Archives mensuelles : février 2020

Bitcoin, cryptomonnaie

Cryptomonnaies : appât du gain, internautes et Youtube

Une chaîne de jeux diffusée sur Youtube, Neebs Gaming, piratée et exploitée durant quelques heures par des escrocs spécialistes des cryptomonnaies. Les pirates amassent plus de 24 000 dollars.

Cryptomonnaies – Voilà une nouvelle escroquerie Internet rondement menée. Des pirates ont réussi à dérober plus de 24 000 dollars à des internautes attirés par l’appât du gain. Les escrocs ont réussi à faire croire aux pigeons qu’ils toucheraient 10 fois la sommes qu’ils verseraient sur une adresse Bitcoin proposée par les voleurs.

Pourquoi rondement menée ? Les pirates ont d’abord ciblé un youtubeur à l’audience loin d’être négligeable : 1,8 million d’abonnés. Ensuite, créer une vidéo reprenant des contenus officiels. Le nom et la bannière de l’espace ont été changés. Les pirates ont ensuite diffusé le porte-feuille sur lequel les internautes ont été invités à verser leurs Bitcoins.

Les escrocs ont utilisé le nom du PDG de Coinbase Pro, Brian Armstrong, pour inciter les webspectateurs à cliquer sur un lien qui promettait des cadeaux sous forme de Bitcoin gratuits: « Le PDG de Coinbase a annoncé le plus grand crypto Air-Drop de 10 000 Bitcoins, en direct« .

95 000 internautes ont assisté à la diffusion en direct de l’arnaque. Plusieurs d’entre eux ont participé à hauteur de 2,465 BTC, soit plus de 24 000 $.

Fuite de données

Takeout de Google stockait chez des inconnus

Google corrige un « bug » dans Takeout qui a stocké des photos et vidéos dans le cloud de parfaits inconnus.

Vous utilisez Google Takeout ? Le géant américain a corrigé un « bug » dans son outil de sauvegarde. Ce dernier a soudainement stocké des photos et des vidéos dans les clouds d’inconnus. Un problème apparu fin novembre 2019.

La société a envoyé des mails aux utilisateurs pour les informer du problème. Pour une courte durée, certaines de leurs vidéos sauvegardées avaient été communiquées par erreur dans des archives d’étrangers.

Il est indiqué que les utilisateurs qui ont exporté leurs photos ou vidéos entre le 21 novembre et le 25 novembre 2019 via Google Takeout, ont été affectés par ce problème. »Nous avons résolu le problème sous-jacent et avons mené une analyse approfondie pour éviter que cela ne se reproduise. Nous sommes désolés que cela se soit produit « , a déclaré Google.

Google Takeout permet de sauvegarder les données tirées des différents services de la firme de Mountain View.

Cloud, Cybersécurité

L’évolution des menaces dans les Clouds

Un rapport met en lumière les vulnérabilités des clouds, les tactiques des cyber-attaquants, où et comment les menaces font surface dans le contexte actuel, celui du passage généralisé aux l’infrastructures clouds, sans négliger de plonger dans le DevSecOps.

Ces 18 derniers mois, L’U42 a constaté un changement radical dans la façon dont les équipes DevOps déploient leurs infrastructures cloud. Les entreprises adoptent en masse l’infrastructure as code (IAC) en essayant d’automatiser au maximum leurs processus dans le cloud. Quand les équipes passent à l’IaC, elles évitent la création et la configuration manuelle de leur infrastructure en passant par des lignes de codes à la place. Même si ce n’est pas une nouveauté, comme de nombreuses sociétés utilisent cette méthode pour la première fois, de nouveaux risques se présentent.

Les recherches montrent qu’alors que l’IaC propose aux équipes une façon programmable d’implanter les standards de sécurité informatique, cette fonctionnalité puissante reste largement sous-utilisée.

199 000 templates non sécurisés sont en usage. Pourquoi est-ce important ? Les chercheurs ont trouvé un nombre incroyable de templates présentant des failles de sécurité avec des menaces moyennes à hautes. Il suffit d’une de ces mauvaises configurations pour compromettre tout un environnement cloud.

Tout comme il suffit d’une fenêtre ouverte ou d’une porte non verrouillée pour laisser entrer un voleur

Ce taux élevé explique pourquoi dans un précédent rapport, L’Unit42 a montré que 65 % des incidents liés au cloud étaient dus à de mauvaises configurations utilisateurs. Sans utilisations de templates IAS sécurisées dès le départ, les environnements cloud sont mûrs pour des attaques.

43 % des bases de données dans le cloud ne sont pas chiffrées. Pourquoi est-ce important? Avoir des données en clair revient à avoir une maison avec des murs de verre.

Quelqu’un peut venir et voir exactement ce qu’il se passe à l’intérieur. Garder ses données chiffrées empêche les attaquants d’accéder à l’information stockée. Le chiffrement des données est également obligatoire dans certains standards comme PCI DSS ou HIPAA. Les récentes failles de Vistaprint et MoviePass en démontrent l’importance.

60 % des services de stockage dans le cloud ont leur procédure d’identification désactivée. Pourquoi est-ce important? Une société n’accepterait jamais d’avoir plus de la moitié de ses entrepôts sans surveillance ni contrôle d’accès, car cela rendrait impossible de savoir qui entre ou sort dans les lieux. En désactivant la procédure d’identification pour le stockage dans le cloud, des cybercriminels comme CloudHopper ou FancyBear pourraient entrer dans le réseau sans que personne ne le sache. Cette identification est cruciale pour déterminer l’étendue des dégats dans des incidents comme la fuite des listes électorales états-uniennes, ou la fuite de données de la National Credit Foundation.

Les templates IaC les plus couramment utilisés
37% Terraform
24 % des templates CloudFormation
39 % K8s YAML

Les templates IaC les plus vulnérables
22% Terraform
42 % des templates CloudFormation
9 % K8s YAML

Dans le rapport précédent, il était notifié que les sociétés devaient améliorer la supervision centralisée et la mise en place des configurations cloud sécurisées. En dehors des templates IaC, dans les mois qui ont suivi ce rapport, nous avons constaté que les entreprises ont mis du temps à apporter ces améliorations. Pire, il semblerait que certaines s’engagent dans la mauvaise vois.

Les principaux changements depuis le dernier rapport

76 % des charges dans le cloud ont une exposition SSH (port 22), en hausse de 20 % par rapport à l’édition précédente rapport.

Pourquoi est-ce important?

Exposer ses serveurs SSH à l’ensemble d’Internet est une pratique à risque. Les attaquants ciblent les services SSH, car ils fournissent des accès distants aux environnements clouds. Les équipes de sécurité devraient laisser tomber les modèles d’accès basés sur la confiance avec des comptes et des mots de passe. « Ne jamais se fier, toujours vérifier » comme le préconise l’approche Zero-trust. Il est inquiétant de voir que cette exposition des services est une tendance en hausse.

69 % des entreprises exposent leurs postes de travail distants (RDP) (Port 3389), en hausse de 30 % par rapport à la précédente édition rapport.

Pourquoi est-ce important?

Faites votre choix : le poste de travail distant ou SSH. Exposé publiquement, chacun de ces services permet aux attaquants de frapper à votre porte alors qu’ils ne devraient même pas connaître votre adresse. Les chercheurs déconseillent fortement d’exposer les postes de travail distants publiquement sur Internet. De nombreuses solutions existent comme Azure Bastion, un service PaaS proposé par Microsoft. Cette tendance dangereusement à la hausse est à surveiller attentivement d’ici le prochain rapport.

27 % des sociétés utilisent des versions dépassées de TLS (Transport Layer Security), en baisse de 34 % par rapport au précédent rapport.

Pourquoi est-ce important ?

TLS v1.1 a été abandonné en 2008 en raison de sa vulnérabilité croissante aux attaques. En plus de ne plus respecter les demandes de certains standards comme PCI DSS, les entreprises qui l’utilisent encore mettent en danger les données de leurs clients. Voir baisser cette tendance est une bonne chose pour la sécurité des clients et le respect de leur vie privée.

Les bonnes pratiques à avoir

Avoir et maintenir une visibilité pluri clouds

Il est très difficile de sécuriser ce qui n’est pas vu ou su. Les équipes de sécurité doivent être les premiers à réclamer des plateformes cloud sécurisées dès le départ (CNSPs). Une visibilité à travers les clouds publics, privés ou hybrides, mais également les conteneurs, les déploiements « serverless » et les pipelines CI/CD  indispensables.

Respecter les standards

La sécurité à l’échelle du cloud demande un respect strict des standards.  Et cela à travers les environnements cloud publics, privés ou hybrides.

Pas encore de norme de sécurité ? La société peut consulter les benchmarks créés par le Center for Internet Security (CIS).

Un standard sur le papier c’est bien… mais il faut s’assurer qu’il est régulièrement mis en applications.

Toujours plus tôt

La sécurité « shif-left » consiste à prendre en compte la sécurité le plus tôt possible dans le développement. Travaillez avec les équipes DevOps pour que ses standards de sécurité soient compris dans les templates IaC qu’elles utilisent. C’est une situation gagnante tant pour le DevOps que pour les responsables sécurité.

Banque, Cybersécurité

La sécurité des clients des banques améliorée avec la DSP2

La nouvelle directive des services de paiements (DSP2) est entrée en vigueur il y a maintenant deux ans, le 13 janvier 2018, dans le but notamment d’introduire de nouvelles exigences en matière de sécurité et de protéger les consommateurs. Dans cet objectif, elle impose une authentification forte lors des paiements en ligne afin de réduire l’ampleur de la fraude.

Andrew Shikiar, Executive Director de l’Alliance FIDO, explique comment la DSP2 améliore la sécurité des clients des banques au quotidien, et dans quelle mesure les acteurs traditionnels peuvent augmenter leur niveau de sécurité tout en adoptant davantage de services digitaux : « La nouvelle directive sur les services de paiements (DSP2) a été introduite pour améliorer la sécurité des transactions en ligne et réduire la fraude, en exigeant des institutions financières qu’elles déploient une authentification multifactorielle pour certains scénarios en fonction du montant de la transaction et du niveau de risque. Les consommateurs n’ont peut-être pas encore remarqué de grands changements dans leurs expériences de services bancaires en ligne ; L’Autorité Bancaire Européenne ayant en effet retardé la pleine mise en conformité des solutions d’authentification pour les paiements en ligne jusqu’en décembre 2020 pour donner au secteur plus de temps pour se préparer. Toutefois, la DSP2 signifiera en fin de compte que les consommateurs bénéficieront d’une expérience beaucoup plus sécuritaire lors de transactions bancaires en ligne. Par exemple, l’authentification forte du client (SCA), dans le cadre de la nouvelle directive, obligera les banques et les autres fournisseurs de services financiers à mettre en œuvre, à tester et à vérifier leurs mesures de sécurité, ce qui permettra d’améliorer les processus de gestion des fraudes.« 

Une révision des processus d’authentification traditionnels

Les banques traditionnelles sont pour leur part, à présent en concurrence avec de nombreux challengers qui opèrent exclusivement en ligne, tout en faisant face à des changements réglementaires tels que la DSP2, qui exige une révision des processus d’authentification traditionnels. Mais la bonne nouvelle est qu’il existe maintenant des normes qui offrent un moyen facile à déployer pour répondre aux exigences liées à l’authentification forte du client, tout en satisfaisant la demande des organisations et des utilisateurs en matière de simplicité dans le cadre des transactions.

Biométrie et DSP2

De plus, les banques ont la possibilité de tirer parti des appareils déjà entre les mains de la plupart des consommateurs, tels que les smartphones et les ordinateurs portables avec lecteur biométrique, pour répondre aux exigences de l’authentification forte requise par la DSP2. Cela peut aider les banques à offrir le niveau de commodité supérieur auquel s’attendent les utilisateurs des services bancaires en ligne d’aujourd’hui.

La sécurité, la confidentialité et la convivialité peuvent véritablement aller de pair, sans introduire une foule de complications supplémentaires pour les banques et les fournisseurs de services financiers. Les acteurs les plus performants du secteur seront ceux qui prendront des mesures pour saisir cette occasion sans tarder.

Communiqué de presse

L’identification des cybermenaces avec l’IA

Le webinair de la ITrust Community propose de traiter de l’identification des cybermenaces avancées avec l’intelligence artificielle. Un webinar gratuit qui se déroulera le mardi 25 février, de 11 heures à 12h.

Cybermenaces – La ITrust Community vous invite pour son webinar gratuit mensuel le mardi 25 février 2020 ? De 11h à 12h, retour sur les actualités qui ont marqué les dernières semaines de la cyber-sécurité mondiale, ainsi qu’un retour en démonstration sur l’identification des cybermenaces avancées avec l’intelligence artificielle.

Les inscriptions se font via cette page. Un webinair gratuit.

Cybersécurité, IOT

Sécuriser l’IoT comme on protège son domicile

Un pirate informatique a récemment publié la liste des identifiants de connexion de 500 000 routeurs et objets connectés. Un grand classique ! Cependant, cela montre une fois de plus la facilité de la prise de contrôle de ces appareils.

Il devient impératif de protéger les objets connectés (routeurs, Iot, …) dont plus de 26 milliards sont attendus en 2020 dans le monde. Conçus pour simplifier notre quotidien, la vigilance est pourtant de mise comme le démontrent chaque jour de nouvelles cyber-attaques, surtout lorsque l’on introduit ces appareils dans nos foyers.

Philippe Alcoy, spécialiste de la sécurité chez NETSCOUT, rappelle que de nombreux objets connectés possèdent des microphones, des caméras ou des mouchards de localisation intégrés, qui diffusent des informations à notre insu, c’est pourquoi les consommateurs ne doivent pas seulement se fier aux fabricants et prendre les devants pour protéger leurs appareils. « Il est important de lire les politiques de confidentialité de l’entreprise et de savoir ce que ces appareils apprennent sur vous et votre famille. Les fournisseurs de services deviennent plus transparents et permettent aux consommateurs de refuser le partage de données. Nous devons tous être conscients des protections qu’ils offrent à cet égard. En comprenant les solutions qu’ils proposent, nous saurons quel fournisseur répond le mieux à nos besoins. En outre, avant d’offrir ou d’acquérir un appareil IoT, il est également essentiel de sécuriser nos réseaux domestiques contre les pirates, afin de protéger ses données et de préserver sa confidentialité. Or, le problème le plus récurrent est que la plupart des utilisateurs ne savent pas nécessairement comment s’y prendre, ou ne prennent simplement pas le temps, confiants envers leur fabriquant ou dans le fait que cela ne leur arrivera pas. Pourtant quelques pratiques simples permettraient de pallier ce problème.« 

On ne peut pas protéger ce qu’on ne connaît pas

Tout d’abord, partant du postulat qu’on ne peut pas protéger ce qu’on ne connaît pas, il est important de savoir combien d’appareils se trouvent connectés au réseau domestique. Une maison possède en moyenne huit appareils en réseau par personne, et ce nombre va continuer d’augmenter. Par exemple, les parents doivent accorder une attention toute particulière aux jouets de leurs enfants également connectés au réseau et dont un grand nombre possède des micros ou des caméras. Ensuite, il ne faut jamais utiliser les mots de passe par défaut fournis avec l’appareil. Ces derniers sont très connus et la première chose que le cybercriminel tentera pour prendre le contrôle de l’objet visé.

Sécuriser une bonne fois pour toutes ?

Par ailleurs, on aurait tort de penser qu’il est possible de configurer les objets connectés en mode ʺune bonne fois pour toutesʺ ; le fait d’être connectés à internet fait qu’ils doivent en effet être mis à jour régulièrement, bénéficier d’un système de mise à jour automatique et d’une authentification multifactorielle.

D’ailleurs, si l’appareil possède un micro intégré, l’utilisateur doit absolument prendre le temps d’en connaître le fonctionnement afin de savoir comment il enregistre et sa capacité – quantité et durée – de sauvegarde des enregistrements. Il faut savoir que toute demande formulée à son enceinte connectée est sauvegardée sur internet par son constructeur. C’est pourquoi activer les paramètres de sécurité qui bloquent l’enregistrement de la voix ne doit pas être une option. Enfin, dans la mesure du possible, il conviendrait de créer deux réseaux wifi domestiques sécurisés par mots de passe. Le premier pour les ordinateurs, les tablettes et smartphones.

Partage de connexion ?

Le second, pour les appareils IoT, le partage de mots de passe avec les proches, si nécessaire – sans pour autant accorder l’accès aux appareils à ses contacts. Il en va de même pour toute connexion aux routeurs.

Les recommandations de sécurité semblent infinies, pourtant les règles de base permettent de réduire drastiquement les risques de vols d’informations. A l’heure du tout connecté, se contenter d’une sécurité par défaut (routeurs, caméra, …) n’est pas la marche à suivre pour protéger sa vie privée, et il n’est plus possible d’attendre seulement une action du fabricant ou des spécialistes de la cybersécurité. Comme on verrouille sa porte en sortant de chez soi, il est impératif de verrouiller l’accès à ses objets connectés pour éviter, justement, qu’on ne s’introduise dans sa maison.