Archives mensuelles : juillet 2019

Android, backdoor, Cybersécurité, Identité numérique

Une nouvelle campagne de ransomware Android propagée par le carnet d’adresses des victimes

Les rançongiciels pour Android sont peut-être en baisse depuis 2017, mais ils n’ont pas disparu pour autant. Des chercheurs ont récemment découvert une nouvelle famille de logiciels de rançon, Android/Filecoder.C. En utilisant les listes de contacts des victimes, il tente de se propager par SMS en envoyant des liens malveillants.

Ce nouveau ransomware tout d’abord distribué ses liens malveillants via des fils de discussion sur la thématique pornographique du site Reddit. Le profil d’utilisateur utilisé a été signalé par ESET, mais est toujours actif à l’heure actuelle. La campagne a également brièvement ciblé le forum « XDA developers », destiné aux développeurs Android ; Après avoir été alertés, les opérateurs ont retiré les messages malveillants.

La campagne que nous avons découverte est de faible envergure et plutôt amateur. De plus, le logiciel lui-même est défectueux — surtout en ce qui concerne le chiffrement. Tous les fichiers peuvent être récupérés sans payer de rançon. Cependant, si ses auteurs corrigent les failles et que la distribution prend de l’ampleur, ce nouveau logiciel de rançon pourrait devenir une menace sérieuse.

Ce malware se distingue par son mécanisme de diffusion. Avant de commencer à chiffrer les fichiers de sa victime, il envoie un lot de SMS aux contacts de la victime, les incitant à cliquer sur un lien malveillant menant au fichier d’installation du rançongiciel. « En théorie, cela peut conduire à un afflux d’infections — d’autant plus que le message peut être envoyé en 42 langues. Heureusement, même les utilisateurs les moins sensibilisés doivent remarquer que les messages sont mal traduits. Certaines versions n’ont même aucun sens ! », explique Lukáš Štefanko de che ESET.

Outre son mécanisme de diffusion, Android/Filecoder.C présente quelques anomalies dans son chiffrement. Il exclut les grandes archives (plus de 50 Mo) et les petites images (moins de 150 Ko), et sa liste des types de fichiers à cibler contient de nombreuses entrées sans rapport avec Android, tout en n’ayant pas certaines extensions typiques pour ce système. En fait, cette liste semble provenir du célèbre ransomware WannaCry.

Il y a aussi d’autres éléments intrigants : contrairement aux logiciels de rançon Android classiques, Android/Filecoder.C n’empêche pas l’utilisateur d’accéder à l’appareil en verrouillant l’écran. De plus, la rançon n’est pas prédéfinie, mais créée dynamiquement en utilisant l’ID utilisateur attribué au moment de l’infection. Ce processus se traduit par un montant de rançon aléatoire compris entre 0,01 et 0,02 BTC.

Il s’agit d’une pratique inédite, probablement destinée à attribuer les paiements aux victimes. « Cette tâche est généralement résolue en créant un portefeuille Bitcoin unique pour chaque victime. Mais ici l’attaquant n’utilise qu’un seul portefeuille Bitcoin », observe Lukáš Štefanko.

Communiqué de presse, RGPD

Haut lieu mondial des attaques par force brute

Une étude tente d’expliquer pourquoi les attaques contre les applications ont la plupart du temps lieu au niveau de l’accès, contournant des processus d’authentification et d’autorisation légitimes. Les attaques par force brute sont généralement définies par, soit dix tentatives de connexion successives infructueuses, ou plus, en moins d’une minute, soit 100 tentatives infructueuses en 24 heures.

Accès ou ne pas avoir d’accès ! Les pirates se posent toujours la question.

En 2018, l’équipe de réponse aux incidents de sécurité de F5 (SIRT, Security Incident Response Team) indiquait que les attaques par force brute à l’encontre des clients de F51 représentaient 18 % du nombre total d’attaques et 19 % des incidents traités.

De toutes les attaques enregistrées par le SIRT qui ont eu lieu dans la région EMEA l’année dernière, 43,5 % étaient des attaques par force brute.

Le Canada arrive juste derrière (41,7 % des attaques enregistrées), suivi des États-Unis (33,3 %) et de la région APAC (9,5 %).

Le secteur des services publics a été le plus touché, 50 % de tous les incidents ayant pris la forme d’attaques par force brute, suivi des services financiers (47,8 %) et de l’industrie de de la santé (41,7 %).

L’éducation (27,3 %) et les fournisseurs de services (25 %) étaient aussi dans la ligne de mire.

« Selon la robustesse des capacités de surveillance, les attaques par force brute peuvent sembler inoffensives, comme une connexion légitime avec un nom d’utilisateur et un mot de passe corrects », explique Ray Pompon, principal évangéliste en recherche sur les menaces chez F5 Networks. « Les attaques de cette nature peuvent être difficiles à détecter car, en ce qui concerne le système, le hacker semble être l’utilisateur légitime. »

Attaques massives

Toute application nécessitant une authentification peut potentiellement subir des attaques par force brute, mais le F5 Labs a surtout observé des attaques se concentrant sur l’Authentification via formulaire HTTP (29 % des attaques enregistrées dans le monde). Attaques contre les formulaires d’authentification Web dans le navigateur. Sachant que la plupart des connexions traditionnelles sur le Web prennent cette forme.

Outlook Web Access (17,5 %), Office 365 (12 %), ADFS (17,5 %).

Attaques contre les protocoles d’authentification utilisés pour les serveurs Exchange et Active Directory Federation Services de Microsoft. Ces services n’étant pas accessibles via un navigateur, les utilisateurs s’authentifient auprès d’eux via des applications tierces.

En raison des fonctionnalités d’authentification unique (Single Sign-On) d’Active Directory Federation Services, les attaques d’accès réussies contre ces protocoles ont aussi un impact sur la messagerie électronique, ainsi que sur des Intranets entiers et des volumes importants d’informations sensibles.

SSH/SFTP (18 %). Les attaques d’accès SSH et SFTP sont parmi les plus courantes, ce qui est en partie dû au fait qu’une authentification SSH réussie est souvent un moyen rapide d’obtenir des privilèges administrateur. Les attaques par force brute SSH sont extrêmement prisées des cybercriminels étant donné que de nombreux systèmes continuent d’utiliser des informations d’identification par défaut pour plus de commodité.

S-FTP (6 %). Les attaques S-FTP par force brute sont dangereuses, car elles permettent d’implanter des malwares offrant un large éventail de possibilités, comme l’élévation des privilèges, l’enregistrement des frappes clavier, ainsi que d’autres formes de surveillance et de pénétration du réseau.

Messagerie électronique

La messagerie électronique est globalement le service le plus sujet aux attaques par force brute. Pour les entreprises qui ne dépendent pas fortement du commerce électronique, les ressources les plus précieuses stockées loin du périmètre réseau, derrière plusieurs couches de contrôle. Dans ce cas, la messagerie électronique constitue bien souvent un excellent point de départ pour dérober des données et accéder aux outils nécessaires pour mener une attaque de grande ampleur.

Les attaques relatives aux atteintes à la protection des données identifient également la messagerie électronique comme une cible principale. Elles figurent parmi les deux principales sous-catégories liées au vol d’accès, représentant 39 % des violations d’accès et 34,6 % des causes d’attaques. Le mail est directement en cause dans plus d’un tiers des déclarations de piratage.

Bien se protéger

Selon le rapport Application Protection Report 2019, se protéger contre les attaques au niveau de l’accès représente encore un défi majeur pour de nombreuses entreprises. L’authentification à plusieurs facteurs peut se révéler difficile à mettre en œuvre et n’est pas toujours réalisable dans les délais impartis. Fait inquiétant, bien que les mots de passe n’offrent généralement pas une protection suffisante, le rapport Application Protection Report 2018 de F5 indique que 75 % des entreprises continuent d’utiliser de simples combinaisons nom d’utilisateur/mot de passe pour l’accès à leurs applications Web critiques.

« Même s’il faut s’attendre à ce que les tactiques d’attaque d’accès évoluent en même temps que les technologies de défense, les principes de base d’une bonne protection demeureront essentiels à l’avenir », indique Ray Pompon de chez F5. « Pour commencer, les entreprises doivent s’assurer que leur système peut au moins détecter les attaques par force brute. L’un des principaux problèmes est que la confidentialité et l’intégrité se trouvent parfois en porte-à-faux avec la disponibilité. Il est important de mettre en place des mécanismes de réinitialisation pour l’entreprise et ses utilisateurs. Et ne pas se contenter de définir quelques alarmes de pare-feu pour les tentatives d’attaque par force brute. Il est important de tester les contrôles de surveillance et de réponse, exécuter des tests de scénarios de réponse aux incidents et créer des playbooks de réponse aux incidents pour pouvoir réagir de manière rapide et fiable. »

Chiffrement, Communiqué de presse, Contrefaçon, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, Sauvegarde, Securite informatique

Comment protéger son réseau et ses imprimantes professionnelles en 5 étapes ?

Les entreprises de toutes tailles doivent relever un certain nombre de défis pour assurer la sécurité de leurs réseaux. Pourtant, les vulnérabilités liées aux MFP et imprimantes connectées d’aujourd’hui sont souvent sous-estimées. Voici comment protéger votre réseau en 5 points.

Désormais, les pirates se servent des systèmes multifonction (MFP) et imprimantes des organisations pour dérober des informations confidentielles stockées sur des disques durs et d’autres périphériques connectés aux réseaux professionnels. Ces cybercriminels provoquent d’importants dégâts et perturbent les activités des entreprises. Selon un rapport d’IDC, 25 % des failles de cybersécurité à corriger impliqueraient des imprimantes. L’impact sur la productivité et la rentabilité des entreprises est donc énorme, alors même que risque lié aux MFP et imprimantes non sécurisés est souvent méconnu et ignoré.

1 : l’identification des utilisateurs et la gestion des autorisations

L’une des solutions les plus importantes pour sécuriser les réseaux consiste à n’autoriser que les utilisateurs connus à accéder aux périphériques tels que les imprimantes. Cet objectif peut être atteint grâce à une administration et à une gestion des autorisations cohérentes.

Identification des utilisateurs : il s’agit du processus grâce auquel les administrateurs ne donnent de droits d’accès aux MFP et imprimantes qu’aux utilisateurs enregistrés. Ces derniers peuvent être identifiés en interne en s’appuyant sur la liste d’utilisateurs locaux, ou via le réseau grâce à un serveur d’authentification. Les administrateurs doivent également décider qui appartient à quel groupe en créant un nom d’utilisateur et un mot de passe, et en mettant en place une stratégie de gestion de mots de passe sur mesure/unique.

Autorisation des utilisateurs : ce processus a pour but d’autoriser l’accès aux ressources des réseaux des organisations, et d’en contrôler l’utilisation. En fonction des identifiants de chaque utilisateur, il est possible de limiter l’accès à certains individus, le restreindre à certaines fonctions, ou le bloquer entièrement. L’administrateur peut également configurer l’accès aux périphériques à l’aide de cartes d’accès contenant des informations d’identification uniques pour chaque individu.

2 : sécuriser le réseau

L’ensemble des périphériques connectés au réseau sont aussi sécurisés que le point le plus vulnérable de ce réseau. Il est donc très important de contrôler l’utilisation des ports et protocoles. Grâce à une configuration intelligente, les administrateurs peuvent bloquer les activités indésirables et les attaques potentielles sur l’infrastructure. Parmi les techniques permettant de sécuriser les communications entre les périphériques du réseau :

Utiliser des fonctions de filtrage pour limiter l’accès à des adresses IP et MAC (Media Access Control) spécifiques. Le réseau et les canaux de communication sont ainsi protégés en limitant l’accès aux adresses ou plages d’adresses spécifiées.

Désactiver les ports non utilisés (afin que seuls ceux qui sont nécessaires fonctionnent) pour bénéficier d’une couche de sécurité supplémentaire et de davantage de contrôle sur le réseau en bloquant les accès non autorisés vers l’ensemble des actifs connectés.

S’assurer que les protocoles IPSec (le protocole Internet pour un échange de données sécurisé et chiffré de données), TLS (le protocole de sécurité de la couche de transport, qui chiffre la transmission de données) et HTTPS (le protocole de transfert hypertexte sécurisé, qui sécurisé les communications sur le réseau) sont configurés pour offrir le niveau de protection le plus élevé.

3 : protéger les données

Il y a deux façons de s’assurer que les données stockées sur les disques durs des MFP et imprimantes soient en permanence sécurisées :

Le chiffrement des données est la procédure ou fonctionnalité cryptant les documents à l’aide d’un algorithme complexe à 256 bits.

L’écrasement des données, qui permet d’effacer le disque dur d’un appareil. Cette stratégie garantit l’effacement définitif de l’ensemble des données déjà stockées sur le disque et des documents numérisés après avoir qu’elles aient été écrasées jusqu’à 10 fois.

4 : imprimer des informations confidentielles de façon sécurisée

Les documents confidentiels doivent être imprimés en suivant une procédure sécurisée évitant les accès et copies non autorisées. Ainsi, lorsqu’une tâche d’impression est soumise, elle est conservée sur le disque dur de l’appareil jusqu’à ce que l’utilisateur saisisse un code PIN, ou présente un jeton ou une carte d’authentification configurés au préalable. Une fois le document imprimé, l’ensemble des données sont automatiquement effacées du disque dur.

5 : assurer une supervision et un contrôle à distance

Mis en place correctement, les outils de sécurité des réseaux offrent aux administrateurs informatiques un contrôle total sur l’ensemble des appareils connectés au réseau, et ce directement depuis leurs postes de travail. Ils peuvent ainsi contrôler un parc entier de MFP et d’imprimantes, et découvrir et gérer à distance la plupart des menaces de sécurité potentielles. Le clonage des appareils permet également de rationaliser le travail des administrateurs, et offre encore plus de sérénité, tout changement au niveau des paramètres d’un équipement pouvant ainsi être reproduit sur l’ensemble du parc. (Par Tomasz Stefanski – Solutions and Applications Specialist chez Sharp Europe).

Base de données, Communiqué de presse, Cybersécurité, double authentification, Entreprise, Fuite de données, Mise à jour, Securite informatique

Fraude au nom de domaine : des millions de nouveaux domaines frauduleux. Plus de 90% restent actifs

La société Proofpoint, spécialiste de la mise en conformité et cybersécurité, a publié son rapport 2019 sur la fraude au nom de domaine. L’étude dévoile les dernières tendances, les stratégies et les activités des cybercriminels. Une analyse approfondie des données collectées sur une période de douze mois dans la base de données de domaines actifs de l’entreprise. Elle contient plus de 350 millions de domaines et représente pratiquement tous les domaines sur le Web.

Chasse aux domaines frauduleux ! À l’instar de nombreuses autres méthodes d’attaque très populaires aujourd’hui, la fraude au nom de domaine cible des individus plutôt que des infrastructures en faisant appel à l’ingénierie sociale, terme connu aussi sous Social Engineering, pour amener les utilisateurs à croire que les domaines auxquels ils accèdent sont légitimes. Du fait du peu d’obstacles à l’enregistrement des noms de domaine et de la facilité d’exécution, il est essentiel que les sociétés restent vigilantes face aux domaines suspects et illégaux susceptibles de présenter un risque pour leur marque et leurs clients.

Hausse de 11%

Entre le 1er trimestre et le 4ème trimestre 2018, le nombre d’enregistrements de noms de domaines frauduleux a connu une hausse de 11%. Presque tous les domaines frauduleux détectés restent actifs et prêts à l’attaque, plus de 90% d’entre eux étant associés à un serveur actif.

Parmi ces domaines frauduleux, plus de 15% ont des enregistrements Mail Exchanger (MX), ce qui signifie qu’ils envoient et/ou reçoivent des e-mails. Un sur quatre dispose également de certificats de sécurité, c’est bien plus que ce que l’on peut observer dans le paysage global des domaines. Or, de nombreux internautes les assimilent de ce fait à tort comme des domaines légitimes et sûrs.

Les domaines frauduleux utilisent souvent les mêmes domaines de premier niveau (TLD), offices d’enregistrement et serveurs Web que les domaines légitimes afin d’imiter les marques et abuser les utilisateurs. Ces facteurs, ainsi que la forte proportion de serveurs Web actifs, qui sont nombreux à posséder des certificats SSL valides, renforcent la perception de légitimité des domaines frauduleux, augmentant ainsi le potentiel de nombreuses attaques, notamment les fraudes par virement électronique, le phishing, les ventes de produits de contrefaçon et autres escroqueries.

Quand le HTTPS sert aux pirates

Plus de 85% des grandes marques de vente au détail ont identifié des domaines vendant des versions contrefaites de leurs produits. Les marques de vente au détail en décomptent en moyenne plus de 200. D’ailleurs, les domaines vendant des produits de contrefaçon possèdent plus de certificats de sécurité que d’autres types de domaines frauduleux, ce qui les rend légitimes aux yeux des clients.

96% des sociétés ont trouvé des correspondances exactes de leur domaine avec un TLD différent (par exemple, « .net » au lieu de « .com ») et 76% ont identifié des domaines « similaires » se faisant passer pour leur marque. La plupart des secteurs et des zones géographiques sont touchés.

Une enquête du blog ZATAZ, le plus vieux blog dédié à la cybersécurité en langue française du monde, démontrait comment des entreprises, et leurs clients, se font piéger par des domaines .com transformés en .co.

Les domaines frauduleux utilisent l’e-mail pour mieux cibler les attaques. Pour 94% des sociétés observées, Proofpoint a identifié au moins un domaine frauduleux se faisant passer pour leur marque et envoyant des e-mails. De nombreux domaines frauduleux ont envoyé de faibles volumes d’e-mails, un comportement typiquement associé à des attaques hautement ciblées et basées sur l’ingénierie sociale. Les cybercriminels se faisant passer pour des marques de vente au détail facilement reconnaissables (en particulier celles ayant des chaînes d’approvisionnement complexes) ont envoyé des volumes d’e-mail beaucoup plus importants, ce qui laisse suggérer des attaques plus généralisées contre les clients et les partenaires.

Des facteurs comme l’introduction de nouveaux TLD créent des opportunités pour les cybercriminels. En 2018, l’introduction de nouveaux TLD, tels que .app et .icu,, a créé de nouvelles opportunités pour l’enregistrement de domaines frauduleux. Proofpoint a constaté que les cybercriminels exploitaient ces nouveaux TLD pour enregistrer des noms ressemblant à des domaines « .com » qui appartiennent déjà à de grandes marques.

Banque, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, Paiement en ligne, Securite informatique

Etat de la sécurité des applications des plus grandes banques du monde

Des chercheurs ont mené une enquêtes sur l’état de la sécurité des applications des plus grandes banques du monde. Un des outils posséde une faille connue depuis 2011.

Les nouvelles recherches de la société ImmuniWeb va faire grincer des dents dans le petit monde bancaire. Ils ont étudié la sécurité, la confidentialité et la conformité des applications des plus grandes institutions financières mondiales figurant dans la liste S&P Global 2019. Le résultat a de quoi étonner. En ce qui concerne la conformité, 85 applications Web de banque en ligne ont échoué au test de conformité GDPR ; 49 banque en ligne ont échoué au test de conformité PCI DSS ; 25 app ne sont pas protégées par un WAF.

Vulnérabilités de sécurité

Dans cette étude, on découvre que sept applications Web de banque en ligne contiennent des vulnérabilités connues et exploitables.

La plus ancienne vulnérabilité est connue depuis 2011. 92% des applications bancaires mobiles contiennent au moins une vulnérabilité à risque moyen.

100% des banques ont des problèmes de sécurité ou des problèmes liés aux sous-domaines oubliés.

Pour finir, concernant la sécurité du site web, seuls 3 portails sur 100 affichaient la note la plus élevée «A+» pour le « chiffrement SSL et la sécurité des sites Web ». Dans ce top 3, on trouve un Suisse (credit-suisse.com), un Danois (danskebank.com) et un Suédois (handelsbanken.se).

Pendant ce temps, dans le commerce 2.0

De son côté, le laboratoire Pradeo a étudié 38 applications mobiles d’e-commerce les plus téléchargées au monde. Le rapport montre qu’elles envoient les données personnelles des utilisateurs via de nombreuses connexions non sécurisées (pourcentages précis dans l’article) et présentent en moyenne 13 vulnérabilités de code, dont certaines ayant un haut niveau de sévérité.

Entreprise, Microsoft

Un 0day corrigé pour Windows 7

Des chercheurs ont récemment découvert un exploit Windows de type zero-day utilisé dans le cadre d’une attaque très ciblée en Europe de l’Est. Cet exploit reposait sur une vulnérabilité inédite d’escalade des privilèges locaux sur Windows.

La découverte a été signée par des chercheurs de l’éditeur de solutions de sécurité informatique ESET. L’exploit ne fonctionnait cependant que sur certaines versions plus anciennes de Windows. À partir de Windows 8, en effet, un processus utilisateur n’est plus autorisé à mapper la page NULL, ce qui est un prérequis nécessaire à la réussite de cette attaque. Mais cela n’empêche pas d’être face à une faille dangereuse. D’autant plus qu’il existe encore de nombreux utilisateurs de Windows 7 (le 0day fonctionne aussi sous Windows Server 2008) et que cette monture de l’OS de Microsoft ne sera plus sécurisé par des mises à jour d’ici le 14 janvier 2020. Les utilisateurs qui utilisent encore le Service Pack 1 de Windows 7 devraient envisager une mise à jour vers de nouveaux systèmes d’exploitation.

La vulnérabilité exploitée se trouve dans win32k.sys et, comme d’autres de la même famille, utilise le menu contextuel pour son déploiement. « Par exemple, l’exploit d’escalade des privilèges locaux du groupe Sednit que nous avons analysé en 2017 utilisait déjà des objets de menu et des techniques d’exploitation très similaires à celle-ci », explique Anton Cherepanov, le chercheur à l’origine de la découverte. La vulnérabilité a été référencée CVE-2019-1132.

A noter que Windows XP et Windows Server 2003 sont également vulnérables, mais ces versions ne sont plus supportées par Microsoft… et il serait fou de penser que des entreprises travaillent encore avec ces deux OS !

Buhtrap

Les pirates, derrière cette infiltration ? Le groupe APT « Buhtrap« , spécialisé dans les opérations d’espionnage en Europe de l’est et en Asie centrale. Le groupe Buhtrap est bien connu pour son ciblage d’institutions financières et d’entreprises russes. Cependant, depuis la fin 2015, nous assistons à une évolution intéressante : alors que les outils utilisés jusqu’à présent par le groupe n’avaient qu’une vocation purement criminelle (et lucrative, donc), ceux-ci ont été enrichis de logiciels malveillants dédiés à l’espionnage.

Il est toujours difficile d’attribuer une campagne à un acteur particulier lorsque le code source de ses outils est librement disponible sur le web. Cependant, comme le changement de cible s’est produit avant la fuite du code source, nous avons évalué avec une grande confiance que les personnes à l’origine des premières attaques contre les entreprises et les banques à l’aide du logiciel malveillant Buhtrap sont également impliquées dans le ciblage des institutions gouvernementales à des fins d’espionnage. « Il n’est pas clair si un ou plusieurs membres de ce groupe ont décidé de changer d’orientation et pour quelles raisons, mais c’est certainement quelque chose que nous sommes susceptibles d’observer plus régulièrement à l’avenir. » termine Jean-Ian Boutin, chercher en cybersécurité chez ESET.

En ce qui concerne cette campagne spécifique, le logiciel malveillant contenait un intercepteur de frappes clavier destiné à dérober les mots de passe, qui tente notamment de récupérer les identifiants des clients de messagerie, des navigateurs, etc. pour les envoyer à un serveur de commande et de contrôle. Ce logiciel malveillant offre également à ses opérateurs un accès complet au système compromis.

Cybersécurité, double authentification, IOT, Securite informatique

L’authentification multifacteur peut vous aider à sécuriser vos connexions Active Directory

Le mot de passe est probablement la mesure de sécurité la plus courante et la plus utilisée, mais c’est également la plus vulnérable. En effet, l’’utilisation d’identifiants internes compromis par un attaquant externe représente, selon Verizon et son Data Breach Investigations Report 2018, la menace la plus courante dans les violations de données. C’est pourquoi de plus en plus d’entreprises mettent en place l’authentification multifacteur (MFA) en complément des mots de passe pour le contrôle des accès.

L’authentification multifacteur, connu sous le 3 lettres MFA, est un système de sécurité qui fait appel à plusieurs méthodes d’authentification pour vérifier l’identité de l’utilisateur qui souhaite se connecter. Il a pour objectif de mettre en place plusieurs couches de protection, afin de rendre plus difficile l’accès d’une personne non autorisée à un réseau. Ainsi, même si le pirate parvient à déchiffrer l’un des facteurs, il lui reste encore au moins un obstacle à franchir avant de pouvoir atteindre sa cible.

Comme l’explique Helpnet Security (IS Decision), dans les colonnes de ZATAZ, l’authentification multifacteur présente de nombreux avantages. D’abord la sécurité renforcée de votre réseau. Un Pirate doit disposer de l’ensemble des facteurs requis par le système lors de la connexion, sans quoi il ne pourra pas accéder au compte.

Mise en conformité

Ensuite, la mise en conformité: Un grand nombre de normes contraignent certaines entreprises à implémenter l’authentification multifacteur pour la protection d’informations sensibles (données financières ou à caractère personnel). Même si parfois la norme ne mentionne pas clairement la méthode MFA, elle insiste parfois sur le besoin d’un processus d’authentification renforcée. En d’autres termes, l’authentification multifacteur.

Enfin, les connexions simplifiées: Au premier abord, l’authentification multifacteur semble compliquer les connexions. Mais, en réalité, la protection renforcée qu’offre cette méthode permet aux entreprises d’utiliser des options de connexion plus avancées comme l’authentification unique (SSO).

Pour en savoir plus.

Communiqué de presse, Cybersécurité, Linux, Mise à jour, Patch, Securite informatique

Patch Tuesday Linux et Adobe

Déni de service via TCP SACK vers le noyau Linux

Plusieurs vulnérabilités DoS ont été rapportées en juin concernant le noyau Linux (CVE-2019-11477CVE-2019-11478, CVE-2019-11479). Microsoft a publié un avis de sécurité fournissant des informations et des liens sur ces vulnérabilités.

Patch Tuesday version Adobe

Adobe a publié des correctifs pour Bridge CC, Experience Manager et Dreamweaver. Trois vulnérabilités sont corrigées dans Experience Manager tandis qu’une vulnérabilité est résolue dans Bridge et Dreamweaver. Aucune d’entre elles n’est considérée comme critique et le niveau de vulnérabilité le plus élevé pour chaque logiciel concerné est Important.

Cybersécurité, Mise à jour, Patch, Securite informatique

Microsoft – Patch Tuesday juillet 2019

Ce mois-ci Microsoft résout 77 vulnérabilités dont 15 classées comme critiques. Parmi ces dernières, 11 affectent les moteurs de scripts et les navigateurs tandis que les quatre autres concernent le serveur DHCP, GDI+, l’infrastructure .NET et l’ensemble des outils de développement logiciel Azure DevOps Server (anciennement Team Foundation Server).

En outre, Microsoft a publié des correctifs importants pour deux vulnérabilités activement exploitées facilitant une élévation de privilèges, ainsi que pour une exécution de code à distance sur SQL Server. Microsoft a également diffusé deux avis de sécurité concernant des vulnérabilités affectant Outlook sur le web et le noyau Linux. Concernant Adobe, l’éditeur vient tout juste de publier des correctifs pour Bridge CC, Experience Manager et Dreamweaver.

Correctifs pour postes de travail

Déployer des patches pour les moteurs de script, les navigateurs, GDI+ et l’Infrastructure .NET est une priorité pour les équipements de type poste de travail, c’est-à-dire tout système utilisé pour accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multi-utilisateurs utilisés comme postes de travail distants.

Exécution de code RCE sur le serveur DHCP

Une vulnérabilité par exécution de code à distance (RCE) (CVE-2019-0785) est présente sur le serveur DHCP de Microsoft lorsque ce dernier est configuré pour une reprise après incident. Un attaquant ayant un accès depuis le réseau au serveur DHCP dédié à la reprise après incident pourrait ainsi exécuter du code de manière arbitraire. Ce correctif doit donc être déployé en priorité sur tous les systèmes exécutant un serveur DHCP en mode Reprise après incident.

Attaques actives sur l’élévation de privilèges

Microsoft a publié des patches pour deux vulnérabilités facilitant une élévation de privilèges (CVE-2019-1132 et CVE-2019-0880) dans Win32k et splwow64 et qui ont été exploitées en aveugle. Même s’ils sont classés comme Importants, ces correctifs sont en fait prioritaires car une association avec d’autres vulnérabilités pourrait fournir un accès complet au système à un cyberattaquant.

Exécution de code RCE sur le serveur SQL

Le Patch Tuesday de ce mois-ci résout également une vulnérabilité par exécution de code à distance (CVE-2019-1068) au sein du serveur Microsoft SQL Server. Classée comme Importante, cette vulnérabilité exige une authentification. Cependant, si elle est associée à une injection de code SQL, un cyberattaquant risque de compromettre complètement le serveur.

Azure DevOps Server (anciennement Team Foundation Server)

L’ensemble d’outils de développement logiciel Azure DevOps Server (ex-Team Foundation Server – TFS) est affecté par une vulnérabilité par exécution de code à distance (CVE-2019-1072) qui est exploitée via des téléchargements de fichiers malveillants. En effet, quiconque télécharge un fichier vers un serveur peut exécuter du code via un compte Azure DevOps/TFS. Sont également concernés les utilisateurs anonymes si le serveur est configuré pour accepter ces derniers. Ce correctif est donc une priorité pour toutes les installations Azure DevOps ou TFS.

Script XSS dans Outlook sur le web

Microsoft a publié un avis de sécurité pour une vulnérabilité à base de scripts intersite (XSS) dans Outlook sur le web (anciennement OWA). Cette vulnérabilité permet à un attaquant d’envoyer un fichier SVG malveillant, même si l’utilisateur ciblé doit ouvrir ce fichier d’image vectorielle directement en le glissant vers un nouvel onglet ou en copiant l’URL dans un nouvel onglet. Même si ce scénario d’attaque reste improbable, Microsoft recommande de bloquer les fichiers au format SVG. (Publié par Jimmy Graham dans The Laws of Vulnerabilities)

Communiqué de presse, Cybersécurité, Emploi, Entreprise, Securite informatique

Le CAC 40 en tête des entreprises les plus dynamiques dans le monde

Les réglementations (loi de programmation militaire, RGPD…) et le besoin de confiance numérique ont incité les entreprises à développer une véritable culture du risque et à investir massivement dans des dispositifs de cybersécurité. Toutefois, si 100% des entreprises du CAC 40 agissent désormais en matière de cybersécurité, plaçant ainsi la France dans le peloton de tête des pays les plus actifs sur le sujet, la portée du risque sur l’activité des entreprises est encore sous-évaluée. Une réalité qui se constate aussi dans les innovations technologiques des entreprises, qui font souvent l’impasse sur la cybersécurité. C’est ce que révèle une étude du cabinet Wavestone sur les niveaux de maturité des entreprises dans le domaine de la cybersécurité. Pour cette nouvelle édition, les experts ont analysé les communications financières (notamment via leur rapport annuel et leur document de référence), publiés au 1er juin 2019, de 260 entreprises cotées dans le principal indice boursier des pays où Wavestone est présent : CAC 40, Dow Jones, FTSE 100, BEL20, SMI, HSI. Les résultats de cette étude unique donnent un aperçu du niveau de maturité déclaré des entreprises et de son évolution, sur différents aspects : implication des comités exécutifs, investissements en cybersécurité, RGPD…

Cybersécurité : Le CAC 40 progresse encore…

Pour évaluer le niveau de maturité des entreprises dans le domaine de la cybersécurité, les équipes du cabinet ont mis au point le financial communication cybermaturity index. Celui-ci permet d’évaluer les enjeux et les risques, la gouvernance et la réglementation, ainsi que les actions de protection mises en place dans les entreprises. Sur la base de cet index, les entreprises du CAC 40, qui étaient en dessous de la moyenne en 2017, progressent en 2018 (10,07/20 + 1,07 VS 2017).

Ainsi, ce sont 100 % des entreprises du CAC 40 qui mentionnent les enjeux de sécurité dans leur rapport annuel et qui se mobilisent sur le sujet de la protection des données personnelles (RGPD) (+42 points VS 2017). Ce sujet majeur pour les entreprises concerne désormais une majorité des comités exécutifs : 50% (+25 points VS 2017) des groupes du CAC 40 adressent la problématique de la cybersécurité au niveau du comité exécutif.

Une prise de conscience qui se constate aussi dans la nette progression de la prise de fonction de DPO (Data Protection Officer) dans les entreprises (52,5 % en 2018 VS 13% en 2017).

Plus encore qu’en 2017, les secteurs de la finance (14,77 % / +3,89 pts VS 2017) et des technologies de l’information (12,05% / +0,89 pts VS 2017) sont les locomotives du niveau de maturité des entreprises du CAC 40.

… et caracole en tête des entreprises les plus matures dans la prévention des cyber-risques dans le monde

Parmi les 260 entreprises analysées sur les 6 places de marché (CAC 40, Dow Jones, FTSE 100, BEL20, SMI, HSI), le CAC 40 se place dans le peloton de tête des entreprises les plus matures sur la prise en compte de la cybersécurité dans les communications financières (10,07/20), juste derrière les Etats-Unis (10,15/20).

Si la France et les Etats-Unis s’illustrent dans le secteur de la finance, c’est le secteur des technologies de l’information qui dominent au Royaume-Uni et en Belgique.

Les résultats dévoilent aussi des cultures et des pratiques différentes autour de la cybersécurité : c’est aux Etats-Unis que l’implication du COMEX sur les problématiques en lien avec la cybersécurité est le plus fréquemment citée dans les rapports d’activité des entreprises (83%), devant le Royaume-Uni (61%), la France et la Belgique (50%). D’autre part, avec 46% de mentions faites sur les niveaux d’investissements en matière de cybersécurité, le Royaume-Uni valorise les investissements via des programmes de cybersécurité, contre 30% à 35% en France et aux Etats-Unis et 15% en Belgique.

Avec l’entrée en vigueur du règlement général sur la protection des données européen (RGPD), les entreprises françaises du CAC 40 mettent la Privacy à l’honneur, en affichant leurs ambitions sur la problématique dans l’ensemble de leurs rapports d’activité.

Alors que l’exemple français aurait pu susciter un éveil des autres pays européens sur la mise en place du RGPD, ce sont finalement les Etats-Unis (87%) qui se rapprochent de la France (100%) dans le domaine de la Privacy, suivis par la Belgique (75%) et le Royaume-Uni (71%).

Des investissements conséquents sur des programmes de cybersécurité, des actions en cybersécurité plus rares dans les technologies innovantes

Si les rapports d’activités font rarement mention des niveaux d’investissements engagés par les entreprises du CAC 40, le cabinet Wavestone a observé une augmentation des entreprises qui font état d’investissements conséquents dans des programmes de sécurité (35% / +22,5 pts VS 2017). Pourtant, dans le même temps, les entreprises font preuve d’un certain attentisme lorsqu’il s’agit d’investir dans des plans d’actions unitaires (45% en 2018 / – 35 pts VS 2017).

En témoignent aussi, des programmes d’innovation qui font toujours l’impasse sur la cybersécurité. En effet, alors que les projets liés à la 5G font leur apparition dans les entreprises du CAC 40, seul 1 projet fait le lien avec la cybersécurité. Une tendance qui se confirme aussi dans les domaines de l’IoT et de l’IA où seuls 2 chantiers sont liés à la cybersécurité, alors que le nombre de projets innovants ne cesse de croître dans ces domaines (58% pour l’IA / +12 pts VS 2017 – 45% pour l’IOT / +10 pts VS 2017). La cybersécurité reste toujours absente des projets dans le domaine de la Blockchain.

« Même si les résultats montrent une progression de la prise en compte de la cybersécurité, la France et le CAC40 restent en retrait sur la mobilisation effective des fonctions dirigeantes de l’entreprise. Alors que c’est une condition sine qua none au succès des programmes de cybersécurité ! », déclare Gérôme Billois, Partner cybersécurité et confiance numérique au sein de Wavestone.

Android, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, ios, Sécurité, Securite informatique, Smartphone, Téléphonie

Olvid, une messagerie sécurisée made in Europe

Olvid, un nouvel outil de sécurisation de vos conversations. Mission : chiffrer vos messages mobiles sans risque de fuite de données !

Depuis quelques jours nous testons Olvid, un outil dédié aux smartphones (Android, iOS). Mission d’Olvid, permettre de communiquer avec ses collègues, proches, familles en mode chiffré.

Une application lancée en décembre 2018 sous l’impulsion de deux docteurs en cryptographie : Thomas Baignères et Matthieu Finiasz.

Olvid est sous la « protection » d’Agoranov, un incubateur fondé par l’ENS, Paristech, Dauphine Université Paris, Sorbonne Université, Inria et sponsorisé par le Ministère de l’enseignement supérieur, de la recherche et de l’innovation, l’Île de France, la Mairie de Paris et le Fonds social européen de l’Union européenne. A noter que Matthieu Finiasz est enseignant pour ENSTA-ParisTech.

Olvid

Il existe déjà de nombreux outils tels que Whatsapp (à bannir), Telegram (méfiance, on ne connait pas le code source et il semble exister une master key), Signal, … Olvid annonce être différent. Aucune trace sur les serveurs. Pas de fuite de données, pas d’espionnage, pas de données personnelles, anonymat complet. La versoin 0.7.3 pour Android ne dépasse pas les 6Mo.

Sécurisé, oui mais …

Bon, pour être très honnête, l’espionnage reste possible dans la mesure ou un logiciel espion a été installé dans votre appareil, à l’image de Cerberus. Mais le problème viendrait de la non maîtrise de votre téléphone, pas d’Olvid.

En ce qui concerne les communications, plus de risque. Le chiffrement rend illisible les conversations. « Contrairement à l’intégralité des autres messageries, la sécurité de vos communications ne dépend plus d’un serveur. explique les fondateurs de cet outil. Notre serveur se fait hacker ? Peu importe… la sécurité des communications est préservée. »

A tester sans attendre

L’outil réclame quatre informations nom, prénom, société et votre poste au sein de cette société. Vous pouvez, bien évidement mettre ce que bon vous semble. Une fois les données enregistrée, l’application produit un QRCode. Une information à transmettre à vos contacts par mail. Votre correspondant, qui doit installer sur son smartphone Olvid, photographie le QRCode reçu, si ce dernier reçoit l’invitation via un courriel lu sur un ordinateur. Un lien permet d’accéder directement au répertoire Olvid.

Aucun numéro de téléphone, adresse mail ne sont réclamés. Bref, seuls vos contacts autorisés connaissent votre présence dans l’outil.

Olvid est gratuite pour le moment. La bonne occasion de le tester (Android / iOS).

Communiqué de presse, Cybersécurité, Mise à jour, Patch

Les accès à privilèges, clés de l’attaque chinoise contre les télécoms

L’opération récente de la Chine contre des sociétés de téléphonie cellulaire – appelée « opération Soft Cell » – fait partie d’une campagne d’espionnage qui exploite les accès aux comptes à privilèges. La compromission des identifiants reste en effet l’arme de choix des cyber-attaquants et est un modèle d’attaque récurrent.

Ce phénomène a débuté lorsque Edward Snowden a révélé l’opération Socialist, une campagne de la CIA et du Global Communication Headquarters (GCHQ) britannique, qui aurait tenté de prendre le contrôle d’un réseau majeur : Belgacom, société de télécommunications belge. Cet accès aurait permis aux agences de renseignements d’obtenir les métadonnées nécessaires pour suivre à la trace des individus spécifiques.

Pour Lavi Lazarovitz, responsable de l’équipe de recherche en sécurité du CyberArk Labs, Soft Cell trouve son origine ailleurs – l’APT 10, un groupe de cyber-espionnage chinois – mais son modèle d’exécution est très similaire : « L’opération Socialist, à l’instar de Soft Cell, a exploité les accès à privilèges pour prendre le contrôle des systèmes de télécommunications, en restant dans l’ombre. Aucune de ces attaques n’a eu besoin d’exploiter des vulnérabilités, ou d’utiliser des outils sophistiqués et agressifs, chers à développer. Dans les deux cas, les groupes ont compromis des accès à privilèges de l’organisation, c’est-à-dire les comptes d’administrateurs de domaine disposant de droits sur un domaine entier, ce qui les rend extrêmement pertinents pour les attaquants.«

Comptes administrateurs, accès à privilège et pirates

Les comptes d’administrateurs de domaine, et autres accès à privilèges bien connus, sont généralement contrôlés et surveillés de près. Cependant, il reste bien souvent des vulnérabilités exploitables. Les attaquants ont probablement visé des « administrateurs fantômes », c’est-à-dire des accès à privilèges qui ne sont pas répertoriés dans l’Active Directory, les rendant invisibles et donc ignorés par les équipes de sécurité des organisations. Ces types de comptes disposent de privilèges particuliers, qui permettent à un attaquant de contrôler des réseaux complets, sans être associés à un groupe de privilèges. En conséquence, l’attaque laisse peu de traces, tout en offrant de la souplesse au hacker. Lors de l’opération Soft Cell, les cybercriminels ont lancé un service VPN pour obtenir un accès fantôme au réseau, potentiellement basé sur des comptes d’administrateurs fantômes.

Cela démontre une fois encore l’efficacité d’un VPN pour se protéger et éviter les erreurs.

Le recours à ces derniers n’est pas le seul raccourci utilisé par les assaillants des opérations Soft Cell et Socialist. Dans ces deux cas, les attaques contre les sociétés de télécommunications ont visé la chaîne logistique. En effet, tout comme les usines de fabrication de hardwares, les éditeurs de logiciels qui fournissent des mises à jour de produits, ou des serveurs de réseau de trafic internet, sont vulnérables aux attaques de la chaîne logistique.

Jérôme Robert de la société Alsid, commente « On ne peut qu’être consterné devant l’ampleur de cette brèche, mais il faut bien admettre que l’avènement d’un incident de cette nature était inéluctable. Notre industrie, dans son ensemble, a investi des centaines de milliards d’euros dans la protection des postes, des réseaux, et des données tout en restant résolument aveugle au danger que représente l’insécurité d’Active Directory. Ce douloureux rappel à l’ordre doit alerter les entreprises et les industries qui doivent sortir la tête du sable et prendre cette menace à bras le corps ! C’est une cyber-bombe à retardement, et le minuteur touche à sa fin« .

Cette stratégie d’attaque est même devenue courante. De nombreux cybercriminels redirigent leurs efforts : au lieu de cibler directement des organisations bien sécurisées, ils visent désormais leurs chaînes logistiques qui le sont moins. Les hackers, souhaitant accéder discrètement et en continu aux données et à l’IP d’une entreprise, n’envoient plus massivement des emails de phishing et préfèrent compromettre le matériel de la société. Les pirates qui souhaitent accéder aux métadonnées, à la localisation et aux appels d’un individu pendant une période plus longue peuvent alors remplacer l’exposition coûteuse d’une vulnérabilité de WhatsApp par la compromission du téléphone d’un individu spécifique.