode sert autant pour le cyber-espionnage que pour les attaques à but lucratif.

•    Essor des tactiques de faux semblant (pretexting) : L’édition 2017 du rapport DBIR montre que la tactique en plein essor de pretexting cible de façon prédominante les salariés des services financiers, ceux qui détiennent les clés des procédures de transfert d’argent. L’e-mail est le premier vecteur de communication, utilisé dans 88% des cas de pretexting ayant un but lucratif, suivi en seconde position par les communications téléphoniques dans moins de 10% des cas.

•    Les petites entreprises sont aussi visées : 61% des victimes analysées étaient des entreprises de moins de 1 000 salariés.

Cyber-espionnage

« Les cyber-attaques ciblant le facteur humain sont toujours un gros problème », déclare Bryan Sartin, directeur exécutif de la branche Global Security Services de Verizon Enterprise Solutions. « Les cybercriminels se concentrent sur quatre éléments moteurs du comportement humain pour encourager les individus à révéler des informations : l’empressement, la distraction, la curiosité et l’incertitude. Et ça marche, puisque notre rapport fait étatd’une forte augmentation des cas de phishing et de pretexting cette année. »

Le rapport de cette année apporte des éclairages concernant certains secteurs spécifiques, et révèle les problématiques spécifiques de différents secteurs verticaux, en plus de répondre systématiquement aux questions « qui ? quoi ? pourquoi ? et comment ? ».
Voici quelques-unes des conclusions sectorielles :

•    Les trois secteurs d’industrie visés par les compromissions de données sont les services financiers (24%) ; la santé (15%) et le secteur public (12%).

•    Les entreprises du secteur de l’industrie sont les cibles les plus fréquentes des malwares adressés par e-mail.

•    68% des menaces visant le secteur de la santé sont perpétrées depuis l’intérieur de l’organisation.

« Les données du cybercrime varient beaucoup d’un secteur à un autre », commente Bryan Sartin. « Ce n’est qu’en comprenant les mécanismes fondamentaux de chaque secteur vertical que l’on peut apprécier les défis de cybersécurité de chacun et recommander des mesures appropriées. »

Sachant que dans 81% des cas de compromission, on retrouve des mots de passe volés et/ou peu sécurisés ou faciles à deviner, il demeure très important de poser des bases solides. Voici quelques recommandations à l’attention des entreprises et des individus :
1.    Restez vigilants : les fichiers journaux et les systèmes de gestion du changement peuvent être des indicateurs d’alerte précoce d’une compromission.
2.    Utilisez vos salariés comme première ligne de défense : formez-les pour qu’ils sachent détecter les signes d’alerte.
3.    Appliquez le principe de la nécessité absolue : seuls les salariés ayant besoin d’avoir accès aux systèmes pour travailler sont effectivement autorisés.
4.    Installez les correctifs dans les meilleurs délais : c’est le meilleur moyen de se protéger de très nombreuses attaques.
5.    Chiffrez les données sensibles : rendez vos données inexploitables en cas de vol.
6.    Utilisez la double authentification : vous limiterez l’ampleur des dégâts en cas d’identifiants perdus ou volés.
7.    Ne négligez pas la sécurité physique : tous les vols de données ne se produisent pas en ligne.