Archives quotidiennes :

Communiqué de presse, Cybersécurité, DDoS, Mise à jour, Piratage, Securite informatique

Retour en force des attaques DDoS en Europe en 2018

2 commentaires

Les attaques par déni de service, ou DDoS, avaient marqué les esprits à la fin de l’année 2016. Perpétrées grâce au botnet « Miraï », l’un des premiers « thingbots » constitué exclusivement d’objets connectés (Internet of Thing), les deux attaques de plusieurs Tbit/s lancées contre OVH et DynDNS, avaient ébranlé le web mondial.

De l’avis des experts, ce type d’attaques était voué à se multiplier en 2017. Il n’en fut rien et les attaques tant redoutées ne se sont jamais produites. Pourtant les pirates n’ont pas mis un terme à leurs attaques volumétriques massives. Ils n’ont simplement pas exploité au maximum de leurs capacités, les impressionnantes cyberarmes à leur disposition.

F5 fait état d’une véritable explosion des attaques DDoS depuis janvier 2018 :   

  • Le thingbot « JenX » proposant ses services pour mener des attaques DDoS (DDoS-for-hire) a tout d’abord été découvert en janvier. Celui-ci permet de lancer des attaques DDoS de 300 Gbit/s pour la modique somme de 20 dollars, plaçant ainsi la neutralisation d’une cible à la portée de tous.
  • En mars, c’est un nouveau record du monde qui a été établi : le site de développement collaboratif GitHub a été ciblé par une attaque DDoS d’une puissance sans précédent, atteignant un débit de 1,35 Tbit/s. Techniquement, l’attaque a été lancée depuis des systèmes de mémoire cache (« memcached ») non sécurisés.

Le centre des opérations de sécurité (SOC) de F5 Silverline fait état d’une véritable explosion des attaques DDoS en 2018. Jusqu’à présent, le SOC F5 a écarté des attaques volumétriques de haut débit comprises entre 100 et 300 Gbit/s. Les attaques volumétriques reviennent ainsi sérieusement jouer les trouble-fête.

F5 a observé plusieurs tendances dans les attaques menées à la fin de l’année 2016 et les nombreuses attaques réapparues lors du 1er trimestre 2018.

  • Les entreprises de la zone Europe, Moyen-Orient et Asie-Pacifique sont désormais toutes autant ciblées que leurs homologues nord-américaines.
  • Les établissements financiers et les hébergeurs continuent de figurer parmi les secteurs les plus ciblés. Mais sur le 1er trimestre 2018, ce sont les sociétés de jeu en ligne qui ont été particulièrement ciblées. A eux trois, ces secteurs ont subi 76 % des attaques DDoS au 1er trimestre 2018.
  • Cependant, avec la montée en puissance de ressources à la location, bon marché, qui facilitent le ciblage de tout type d’entreprise, l’écart se rétrécit entre ces secteurs historiquement ciblés et les autres.
  • Le SOC de F5 a commencé à neutraliser des attaques DDoS ciblant directement des applications (et non le réseau) au 3ème trimestre 2016, et cela risque de devenir un vecteur d’attaque en hausse à mesure que les entreprises évoluent vers des processus de virtualisation de services orientés applications.
  • Après un hiatus en 2017, les attaques volumétriques à haut débit ont repris au premier trimestre 2018. En mars 2018, le SOC de F5 a neutralisé une attaque multi-vecteurs de 325 Gbit/s, principalement issue de systèmes basés aux États-Unis.

Vincent Lavergne, expert attaques DDoS de F5 explique : « Avec l’explosion des objets connectés, du Cloud computing et des bases de données en ligne, les pirates disposent plus que jamais de systèmes plus vulnérables leur permettant de lancer des attaques DDoS dévastatrices ».

Rappel – Quelques bonnes pratiques pour se prémunir de ce type d’attaques :

  1. Ne pas exposer l’administration à distance à l’ensemble du réseau Internet, en particulier aux appareils IoT ou aux bases de données en ligne.
  2. Protéger ses systèmes au moyen de protocoles d’accès sécurisés, d’identifiants d’administration complexes (ou de clés SSH lorsque cela est possible), et ne pas laisser se produire des attaques par force brute.
  3. Appliquer régulièrement des correctifs sur tous les systèmes en contact avec Internet, et immédiatement dès la détection d’une faille dans l’exécution de code à distance ou d’un défaut de conception susceptible de conduire à une exploitation à distance.

L’analyse approfondie menée par F5 révèle également les enseignements suivants :

  • Croissance des attaques mondiales

Le nombre d’attaques neutralisées au niveau mondial par F5 entre 2016 et 2017 a augmenté de 26 %. Sur le premier trimestre 2018 (vs le 1er trimestre 2017), F5 a analysé une augmentation plus significative, de 33% du nombre d’attaques.

Toutes les zones observées par F5 ont connu une hausse constante des attaques depuis 2016, mais le nombre d’attaques DDoS commises contre des cibles dans la région Asie-Pacifique (APAC) augmente plus rapidement que dans n’importe quelle autre région du monde.

L’Amérique du Nord, historiquement la zone la plus touchée par les attaques DDoS, est depuis 2017 passées sous la barre des 50% du total d’attaques DDoS mondiales, alors que les attaques DDoS ciblant la région EMEA ont augmenté d’environ un tiers. La région APAC a, quant à elle, fait un bond de 8 % en 2016 à 17 % en 2017. Au premier trimestre 2018, les entreprises de la région APAC ont subi presque autant d’attaques que les entreprises situées en Amérique du Nord.

  • Répartition des attaques par secteur

Les hébergeurs Web et les établissements financiers ont toujours figuré parmi les principales cibles d’attaques DDoS, une tendance qui ne s’est pas démentie en 2017.

Vincent Lavergne explique : « Dans ces deux secteurs, tout temps d’arrêt se traduit directement en pertes financières. C’est pourquoi les attaques DDoS avec chantage à la clé sont très lucratives, car le fait de payer la rançon est pour les entreprises un moyen efficace de régler le problème ».

Le fossé se rétrécit entre les principales cibles traditionnelles et d’autres secteurs ; les profils des cibles sont variés et comptent notamment les fournisseurs de technologies, les FAI, l’univers du jeu en ligne et les fournisseurs de services aux entreprises.

Vincent Lavergne ajoute : « Chaque année, nous continuons à observer un plus large éventail de cibles d’attaques DDoS, en corrélation avec la hausse des services « DDoS for hire » à des prix extrêmement abordables et la mise à disposition des outils DDoS accessibles même aux néophytes ».

  • Origine des attaques

F5 a analysé un ensemble d’attaques de très fort débit, persistantes pendant 4 jours en mars 2018 et a observé que les 10 principaux pays à l’origine du trafic ont conservé le même débit tout au long des attaques, ce qui pourrait laisser entendre que ces attaques ont été lancées par les mêmes systèmes sur toute la durée de quatre jours. Ce type de comportement d’attaque cadre avec l’utilisation d’objets connectés, dans lesquels des failles et les attaques qui en découlent ne sont pas détectées, ou, dans un scénario moins probable, avec la compromission de systèmes appartenant à des entreprises (qui ne sont pas au courant de la faille) et qui sont utilisés pour lancer des attaques.

Fait inhabituel, la plus importante source de cette campagne d’attaques est venue des États-Unis. Cela indique qu’un nombre significatif de systèmes vulnérables (appareils IoT ou systèmes « memcached » potentiellement compromis) est ciblé aux États-Unis pour lancer des attaques DDoS.

APT, backdoor, Communiqué de presse, Cybersécurité, Securite informatique

Les fraudes sur les réseaux sociaux augmentent de 200%

2 commentaires

Chaque jour, les chercheurs analysent plus de 5 milliards de messages électroniques, des centaines de millions de messages sur les réseaux sociaux, et plus de 250 millions d’échantillons de logiciels malveillants pour protéger les entreprises du monde entier contre ces menaces.

Le Proofpoint Quarterly Threat Report met en lumière l’évolution des systèmes sophistiqués de menaces, que ce soit à travers les emails, les réseaux sociaux ou plus largement sur internet. Conçu pour mieux combattre les menaces d’aujourd’hui et anticiper les attaques émergentes, il permet de découvrir les tendances du premier trimestre de 2018 en termes de cyberattaques :

Attaques sur les réseaux sociaux et les moteurs de recherche en forte augmentation avec une hausse de phishing

La fraude par les réseaux sociaux, et le  » phishing « , ont explosé au T1 2018, avec une augmentation de 200% par rapport au trimestre précédent. 30 % des enregistrements de domaines liés au Bitcoin étaient suspects, mais les nouveaux enregistrements ont fortement diminué alors que la valeur du Bitcoin a continué à baisser au cours du premier trimestre. 84% des PDG du Fortune 500 ont été victimes de menaces et de discours haineux sur Twitter et sur le dark web en février 2018.

Tendances des menaces par email : les chevaux de Troie bancaires reprennent la première place tandis que le phishing explose

Au premier trimestre, 59% des messages malveillants étaient des chevaux de Troie bancaires.

Pour la première fois depuis le deuxième trimestre 2016, les chevaux de Troie bancaires ont remplacé les ransomwares en tant que principaux logiciels malveillants dans le domaine de la messagerie électronique.

Les voleurs d’informations confidentielles et les adeptes du téléchargement représentaient le reste des menaces malveillantes avec respectivement 19 % et 18 % des courriels malveillants. L’accalmie des ransomwares et les volumes généralement plus faibles d’emails malveillants au premier trimestre semblent être associés à une perturbation du botnet Necurs, mais ont été accompagnés de charges utiles plus diverses, y compris des RAT et des backdoors. Emotet était le cheval de Troie bancaire le plus largement distribué, représentant 57% de l’ensemble des chevaux de Troie identifiés. 40 % des organisations ciblées ont été attaquées entre 10 et 50 fois au T1 2018, et le nombre d’entreprises recevant plus de 50 attaques a augmenté de 20% par rapport au dernier trimestre de 2017.

Menaces sur le Web : Les kits d’exploitation continuent de décliner à mesure que de nouvelles menaces émergent. Le trafic des kits d’exploitation (EK) a continué à baisser de 71 % par rapport au trimestre précédent. Environ 95% des attaques basées sur le Web sont maintenant redirigées vers des schémas d’ingénierie sociale au lieu de kits d’exploitation. Les chercheurs de Proofpoint ont joué un rôle clé dans le naufrage de l’EITest, la plus ancienne chaîne d’infection du web, empêchant jusqu’à deux millions de redirections malveillantes par jour.

Pour plus de détails.

Hacking

Chronique : vacances connectées, pensez à vous protéger !

Chronique Tv cybersécurité ! Protéger vos connexions cet été ! Les vacances, le repos, le sable chaud et votre vie numérique attrape un coup de chaud. Voici des trucs et astuces, ainsi que du matos, pour protéger vos connexions hors de vos murs.

Protéger vos connexions cet été ! Partir en vacances c’est pour de plus en plus d’internautes mettre dans leur valise, en plus des maillots de bain et de la crème solaire, son smarpthone, sa tablette, son ordinateur portable. Bilan, connexions Internet et utilisations nomades doivent se faire en mode sécurisé.

Dans la chronique Cyber Sécurité sur la chaîne de télévision WEO, cette semaine, il expliqué comment ne pas finir dans les mains d’un malveillant numérique après avoir utilisé, par exemple, une connexion wifi “gratuite” offerte sur le lieu de votre villégiature.

Vous découvrirez aussi une clé USB de chez Eset. La Kingston Data Traveler permet de transporter ses données chiffrées. Clé équipée d’un antivirus. On parle aussi VPN. Ils permettent de surfer anonyme et sécurisée sans risque d’être cyber espionnée.

Chiffrement, cryptage, Cybersécurité, double authentification

Comment allier sécurité et productivité avec l’authentification unique

Un commentaire

Trouver l’équilibre parfait entre sécurité et productivité est une tâche très délicate lorsque l’on travaille dans l’informatique.

Ce principe est très bien illustré dans le besoin pour les utilisateurs Active Directory (AD) d’accéder à plusieurs systèmes grâce à l’utilisation de plates-formes d’authentification unique (SSO).

Du point de vue de l’utilisateur final, l’authentification unique est une excellente idée. Vous vous connectez à une plate-forme, ce qui vous donne accès à plusieurs applications, programmes et sites, sans avoir besoin de vous connecter individuellement à chacun d’entre eux. C’est pratique, rapide et sans tracas. Mais cela peut également s’avérer être un gros risque pour la sécurité comme l’explique la société IS Decisions.