Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
backdoor, Communiqué de presse, Cyber-attaque, Cybersécurité, Piratage, Social engineering

Turla, les cyber-espions de l’espace

Le groupe de cyber-espions Turla détourne les liaisons Internet par satellite pour infecter leurs victimes. Un rapport détaillé porte sur l’analyse des techniques et méthodologies employées par le groupe, dont la backdoor Carbon.

L’éditeur de solutions de sécurité informatique ESET révèle que le groupe Turla dispose d’un large éventail d’outils visant à récolter les données provenant d’institutions européennes et américaines (USA). Pour éviter de se faire repérer, le groupe Turla change ses outils à chaque nouvelle opération et modifie également les mutex et les noms de dossier de chaque version : dans les trois années qui ont suivi le développement de la version nommée Carbon, les chercheurs ont détecté huit versions actives à ce jour.

Connu pour être minutieux, le groupe Turla effectue d’abord un travail de reconnaissance sur les systèmes de leur victime avant de déployer leurs outils tels que Carbon :

  • la première étape d’infection peut avoir lieu soit parce que l’utilisateur reçoit un e-mail infecté (spear-phishing), soit parce qu’il navigue sur un site Internet compromis
  • généralement, les pirates ciblent les sites fréquemment utilisés par leur victime (technique connue sous le nom d‘attaque de point d’eau : surveillance des habitudes de navigation de la victime)
  • lorsque le système est infecté, une backdoor (comme Tavdig ou Skipper) s’installe sur la machine de la victime
  • une fois la phase de reconnaissance terminée, une seconde backdoor (comme Carbon) est installée sur des systèmes clés

L’architecture de Carbon repose sur un dropper qui installe les composants du malware et le fichier de configuration, ainsi qu’un composant qui communique avec les serveurs C&C et un orchestrateur qui gère les tâches et les expédie vers d’autres ordinateurs du réseau. Pour communiquer avec le serveur C&C et exécuter l’orchestrateur, Carbon s’injecte dans un processus légitime (DLL).

« On note des ressemblances entre la backdoor Carbon et les autres outils utilisés par ce groupe (rootkit Uroburos), notamment dans l’implémentation des objets de communication. Les structures et les tables virtuelles sont identiques, si ce n’est qu’il y a moins de canaux de communication pour Carbon », explique le rapport d’ESET. « Cette backdoor pourrait être la version allégée de Uroburos, sans composant de noyau ni d’exploits ».

Communiqué de presse, Cyber-attaque, Cybersécurité, Justice, Leak, Piratage, Social engineering

À la poursuite de « Lazarus »

À la poursuite de « Lazarus » : sur les traces du groupe chasseur de grandes banques internationales

Kaspersky Lab vient de publier les conclusions d’une enquête menée par ses experts pendant plus d’un an au sujet du groupe de hackers « Lazarus », présumé responsable du vol de 81 millions de dollars à la Banque Centrale du Bangladesh en 2016. L’analyse scientifique des indices laissés par les pirates dans des banques situées dans le Sud-est asiatique et en Europe, a permis de cerner leur mode opératoire. Ses experts ont mis au jour le type d’outils utilisés pour les attaques visant des institutions financières, des casinos, des éditeurs de logiciels dédiés aux sociétés de placement du monde entier, ainsi que des entreprises de crypto-monnaies. Ces renseignements ont permis d’interrompre au moins deux opérations lancée dans le but de dérober de très grosses sommes à des institutions financières.

En février 2016, un groupe de pirates (non-identifié lors des faits) a tenté de dérober 851 millions de dollars, réussissant à transférer 81 millions de dollars depuis la Central Bank of Bangladesh. Ce vol est considéré comme l’un des plus grands jamais perpétrés par des pirates informatiques à ce jour. Des experts de sociétés spécialistes de la sécurité informatique ont conclu que les attaques avaient très probablement été perpétrées par Lazarus, un groupuscule passé maître dans l’art du cyberespionnage et du cybersabotage. Cette cellule est connue pour avoir perpétré une série d’attaques de grande envergure ayant ciblé des fabricants, des médias et des institutions financières dans au moins 18 pays aux quatre coins du monde depuis 2009.

Très discret pendant plusieurs mois après l’attaque contre la banque du Bangladesh, le groupe Lazarus n’est en pas moins demeuré actif. Ses membres préparaient une autre opération visant d’autres banques. Lorsqu’ils ont été prêts, ils avaient déjà réussi à trouver un point d’entrée dans une institution financière du Sud-est asiatique. Après avoir été interrompus par des solutions Kaspersky Lab et par l’enquête menée ensuite, ils se sont mis au vert pendant plusieurs mois avant de changer de continent. Ils ont alors ciblé des établissements en Europe, où là encore les logiciels de sécurité de Kaspersky Lab ont repéré leurs tentatives et les ont bloquées, aidés par ses équipes d’intervention, d’analyse scientifique et de reverse engineering ainsi que par ses meilleurs chercheurs.

Le modus operandi de Lazarus

Les experts ont passé au crible les indices collectés sur les lieux des attaques. Cette analyse scientifique leur a permis de reconstituer le mode opératoire des pirates.

  • Compromission initiale : les pirates ouvrent une brèche dans un seul des systèmes informatiques de la banque, soit en exploitant à distance des portions de code vulnérables (sur un serveur web par exemple), soit à l’aide d’une attaque dite de « watering hole » qui consiste à piéger un site web légitime. Lorsqu’une victime (un employé de la banque ciblée) consulte ce dernier, son ordinateur est infecté par des composants additionnels.
  • Trouver ses marques : les membres du groupe migrent vers d’autres ordinateurs hôtes au sein de la banque où ils déploient des backdoors persistants, qui leur permettent d’aller et venir à leur guise à l’aide des programmes malveillants installés.
  • Reconnaissance interne : le groupe passe ensuite des jours et des semaines à étudier scrupuleusement le réseau afin d’identifier les ressources intéressantes. Il peut s’agir d’un serveur de sauvegarde qui conserve les données d’authentification, des serveurs de messagerie, des contrôleurs de noms de domaine donnant accès à l’ensemble de l’entreprise, ou encore de serveurs où sont stockées les archives des transactions financières.
  • Passage à l’acte : l’ultime étape consiste, pour les pirates, à déployer leur malware conçu pour passer outre les dispositifs de sécurité internes des logiciels financiers et effectuer des transactions illicites au nom de la banque.

Empreinte géographique et attribution

Les attaques passées au crible par les experts se sont étalées sur plusieurs semaines, sachant que les pirates ont réussi à opérer pendant des mois sans se faire repérer. À titre d’exemple, pendant l’analyse de l’incident survenu dans le Sud-est asiatique, les experts ont découvert que les pirates avaient en fait corrompu le réseau de la banque 7 mois avant qu’elle ne réagisse et sollicite l’intervention des équipes de réponse aux incidents. Le groupe avait même eu accès au réseau de la banque bien avant l’incident survenu au Bangladesh.

Le groupe Lazarus a fait parler de lui à partir de décembre 2015 : des échantillons de malwares en lien avec ses activités ont été repérés sur les réseaux d’institutions financières, de casinos, d’éditeurs de logiciels dédiés à des sociétés de placement et d’entreprises de crypto-monnaies en Corée, au Bangladesh, en Inde, au Vietnam, en Indonésie, au Costa Rica, en Malaisie, en Pologne, en Irak, en Ethiopie, au Kenya, au Nigeria, en Uruguay, au Gabon, en Thaïlande et dans plusieurs autres pays. Les derniers échantillons malveillants repérés datent de mars 2017, ce qui laisse penser que les pirates ne comptent pas s’arrêter là.

S’ils ont pris soin d’effacer leurs traces, ils se sont grossièrement trahis sur au moins l’un des serveurs utilisés dans une autre campagne. En préparation de l’attaque, ce serveur avait été configuré pour faire office de centre de commande et de contrôle (C&C) du malware. Les premières connexions effectuées le jour de la configuration provenaient de nouveaux serveurs VPN/proxy, laissant penser à une période de test du C&C. Les pirates ont laissé un indice : une connexion très brève a été détectée, émanant d’une plage d’adresses IP très rare en Corée du Nord.

Selon les chercheurs, cela pourrait avoir plusieurs significations :

  • Les attaquants se sont connectés depuis cette adresse IP en Corée du Nord ;
  • Il s’agit d’un leurre savamment orchestré par quelqu’un d’autre ;
  • Quelqu’un en Corée du Nord a visité par accident l’URL du C&C.

Le groupe Lazarus investit énormément pour créer de nouvelles variantes de son malware. Ses membres ont, pendant des mois, essayé de mettre au point une version totalement indétectable par les solutions de sécurité. Mais à chaque nouvelle tentative de leur part, les spécialistes ont réussi à repérer leurs créations en identifiant des paramètres récurrents au niveau du code. À l’heure actuelle, ceux-ci ne montrent aucun signe d’activité, ce qui laisse penser qu’ils les ont suspendues pour renforcer leur arsenal.

« Nous sommes persuadés qu’ils referont surface prochainement. Les attaques comme celles menées par le groupe Lazarus montrent qu’une erreur de configuration, même minime, peut ouvrir une brèche importante dans le réseau d’une entreprise, avec à la clé la perte potentielle de centaines de millions de dollars. Nous espérons que les dirigeants des banques, des casinos et de sociétés de placement du monde entier apprendront à se méfier de Lazarus », témoigne Vitaly Kamluk, Directeur de l’équipe de recherches et d’analyses APAC chez Kaspersky Lab.

Base de données, Chiffrement, Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, loi, Particuliers, Sauvegarde

N’utilisez plus les outils US, Trump va vendre vos informations

Le Congrès Américain vient de donner le feu vert qui permet aux opérateurs télécoms US de vendre vos informations.

Vous utilisez un service Télécom/Internet américain ? Souriez, vos historiques concernant les sites que vous avez visité, les applications que vous avez utilisé, vos recherches dans un moteur de recherche ou encore le contenu de vos mails, santé et data financières pourront être revendues aux plus offrants.

Les fournisseurs d’accès à Internet n’attendent plus qu’une signature du président Trump avant qu’ils ne soient libres de prendre, de partager et même de vendre votre historique 2.0… sans votre permission. La résolution a été adoptée par le sénat, la semaine dernière. Le Président élu Trump n’a plus qu’à finaliser le massacre. Car, comme l’explique The Verge, les FAI le faisaient déjà de manière « discrète », voici une loi qui valide définitivement ce pillage et la revente des informations.

« Les fournisseurs de services comme AT & T, Comcast, etc. pourront vendre les renseignements personnels au meilleur enchérisseur sans votre permission« , a déclaré la représentante Anna Eshoo (D-CA).

Autant dire que les données que les utilisateurs non américains laissent sur des services hébergés par des entreprises de l’Oncle Sam sont purement et simplement en danger de finir dans des mains tierces sans même que vous le sachiez.

Base de données, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage, Social engineering

Stratégie de cyber sécurité : la moitié des entreprises en retard sur l’implémentation

Intel Security et le think-tank CSIS (Center for Strategic and International Studies) dévoilent les résultats de leur étude “Tilting the Playing Field: How Misaligned Incentives Work Against Cybersecurity« . Ce rapport met en évidence les principales faiblesses dans l’approche des entreprises à la cyber-sécurité et leur propose d’adopter certaines pratiques des pirates afin d’éviter 3 incohérences majeures.

1. Les structures d’entreprise rigides versus la liberté d’action des cybercriminels
Le rapport d’Intel Security décortique les raisons qui ont permis aux pirates de prendre une longueur d’avance sur les spécialistes de la cyber-sécurité, dont l’agilité. Alors que le marché du cyber crime est fortement dynamique, les entreprises doivent souvent agir sous contrainte de la hiérarchie et des processus établis qui les mettent davantage en position réactive de défense face aux pirates.

« Le marché du cyber-crime ne connaît pas la crise. Notamment grâce à sa propre structure, qui récompense rapidement les innovations et promeut les outils les plus performants », commente Fabien Rech, Directeur Général d’Intel Security France. « Afin de faire face aux pirates, les cyber-professionnels ont besoin d’être aussi agiles que les cybercriminels mais également de maintenir les motivations au sein de toute leur équipe informatique. »

2. Un décalage entre la stratégie de cyber-sécurité définie et sa mise en place
Comme le démontre le rapport, il ne suffit pas simplement d’avoir établi une stratégie de cyber-sécurité pour être protégé, les surprises arrivent souvent lors de sa mise en œuvre. Alors que plus de 90 % des entreprises affirment avoir une stratégie de cyber-sécurité, plus de la moitié avouent ne pas l’avoir totalement mise en place. 83 % admettent même avoir déjà constaté des brèches de sécurité malgré leur stratégie de protection, révélant ainsi une rupture entre la stratégie et l’implémentation.

« C’est facile d’élaborer une Stratégie de cyber sécurité, mais l’étape la plus complexe est surtout sa mise en place », explique Denise Zheng, directrice adjointe chez CSIS. « La manière dont les gouvernements et les entreprises adressent les possibles dissonances dans leur approche de la cyber sécurité va déterminer l’efficacité de toute leur stratégie de cyber défense. La question n’est plus de savoir ce qui devrait être fait, mais plutôt pourquoi tout n’est pas fait et surtout comment mieux le faire. »

3. Un manque d’alignement entre l’équipe dirigeante et les personnes en charge de l’implémentation des mesures de sécurité
Les motivations des cyber professionnels ne sont pas aussi fortes que celles des cybercriminels, ce qui met en porte à faux l’ensemble de la stratégie de cyber-sécurité de l’entreprise. Par ailleurs, les dirigeants manquent souvent d’objectivité quand il s’agit d’évaluer l’efficacité des mesures incitatives envers leur équipe IT. Par exemple, 42 % des membres des équipes informatiques jugent qu’il n’existe aucune forme d’encouragement dans leur entreprise, tandis que 82 % des cadres exécutifs et 92 % des dirigeants sont persuadés de l’inverse.

Stratégie de cyber sécurité : Les autres faits saillants du rapport :

  • Les entreprises du secteur public ont le plus de mal à implémenter une stratégie de cyber sécurité dans son intégralité (38 %). En parallèle, ce secteur constate un financement inadapté d’une grande partie de ses institutions (58 %) ainsi qu’une pénurie de compétences (63 %). Ces proportions sont moins marquées dans le secteur privé (respectivement 33 % et 43 %).
  • Malgré le manque d’encouragement en interne, 65 % des professionnels reconnaissent être personnellement motivés pour renforcer la cyber sécurité de leur entreprise.
  • Les employés sont mieux placés que leur hiérarchie pour constater des insuffisances de financement et de pénurie d’effectif, à la source d’obstacles à la mise en place de stratégie de cyber sécurité réussie.
  • 95 % des entreprises ont déjà expérimenté les conséquences de brèches de sécurité, incluant des perturbations/interruptions de leur opération, la perte d’adresse IP, des attaques directes à l’image de la marque, etc. Or, seules 32 % ont constaté une perte de revenu ou de bénéfice liée à ces brèches, ce qui peut fausser le sentiment de sécurité.

Les bonnes pratiques issues du cyber crime à adopter en entreprise :

  • Opter pour une approche de Security-as-a-Service pour contrer le Cybercrime-as-a-Service ;
  • S’appuyer sur une communication publique pour adresser les vulnérabilités de ses produits et services ;
  • Garantir une plus grande transparence grâce au partage des informations sur les menaces ;
  • Faciliter le recrutement de jeunes talents dans le domaine de la cyber sécurité ;
  • Aligner les mesures incitatives à la cyber sécurité au sein de toute l’entreprise.

Pour les auteurs du rapport, de nombreuses entreprises reconnaissent la gravité du problème et sont prêtes à investir dans une stratégie de cyber sécurité. Aujourd’hui, les outils ne suffisent plus pour combattre les pirates ; il faudra déterminer également la bonne répartition entre les indicateurs de performance et les incentives dans chaque entreprise. Il est crucial que les secteurs public et privé dépassent leur vision de la cyber-sécurité comme étant une source de dépense, et qu’ils réinventent leurs approches pour reprendre une longueur d’avance sur les cybercriminels. [Rapport]

backdoor, BYOD, Cyber-attaque, Cybersécurité, DDoS, Entreprise, IOT, Mise à jour, Patch, Piratage

DDoS : Le meilleur ami de Mirai est Vietnamien

L’équipe d’intervention d’urgence de Radware, spécialiste de la disponibilité applicative et de la sécurisation des centres de données, vient de dévoiler un nouveau rapport sur la propagation d’attaques DDoS via des équipements connectés insuffisamment protégés.

Si les vecteurs d’attaque DDoS sont nombreux, la méthode la plus utilisée est la suivante : les attaquants scannent Internet à la recherche d’équipements vulnérables à des attaques par injection de commande spécifiques.

Les commandes utilisées dans ces attaques IoT donnent l’instruction à l’équipement ciblé de télécharger le malware sur une serveur distant pour ensuite l’exécuter.

Une fois le malware exécuté, l’équipement est embrigadé dans un botnet et utilisé pour perpétrer des attaques DDoS.

Dans ce contexte, les mots de passe par défaut sont une bénédiction pour les cybercriminels : admin/admlin ; 0000 ; …

DDoS : Good morning vietnam !

Radware a mis en place un « pot de miel » surveillant l’activité sur le port 23, Telnet. Ce dernier a enregistré 300 tentatives de connexion par jour effectuées par des équipements situé partout dans le monde. Parmi ces appareils, on dénombrait des routeurs, des NAS, des lecteurs/enregistreurs de vidéo et des caméras web.

L’un des équipements les plus utilisés pour lancer des DDoS se trouve principalement au Vietnam. Cet appareil, le VNPT’s GPON IGATE GW040, a été largement infecté pour la simple et bonne raison que ses logins de connexion par défaut ont été divulgués sur Internet.

Cet appareil supporte le protocole d’administration à distance TR-069 et dispose d’un accès Telnet/SSH ouvert. La plupart des constructeurs fournissent sur leurs sites internet des documentations dans lesquelles on trouve les mots de passe par défaut, c’est le cas du GPON IGATE GW040. qBot, Hajime, Mirai et autres scanners utilisent un set de logins de connexion par défaut. Le fichier « scanner.c » de Mirai comporte par exemple 62 mots de passe par défaut de nombreux équipements et les créateurs de botnets recherchent en permanence de nouveaux logins et de nouveaux équipements pour les enrôler. (Radware)

Chiffrement, Communiqué de presse

RES ONE Entreprise : nouvelle version

Avec ses nouvelles fonctionnalités, la plate-forme RES ONE Entreprise propose une solution évolutive et pérenne pour sécuriser et améliorer l’espace de travail numérique.

RES, le leader des espaces de travail numériques qui accroissent la productivité, annonce le lancement de la version 10 de ses produits RES ONE.

Cette nouveauté propose des fonctionnalités avancées qui améliorent la gestion informatique, l’automatisation, la sécurité et la transparence de l’espace de travail, faisant de RES One la plateforme de référence pour des workflows à la fois plus sophistiqués et plus dynamiques entre les personnes, les systèmes, les données et les applications. Les nouvelles fonctionnalités de RES ONE Enterprise (précédemment RES ONE Suite) étendent les ressources informatiques pour moderniser les espaces de travail numériques, particulièrement pour les infrastructures hybrides, et permettent aux utilisateurs d’être plus productifs et plus fiables.

Les nouveautés de la gamme de fonctions avancées des produits RES ONE Enterprise portent principalement sur l’amélioration de l’expérience utilisateur de l’espace de travail numérique et l’automatisation, toujours plus simple et plus puissante. Avec pour résultat, une infrastructure IT pérennisée et une entreprise renforcée pour garantir à ses collaborateurs le moins d’incidents et de freins possibles à leur productivité, tout en étant activement protégés des risques de sécurité informatique.

« RES ONE v10 propose à l’entreprise une nouvelle approche de la pérennisation », déclare Stacy Leidwinger, vice-président produits de RES : « C’est une solution de gestion de la technologie adaptée à toutes les infrastructures hybrides, et une nouvelle façon de gérer, mettre à jour voire de transformer la technologie de l’espace de travail sans impacter la productivité de l’utilisateur qui peut travailler partout, tout le temps avec n’importe quel dispositif, avec un meilleur support informatique et en garantissant la sécurité. »

Avec RES, les nouvelles mesures de sécurité, les initiatives de virtualisation, les mises à jour et les migrations d’OS peuvent dorénavant être mise en œuvre de façon transparente pour les utilisateurs. Et ce, grâce aux capacités d’adaptation, de prédiction et de sensibilité au contexte technologique des technologies RES. Avec les produits RES version 10, les utilisateurs bénéficient d’une nouvelle approche de la prestation de services informatiques qui se concentre sur une meilleure expérience utilisateurs au moyen de l’automatisation et du libre-service.

« Cette pérennisation est cruciale, étant données les tendances technologiques disruptives comme l’Internet des Objets qui transformeront inéluctablement la façon dont les utilisateurs interagiront avec la technologie et l’information, » poursuit Leidwinger. « Alors que nous voyons une transition vers des solutions basées sur le cloud dans l’entreprise, il ne fait aucun doute que la complexité de ces environnements augmente avec les paysages hybrides qui risquent de devenir la norme dans un avenir prévisible. Nous avons seulement commencé à voir comment les utilisateurs seront impactés par ces changements. »

« La dernière version de RES ONE Enterprise est idéalement disponible pour soutenir l’entreprise et assurer la sécurisation de nos environnements », déclare Marcus Lohr, Vice-président Opérations Infrastructure de la Woodforest National Bank. « RES ONE nous permettra d’améliorer la productivité et de limiter les risques. RES a toujours représenté une forte combinaison de sécurité, d’automatisation et de libre-service et RES ONE Enterprise vient renforcer ces capacités et nous donner encore plus de possibilités pour améliorer la gouvernance et l’expérience de l’utilisateur. »

Quels produits RES ont changés ?

La gamme de produits RES ONE Enterprise inclut RES ONE Workspace, RES ONE Automation et RES ONE Identity Director, tous améliorés dans cette nouvelle version 10. RES ONE Identity Director autrefois appelé RES ONE Service Store a été renommé pour mieux refléter l’alliance unique des capacités de gestion d’identité avec l’automatisation et la gestion du workflow. Par ailleurs, RES ONE Security bénéficie également de ces nouvelles versions.

Points forts des améliorations des produits RES ONE

La dernière version de RES ONE Workspace offre aux services informatiques plus de visibilité pour une meilleure gestion de l’espace de travail et élargit les fonctionnalités de sécurité avec une sensibilité au contexte et à de nouveaux systèmes d’exploitation. Les principales améliorations sont :

  • Nouveaux rapports qui donnent un aperçu de l’expérience utilisateur, des performances et de l’utilisation pour une aide à la décision plus rapide et plus performante
  • Nouveaux portails de gestion basés sur le Web avec des outils diagnostiques pour le service help desk qui facilitent l’exploration et le dépannage de l’espace de travail
  • Intégration transparente entre l’infrastructure et les systèmes grâce à des API plus ouvertes et flexibles
  • Plus de politiques de sécurité contextuelles et pour un plus large éventail de dispositifs, incluant Mac et Linux, pour une meilleure expérience utilisateur mobile
  • Amélioration des capacités en libre-service pour un meilleur support utilisateurs 24/7
  • Plus de visibilité et de partage des données autour de l’identité de l’utilisateur, de l’activité d’accès et de l’expérience utilisateur
  • Une interface utilisateur web et mobile améliorée pour le portail de libre-service
  • Une gouvernance renforcée avec le partage des données relatives aux politiques d’identité et d’accès, au workflow et aux transactions dans les outils existants de reporting, de suivi et de BI.
Android, escroquerie, Téléphonie

Google Play tourmenté par les faux mods de Minecraft

80 applications malveillantes sur Google Play déguisées en mods dédiés au jeu Minecraft. Ils ont été téléchargés pas loin d’un million de fois.

Au total, les 87 faux mods ont donné lieu à 990 000 téléchargements avant d’être signalés par ESET les 16 et 21 mars 2017. Les applications répertoriées se divisent en deux catégories : le téléchargement de publicités (Android/TrojanDownloader.Agent.JL) et les fausses applications redirigeant les utilisateurs vers des sites Internet frauduleux (Android/FakeApp.FG).

Pour Android/TrojanDownloader.Agent.JL, ESET signale 14 fausses applications ayant causé 80 000 téléchargements, contre 910 000 installations pour les 73 applications malveillantes agissant sous Android/FakeApp.FG. Comme elles ne disposent pas de fonctionnalités réelles et qu’elles affichent de nombreuses publicités agressives, les avis négatifs apparaissent clairement sur Google Play.

Si un utilisateur a téléchargé des mods de Minecraft, il se peut qu’il ait rencontré l’une des 87 applications malveillantes. Il est facile de reconnaître ce type d’escroqueries : l’application ne fonctionne pas et un message apparaît avoir cliqué sur le bouton de téléchargement. Pour les fausses applications qui téléchargent des publicités, il n’y a pas non plus de fonctionnalités permettant de jouer et l’appareil continue d’afficher des publicités injustifiées. Toutefois, comme l’application malveillante est capable de télécharger des applications supplémentaires sur des périphériques infectés, la charge utile responsable des annonces peut, par la suite, être remplacée par des malwares plus dangereux.

Bien que ce qui suit ne soit pas encore entré dans les habitudes des Français, les chercheurs ESET rappellent qu’il est important d’équiper son téléphone portable avec une solution de sécurité efficace et adaptée aux mobiles. Il n’y a pas que les ordinateurs qui peuvent être infectés par un logiciel malveillant.

En 2016, ces derniers ont augmenté de 20% sur Android. Une solution de sécurité pour mobile permet, au même titre que celle dédiée aux ordinateurs, de détecter et supprimer les menaces.

Si un utilisateur souhaite supprimer les menaces manuellement, il doit désactiver les droits d’administrateur du périphérique pour l’application et le module téléchargés en allant dans Paramètres -> Sécurité -> Administrateur de périphériques. Il suffit ensuite de désinstaller les applications en allant dans Paramètres -> Gestionnaire d’applications.

 

Base de données, Chiffrement, cryptage, Cybersécurité, double authentification, Entreprise

Gérer les droits d’accès et les identités à l’heure du cloud

Aujourd’hui, l’adoption du cloud est devenue inéluctable. La part grandissante des environnements dit « hybrides » au sein des entreprises compliquent les politiques de protection des données, des droits d’accès, à l’heure où les attaques comme les ransomwares se multiplient auprès des PME comme des grandes comptes.

Droits d’accès à l’heure du Cloud ! Si s’engager dans une démarche rapide et complète de maitrise des risques peut paraître illusoire au vu du chantier que cela représente, il n’est pas encore trop tard pour adopter de bonnes pratiques et se prémunir contre les risques associés aux droits dans ces environnements étendus. Le cloud n’impose pas forcément de réinventer toute l’organisation : les politiques et les protocoles de gouvernances déjà mises en place pour répondre aux pressions réglementaires doivent simplement être adaptés à ces nouveaux actifs informatiques sensibles.

Depuis quelques années, l’économie mondiale du « Pay as you grow » touche l’informatique. Les logiciels que l’on achetait il y a 20 ans, comme les suites Adobe et Office, sont désormais louables au mois, sans engagement et à moindre prix. Ainsi, le locatif s’est démocratisé, notamment au sein des entreprises. L’environnement hybride alliant cloud et privé (c’est-à-dire où l’on est à la fois propriétaire et locataire)  permettent aux utilisateurs de libérer leurs données des frontières en fonction de leurs usages.

Les grands ténors de l’édition comme Microsoft, Google ou Amazon tendent de plus en plus vers le cloud, qui propose un vrai levier économique : lorsqu’une entreprise crée de la donnée, elle choisit de l’héberger chez elle ou dans un conteneur appartenant à l’un de ces ténors – un réflexe devenu aujourd’hui incontournable, à l’heure d’un modèle économique novateur qui érige la mensualisation en paradigme. La location souffle un vent de liberté et permet aux entreprises de s’affranchir de tout engagement.

Les défis de la gestion des droits d’accès

Devant l’inéluctabilité du cloud, en termes de sécurité informatique, chaque entreprise a sa propre politique interne, qu’elle soit légère ou très élaborée. Quoiqu’elles soient variées, leur objectif est semblable : adapter les droits d’accès et les identités au cadre de chaque entreprise. Dans un contexte normé par la GDPR, les lois françaises et allemandes ou le monde de la Fintech, la problématique actuelle est universelle : prévenir pour mieux guérir ! Si les cadres règlementaires et les technologies existent pour mieux se prémunir et protéger ses données, mais il faut néanmoins que les responsables se donnent les moyens de prendre les décisions. Dans des environnements de plus en plus complexes, la gestion des droits d’accès au cloud et des identités est un véritable défi. Mieux contrôler pour mieux protéger les données dans le système d’information ?

Les dernières attaques mettent en lumière l’enjeu particulier de cette question, puisqu’elles ciblent l’usurpation d’identité, cette façon d’octroyer des droits d’accès pour mettre à mal un système informatique. Pour éviter cela, pas de miracle : il faut les bonnes personnes en face des bons contrôles d’accès, au bon moment et pour les bonnes raisons. Typiquement, on fonctionne encore énormément avec une approche périmétrique : il faut des firewalls, des murs érigés aussi haut que possible, plus grands, plus résistants et plus épais … mais pas forcément plus efficaces. Plutôt que d’ériger une cathédrale en béton armé dont le vigile peut être trompé, il est préférable de placer des contrôles d’accès pertinents à chaque point d’entrée.

Le cas de Microsoft : la migration vers Office 365

Pour atteindre un meilleur niveau de sécurité, les entreprises sont encouragées à muscler, en interne, leur stratégie de gestion des droits d’accès et des identités. A l’instar d’autres environnements hybrides, la gestion globale des identités et des accès dans Office 365 engendre de nombreux défis. La migration vers les services d’Office 365 impose rapidement à l’entreprise de gérer les risques externes associés au Cloud. Mais il ne faut pas confondre vitesse et précipitation : l’étape fondamentale préalable à la mise en place d’Office365 est de faire le ménage dans les droits d’accès pour assurer une transition en toute sérénité vers le cloud. Ensuite, trois points doivent attirer une vigilance particulière :

·      La structure déjà complexe des droits d’accès empêche les responsables informatiques d’acquérir une vision globale des liens entre utilisateurs et ressources. Cette problématique s’intensifie avec la migration dans le cloud : nouvelles ressources, nouveaux types d’accès, nouvel annuaire ; d’où la nécessité de maintenir un contrôle et une visibilité optimale sur les structures de ressources et les identités.

·      Le cycle de vie des utilisateurs se transforme aussi avec la migration vers le cloud : il faut prendre en compte, lors des arrivées, des mutations ou des départs, l’attribution ou le retrait des droits correspondants et enrichir les profils existants. Cette refonte est indispensable pour assurer la continuité de l’activité, maintenir la productivité des collaborateurs et garder le contrôle des licences Office 365 dont l’importance financière est cruciale.

·      La sécurité des données est mise en péril par l’hybridation de l’environnement : qui peut accéder aux données ? Qui valide les nouveaux droits ? Comment assurer que la situation est conforme avec les politiques de l’entreprise et les bonnes pratiques ? Ces questions, présentes depuis l’implémentation d’Active Directory dans les environnements d’entreprise, prennent un nouveau sens avec le déploiement des ressources cloud.

Qui dit sécurité, dit risques. Aujourd’hui, pour bien sécuriser, il faut prendre de la hauteur et surpasser la technologie en définissant des moyens humains et techniques dédiés à cela. Les mesures de sécurité liées à la production toujours plus prolifique de data doivent s’adapter aux moyens de l’entreprise. Le ransomware est l’incident d’aujourd’hui, mais il ne sera pas le défi de demain. Tous les jours, les pirates réinventent leurs modes d’attaques. La cyber-sécurité des entreprises doit les suivre, sinon les devancer : elle ne doit pas être figée mais mouvante, au fait des actualités, prête à se renouveler et jamais transposée d’une entreprise à une autre. Une bonne sécurité est une sécurité sur-mesure. [Tribune de Chakir Moullan, Country Manager France 8MAN]

BYOD, Chiffrement, Cloud, Communiqué de presse, Cybersécurité, Entreprise, iOS

Lookout et Apple renforcent les mobiles sous iOS

Lookout renforce sa solution Mobile Endpoint Security pour améliorer la productivité des flottes entreprises mobiles IOS.

Lookout, spécialiste de la sécurisation de la mobilité, a étendu sa solution de sécurité d’entreprise, Mobile Endpoint Security, pour répondre aux besoins des organisations qui ont fait le choix de la plateforme iOS et accélérer l’adoption de la mobilité sécurisée en entreprise.

Lookout et Apple reconnaissent l’impact que peut avoir le mobile sur le monde du travail et ont identifié qu’avec l’augmentation de la productivité mobile, les entreprises développent de plus en plus leurs propres applications. En tant que nouveau partenaire mobilité d’Apple, Lookout lance fonction d’analyse des applications internes/métiers des entreprises pour permettre aux entreprises qui développent leurs propres applications iOS de pouvoir analyser rapidement la conformité en termes d’accès et d’utilisation données et identifier les risques de sécurité. En utilisant l’option d’analyse des applications incluse dans la solution Mobile Endpoint Security de Lookout, les applications d’entreprises iOS personnalisées sont uploadées dans l’infrastructure de sécurité Lookout pour être vérifiées par rapport à base de données existante de plus de 40 millions d’applications et permettre d’identifier les anomalies avant leur distribution par le biais des magasins d’applications internes.

De nombreuses entreprises ont des politiques de conformité uniques qui précisent comment les données doivent être stockées et sont transmises, y compris pendant leur utilisation sur des appareils mobiles et des applications. Certaines applications mobiles ou réseaux wi-fi peuvent compromettre ces politiques. Par exemple, les applications d’entreprises développées par des tiers et distribuées par les magasins d’applications internes peuvent ne pas avoir de chiffrement suffisant pour protéger les données clients ou patients.

« Les entreprises doivent avoir l’assurance que leurs données sont sécurisées tandis que leurs employés travaillent partout à travers le monde. », explique Santosh Krishnan, chef de produit chez Lookout. « La nouvelle fonctionnalité d’analyse des applications permet de vérifier le niveau de conformité des applications mobiles dans le cadre de notre mission collective de permettre aux organisations d’adopter de nouveaux modes de productivité mobile de la façon la plus transparente possible. »

En plus d’examiner des applications personnalisées, la solution Mobile Endpoint Security de Lookout peut également examiner les applications téléchargées depuis l’App Store. Bien que déjà examinées et approuvée par le strict processus de validation existant des applications de l’App Store d’Apple, certaines applications peuvent quand même envoyer automatiquement les contacts ou des informations de géolocalisation vers un serveur externe et être ainsi en contradiction directe avec les politiques établies de l’entreprise. De plus, avec la progression de la mobilité, les employés se connectent souvent à des réseaux Wi-Fi publics qui peuvent exposer les données de l’entreprise en transit.

La solution Mobile Endpoint Security de Lookout étend la sécurité intégrée de la plateforme iOS en exploitant son infrastructure de sécurité propriétaire pour fournir aux entreprises la visibilité et la possibilité de protéger leurs applications, distribuées via MDM pour iOS, des menaces réseaux et des comportements suspects. Grâce à la solution Mobile Endpoint Security, les clients de Lookout peuvent :

  • Identifier les risques qui peuvent menacer les applications construites en interne : Alors que les entreprises développent des applications propriétaires pour faciliter des flux de travail mobiles et améliorer la productivité de leurs employés et clients, les développeurs seront en mesure de présenter rapidement des applications pour analyse. Cet avis peut fournir des données immédiates sur les comportements non conformes, les logiciels malveillants et les vulnérabilités de code, tout en offrant la possibilité de détecter une application qui fait appel à des APIs non autorisées ou privées.
  • Permettre aux employés mobiles de travailler en toute sécurité : Lookout sécurise les appareils mobiles et les données par le biais d’une analyse automatique de l’appareil à chaque connexion réseau pour le protéger contre les attaques et permettre aux informations d’être transmises en toute sécurité.
  • Prendre les mesures nécessaires pour rester conforme, même sur mobile : Avec la solution Mobile Endpoint Security de Lookout, les entreprises ont maintenant la visibilité requise sur les applications installées sur les appareils mobiles de leurs employés qui peuvent ne pas être en conformité avec les politiques de sécurité établies de l’entreprise et / ou des règlements de l’industrie. Exclusivement pour iOS, les entreprises peuvent voir quelles applications se connectent aux services cloud et celles qui pourraient enfreindre la politique des données de l’entreprise, telles que celle du partage des contacts et celle des informations de localisation. Lookout fournira également aux entreprises de la visibilité sur la bonne utilisation par les applications iOS des nouvelles fonctionnalités en matière de sécurité dans iOS.

Lookout Mobile Endpoint Security est vendu grâce au programme de partenaires de Lookout. Pour les employés d’entreprises utilisatrices d’iOS, l’application de Lookout peut être téléchargée à partir de l’App Store. Pour en savoir plus sur Mobile Endpoint Security de Lookout, connectez-vous sur www.lookout.com.

BYOD, Communiqué de presse, Cyber-attaque, Cybersécurité, Emploi, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage

La sécurité informatique à l’heure de la Génération Y

C’est un constat au quotidien : la sécurisation du réseau d’une organisation relève de la gageure. D’autant que la tâche est de plus en plus complexe face à l’émergence de la Génération Y.

 Cette génération du millénaire, celle qui regroupe les 20 – 35 ans, est de plus en plus représentée dans le monde. Plus d’un travailleur sur 3 aux États-Unis serait dans cette tranche d’âge, selon une étude de Pew Research Center. Et ce groupe démographique devrait compter pour environ 50% des travailleurs à l’horizon 2020, selon PwC.

La génération Y présente ses propres codes et désirs : elle partage sur les réseaux sociaux. Elle abhorre les expériences utilisateurs médiocres. Elle sollicite davantage de flexibilité dans le travail. Elle est prête à aller voir ailleurs si ses attentes ne sont pas prises en compte. Autant de caractéristiques qui impactent lourdement les cultures d’entreprise, mais qui, au-delà, imposent un réel challenge à la sécurité réseau de nombreuses organisations.

Voici trois points à prendre en compte dans cette transformation qui s’opère :

1. Maîtriser les médias sociaux

Faut-il ou non donner l’accès aux réseaux sociaux à partir du lieu de travail ? De nombreuses organisations se sont sans doute déjà posées la question.

Une étude de l’éditeur de logiciels RH CareerBuilder a interrogé un panel d’employeurs en Amérique du Nord. Pour 37% d’entre eux, les réseaux sociaux constituent un frein de productivité au travail, tout comme les téléphones mobiles et SMS (55%), l’utilisation d’Internet (44%) et les bavardages (39%). 3 employeurs sur 4 estiment que ce sont deux heures de travail qui sont, à minima, perdues chaque jour en terme de productivité, dressant ainsi le bilan des nombreuses distractions des collaborateurs.

Du point de vue de la sécurité réseau, les médias sociaux constituent un vecteur d’infection par les logiciels malveillants et attaques par ingénierie sociale. Combien de liens, partagés de manière innocente, finissent par réorienter les utilisateurs vers des sites web malveillants ? Quant aux collaborateurs qui utilisent les réseaux sociaux de manière professionnelle et avertie, se rendent cependant compte que leurs contacts et amis ne font pas toujours preuve de la même rigueur.

Il est simple, au niveau du réseau, de bannir ou de restreindre l’accès aux réseaux sociaux. Le filtrage statique des URLs permet de surveiller certaines URLs et empêche d’y accéder. La fonction de filtrage par catégorie permet de bloquer tout un ensemble de sites Web.

Mais cela ne veut pas dire pour autant que les DSI doivent bloquer l’accès aux réseaux sociaux dans le cadre du travail. Car une approche plus pertinente consiste à, avant toutes choses, identifier comment la sécurité réseau s’applique de manière globale. La définition de règles pertinentes pour les  médias sociaux, ainsi que la formation des collaborateurs, sont des étapes initiales importantes. A titre d’exemple, les équipes commerciales doivent être sensibilisées aux risques de sécurité et métiers qui résulteraient de la consultation des réseaux sociaux comme Facebook, à partir du lieu de travail ou du site d’un client.

La ligne de défense la plus efficace consiste à déployer une infrastructure de sécurité robuste et multicouche. Cette option est plus sure que de faire aveuglement confiance à des collaborateurs qui ne commettraient aucune erreur dans leur activités autour des réseaux sociaux.

2. De l’intérêt d’une sécurité multicouche

La sécurité multicouche est privilégiée par nombre d’organisations aujourd’hui, avec de multiples couches de sécurité qui collaborent pour protéger les données, des dispositifs et les personnes. Cette approche permet de contrer les attaques utilisant différents vecteurs au niveau du réseau, des applications, des dispositifs et des utilisateurs. Ces attaques sont détectées et neutralisées avant de pouvoir proliférer et la protection est active contre différents profils d’attaques.

Face aux changements qu’entraîne la Génération Y sur le lieu de travail, les DSI doivent repenser comment déployer chaque couche de sécurité.

Penchons-nous notamment sur l’utilisation des dispositifs personnels sur le lieu de travail. Selon une étude de McKinsey & Company, environ 80% des entreprises permettent désormais aux collaborateurs d’utiliser leurs dispositifs personnels pour se connecter aux réseaux de l’entreprise. De plus en plus, les collaborateurs s’attendent à ce que les départements informatiques autorisent un accès à partir des dispositifs personnels vers des applications corporate comme l’email et l’agenda. Cette tendance, appelée BYOD (Bring Your Own Device), n’est pas exempte de menaces de sécurité.

Plus particulièrement, les DSI doivent renforcer la sécurité des terminaux. La première étape consiste à protéger ces terminaux eux-mêmes, à l’aire de pare-feux, d’anti-malware, d’outils de gestion des flottes mobiles et d’une application régulière des patchs disponibles. En acceptant le BYOD, les entreprises s’exposent par ailleurs au risque de piratage des dispositifs personnels des collaborateurs qui se contentent d’utiliser des mots de passe faibles. L’application de règles pertinente et la sensibilisation des collaborateurs à opter pour des mots de passe forts deviennent ainsi une priorité.

Génération Y et le sans fil – Il est également recommandé de pouvoir identifier le type de dispositif, pour ainsi n’autoriser les dispositifs les moins sécurisés (smartphones par exemple) que sur certains segments du réseau. Les sessions doivent également être sécurisées, pour empêcher les utilisateurs d’accéder à des sites Web peu sécurisés.

De manière similaire, les outils de défense de l’utilisateur doivent être renforcés pour lutter contre le risque, toujours plus important, que représentent les menaces internes. Cette couche est souvent la plus complexe à gérer puisqu’il s’agit de trouver le bon équilibre entre sécurité et utilisation conviviale. Vous pouvez également activer différentes méthodes d’authentification pour identifier les utilisateurs réseau et leur attribuer des niveaux d’accès différents. Enfin, c’est la prise de conscience des utilisateurs face aux risques et leur formation sur le sujet qui sont également des priorités.

3. Garder la main sur le Shadow IT

Le Shadow IT fait référence à ces applications et services, souvent basés dans le Cloud, et non contrôlés par l’organisation, soulignant ainsi un réel défi en matière de sécurité et de gouvernance.

Considérons un utilisateur lambda qui ouvre un fichier corporate sur son smartphone. L’appareil va sans doute copier le fichier vers, par exemple, un   espace en ligne non approuvé, simplement lors de l’exécution d’une sauvegarde programmée. Voilà comment vos données corporate sécurisées peuvent être transférées vers un lieu non sécurisé.

De la même façon, les nombreuses applications de collaboration sociale si appréciées par cette Génération Y sont susceptibles de faire migrer des informations corporate vers des espaces peu sécurisés.

Il ne suffit par d’interdire unilatéralement à ces collaborateurs l’utilisation des dispositifs et applications non-validées pour que cette règle soit scrupuleusement appliquée.

Face à l’omniprésence des smartphones, les collaborateurs continueront à utiliser leurs réseaux sociaux ou leur cloud personnel, que vous le vouliez ou pas.

En revanche, la sensibilisation des collaborateurs et le déploiement de  technologies de sécurité sont des axes plus pertinents pour maîtriser les risques, qu’il s’agisse du chiffrement des données, d’un contrôle d’accès ou du monitoring du trafic.

D’un point de vue plus large, le Shadow IT émerge lorsque vos collaborateurs ne sont pas satisfaits des outils offerts par leur organisation. Alors que les DSI ne peuvent empêcher les collaborateurs de rechercher des applications alternatives, de collaboration par exemple, ils peuvent maîtriser les risques en  prenant mieux en compte les besoins et attentes de leurs utilisateurs. (Christophe Auberger, Directeur Technique France Fortinet)