Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.

Biométrie : pourquoi les états freinent leur usage alors que les consommateurs l’acceptent ?

Les fabricants d’appareils numériques intègrent de plus en plus de de systèmes de contrôle biométrique, que ce soit des capteurs d’empreintes digitales ou même un scanner d’iris. L’usage de la biométrie représente-t-elle une révolution ? Pas si sûr. Ces lancements et son acceptation par les consommateurs sont révélateurs d’une nouvelle façon de percevoir et d’adopter des technologies qui suscitaient traditionnellement des réticences voire des craintes.

La biométrie, déjà dans toutes les poches Si les Français considéraient la reconnaissance d’empreintes digitales comme une technologie réservée à la police, les initiatives de sécurité biométrique des géants de l’informatique, telle que la généralisation des capteurs d’empreintes et l’annonce de l’arrivée d’un scanner d’iris sur les prochains téléphones de Samsung, illustrent la démocratisation et la banalisation de la biométrie dans les produits grand public. Idriss Aberkane, professeur à Centrale Supélec et chercheur à Polytechnique, a bien résumé le parcours que traverse une innovation avant d’être acceptée par l’opinion commune : elle est tout d’abord considérée comme ridicule, puis dangereuse, avant d’aller de soi. Il semblerait donc que la biométrie appliquée aux usages quotidiens ait atteint cette dernière phase.

Apple Pay utilise la reconnaissance d’empreintes digitales qui équipe les nouvelles générations de smartphones et sert notamment à déverrouiller l’appareil sans saisir de code. Sont également concernés les achats en ligne effectués dans un cadre limité comme iTunes ou l’AppleStore. L’utilisation généralisée en magasin est prévue pour dans quelques mois. La biométrie est donc dans toutes les poches, et ce pour des usages de plus en plus fréquents et basiques. À l’instar des données personnelles qui alimentent les big data, les empreintes digitales deviennent des éléments d’identification que nous partageons de plus en plus facilement dans notre quotidien.

Du moment qu’un service leur est utile, les utilisateurs de smartphones se préoccupent finalement assez peu de l’usage qui est ou pourrait être faite de leurs empreintes digitales et des traces qu’ils sont amenés à laisser via une puce NFC.

Les Français favorables au contrôle et à la traçabilité pour la sécurité des biens et des personnes
Pourtant, et malgré les menaces qui pèsent aujourd’hui sur la sécurité de notre pays et de ses habitants, des réticences tenaces continuent de freiner l’utilisation de ces technologies pourtant susceptibles de faciliter grandement la recherche des individus dangereux présents dans les fichiers sensibles des états. Alors que des solutions très performantes intégrant toutes ces technologies sont aujourd’hui disponibles et susceptibles d’apporter une aide précieuse aux policiers en charge des contrôles aux frontières ou inopinés, certains chantres des libertés fondamentales continuent de rejeter l’utilisation des empreintes digitales considères comme faisant partie du patrimoine privé des individus, fussent ils de dangereux terroristes potentiels.

Cette attitude va à l’encontre d’une récente enquête réalisée par OpinonWay pour le compte de Coppernic qui révèle que la plupart des Français (76%) sont favorables aux dispositifs de contrôle utilisant les capteurs d’empreintes digitales. Plus généralement, cette enquête démontre que, face à la menace terroriste et à la montée de la violence dans la société, beaucoup de citoyens sont prêts à « sacrifier » une partie de leurs libertés individuelles pour améliorer la sécurité de leus proches et de leurs biens. Il ne s’agit pas de sombrer dans la psychose sécuritaire, mais au contraire d’en revenir aux fondements du contrat social : les instances régaliennes de l’Etat assurent la protection des individus, en échange d’une part de contrôle.

La technologie sera d’autant mieux acceptée qu’elle a une visée positive, d’autant plus qu’elle peut facilement susciter des inquiétudes. On l’a vu lors des débats relatif à la loi Renseignement l’année dernière : le fantasme de Big Brother n’est jamais loin. Pour s’en prémunir, la pédagogie est de mise. Il est primordial d’être transparent tant sur les ressorts de la technologie que sur l’utilisation des données. C’est à ces conditions seulement que les innovations seront considérées comme socialement acceptables et opérationnellement efficaces. (Par Jacky Lecuivre, Président Directeur Général de Coppernic)

Une enquête révèle les stratégies de cybersécurité des entreprises

Selon une nouvelle étude, le Cloud et les vulnérabilités systèmes sont les deux plus grandes préoccupations des décisionnaires IT. Un veille décisionnelle sur les menaces, une prise en charge plus rapide des incidents et un recours aux services de sécurité managés comptent parmi les orientations stratégiques de ces décideurs.

L’enquête indépendante souligne l’urgence pour les grandes entreprises de la région EMEA, tous secteurs d’activité confondus, de passer à une cybersécurité de bout en bout, basée sur une veille décisionnelle sur les menaces, pour ainsi relever les défis liés au digital. Les entreprises doivent réagir plus rapidement et efficacement aux problématiques de sécurité en investissant dans des architectures de cybersécurité adaptatives et adaptées à un réseau décloisonné.

48 % des personnes interrogées sur la région EMEA et 60% des entreprises françaises jugent que la meilleure réponse à la multiplication des incidents de sécurité est d’investir dans des technologies de cybersécurité qui assurent une protection à chaque étape du cycle de vie d’une menace. Les deux plus grandes préoccupations des décisionnaires portent sur la sécurité du cloud et la maîtrise des vulnérabilités des systèmes IT. Sécurité du cloud : une problématique pour 53 % des personnes interrogées sur la région EMEA, allant jusqu’à 61% en Espagne (le taux le plus élevé) et 57% en France
.Protection contre les vulnérabilités systèmes : une problématique pour 53% des répondants sur la région, 47% en France et qui grimpe à 59 % en Italie.

Cependant, nombre des répondants voient dans cette recrudescence des menaces et risques de sécurité l’occasion d’externaliser leur cybersécurité auprès d’un fournisseur de services managés. Globalement, l’étude montre que dans les 3 à 5 ans à venir, 44% des organisations sur la région EMEA (43% en France) opteraient pour cette externalisation. En France, cette adoption est de 9%.

Vers une architecture de sécurité performante et une veille décisionnelle sur les menaces
L’enquête s’est intéressée aux victimes de cyber-attaques pour illustrer comment les infrastructures de sécurité actuelles peinent à s’adapter aux réalités d’un monde toujours plus digital. Sur les 52% des décisionnaires EMEA (42% en France) qui indiquent avoir subi un piratage informatique au cours de l’année dernière, seuls 16% (14% en France) s’en sont rendus compte dans les minutes ayant suivi l’exaction. En Espagne, les personnes interrogées victimes d’une une attaque récente ne sont que 11% à avoir pu l’identifier dans un tel délai.

Dans certains secteurs, comme les soins de santé, 50% des répondants EMEA déclarent qu’il s’est écoulé plusieurs jours, mois, voire années avant d’identifier l’incident. L’identification et la prise en charge des menaces, lentes et peu efficaces, se révèlent particulièrement coûteuses pour les entreprises victimes, en termes de données perdues, de systèmes piratés et de réputation ternie.

L’enquête montre que pour maîtriser ces risques et mieux protéger leurs organisations, la première des actions prises par les décisionnaires informatiques est de déployer des technologies de détection de menaces (17% sur la région EMEA et 14% en France). Vient ensuite la mise en place de services de sécurité fournis à partir du cloud (12% sur la région EMEA et 7% en France). Ces fonctionnalités doivent être associées à des services de veille décisionnelle sur les menaces (9% sur la région EMEA et 14% en France).

Pour les répondants, la veille sur les menaces renforce la prévention des attaques (43% d’entre eux le déclarent sur la région EMEA, 40% en France). Elle améliore aussi la stratégie de sécurité de l’information (38% sur la région EMEA et 43% en France) et la détection des menaces (35% sur la région EMEA, 40% en France).

Concernant l’application des nouvelles fonctionnalités de veille (périmètre, modalités) 35% des personnes interrogées sur la région EMEA et 33% en France indiquent disposer d’une équipe interne dédiée à la prise en charge des incidents et qui supervise l’ensemble des activités de sécurité. Le chiffre n’est que de 26% en Italie contre 42% en Allemagne. Cependant, 26% du panel EMEA et français déclare externaliser leur veille sur les menaces auprès d’un fournisseur de services managés. Ce chiffre ressort à 22% en Espagne et à 31% au Royaume-Uni.

Un pirate russe recherché par le gouvernement Américain arrêté à Prague

Le pirate informatique du réseau Linkedin, en 2012, aurait été arrêté à Prague. Il serait aussi à l’origine des attaques informatiques à l’encontre de la Convention Nationale Démocrate.

Tiens donc ! Elle est ou cette super mega armée de pirates informatiques, à la solde de la Russie, s’attaquant à l’informatique de l’Oncle Sam. A première vue, et comme dans la majorité des cas, cette cyber armée est forte… de quelques adolescents. Dans la nuit du 18 octobre dernier, un pirate informatique russe a été arrêté à Prague par la police tchèque.

Une arrestation en coopération avec le FBI, le Federal Bureau of Investigation. Le suspect serait impliqué dans les cyber-attaques menées contre des cibles aux États-Unis, et notamment dans les hacks de la Convention Nationale Démocrate. L’individu est également soupçonné d’être responsable des attaques massives contre le réseau social professionnel LinkedIn en 2012. « Même les pirates de renom font des erreurs, et il est parfois possible pour les autorités de les pister jusqu’à leur adresse IP d’origine. Puisque ce pirate informatique était prétendument impliqué dans une série d’attaques sur des systèmes de base de données électorales en Arizona et dans l’Illinois plus tôt cette année, il aurait pu être suivi à travers les journaux d’accès aux serveurs. » indique l’un des enquêteurs.

Si les pirates ont utilisé un proxy dans l’attaque, les autorités auraient pu collaborer avec les victimes propriétaires des ordinateurs hébergeant ce serveur mandataire, et obtenir ainsi l’accès aux informations qui y étaient stockées. Par ailleurs, après avoir déterminé l’adresse IP du pirate, les autorités auraient pu également demander au fournisseur de service internet le nom de l’utilisateur. Puis, une fois le suspect transféré dans un pays coopérant avec le gouvernement Américain, les autorités locales auraient été en mesure d’arrêter le pirate. (Michal Salat, Directeur du Service de Renseignements sur les Menaces Informatiques chez Avast)

Un ransomware écrit en GO

Le langage GO de Google voit débarquer son premier code malveillant. Un ransomware qui chiffre votre disque dur et vérifie votre solde en bitcoins.

Les ransomwares, il y en a pour tous les goûts, toutes les bourses. DrWeb, éditeur de solutions de sécurité informatique vient de mettre la main sur une nouvelle version de ce type de logiciel malveillant. Baptisé Trojan.Encoder.6491, ce logiciel de rançonnage agit comme ses cousins, il chiffre les disques durs et demande de l’argent en échange du déchiffrement. Dans le cas de Trojan.Encoder.6491, 25 dollars à payer en Bitcoin. Originalité de cette attaque ?

Trojan.Encoder.6491 est codé en GO, le langage de programmation de Google. A son lancement, Trojan.Encoder.6491 s’installe dans le système sous le nom de Windows_Security.exe.

Puis le Trojan se met à chiffrer les fichiers, comme un ransomware de base, se trouvant sur les disques avec l’algorithme AES. Ce microbe chiffre 140 types de fichiers différents (.doc, .jpg, etc.). Ce logiciel pirate contrôle le solde du portefeuille Bitcoin de la victime pour s’assurer du transfert de l’argent. Le virement constaté, le ransomware déchiffre automatiquement les fichiers pris en otage.

DNS et GDPR, ou quand sécurité et réglementation se retrouvent

Le nouveau GDPR (Règlement général sur la protection des données) est un règlement de l’Union européenne qui vise à renforcer la protection des données dans tous les Etats membres de l’UE, en remplacement de la Directive 95/46/CE de 1995.

Ce règlement – contrairement à une directive – n’a pas besoin d’être légiféré pour être adopté par les gouvernements. Plus important encore, il ne se limite pas à l’Union européenne – toutes les organisations non-UE qui partagent les données personnelles des citoyens européens sont également couvertes par la nouvelle loi. Cela inclut presque toutes les organisations ayant des clients, fournisseurs ou employés dans l’UE.

Quelles sont les mesures à mettre en place ?
En vertu de la nouvelle loi, adoptée par le Conseil de l’UE et le Parlement le 14 avril 2016, les organisations européennes seront tenues d’appliquer de nouvelles mesures, y compris des évaluations d’impact sur la protection des données, des normes de sécurité extrêmement exigeantes ou la mise en œuvre de politiques de confidentialité appropriées. Beaucoup seront tenues de nommer un délégué à la protection des données, et les ‘Processeurs de données’ et ‘Contrôleurs de données’ devront garder une trace de toutes les activités de traitement de données dans leurs entreprises.

Les ingénieurs impliqués dans la plupart des projets technologiques au sein de l’Union européenne devront se conformer dès la conception à une démarche de sécurité et de respect de la vie privée. Cela suppose que la confidentialité des données soit conforme aux plus hautes exigences. Quant aux paramètres de protection des données, ils devront être insérés dans tous les processus de gestion à un niveau élevé et par défaut. La sécurité des données jouera un rôle encore plus critique et devra être assurée de bas en haut. Cela comprend notamment la couche de DNS.

Les architectures de réseau devront décourager le détournement de DNS et l’utilisation des DNS pour l’exfiltration de données. Les principales difficultés ici ne concernent ni les hacktivistes ni les logiciels malveillants cherchant à vandaliser les systèmes, mais les attaquants sophistiqués qui savent quelles données spécifiques ils visent à exfiltrer.

Des conséquences déplorables en cas de non-conformité et d’attaques
Le GDPR impose une règle générale de notification de violation des données, et les organisations tous secteurs d’activité confondus devront suivre certaines procédures spécifiques si un tel événement se produit. Les Contrôleurs de Données n’auront que 72 heures pour informer les autorités compétentes de ce qui s’est produit et des volumes de données concernées. Dans le pire des cas, les organisations devront également informer le public de la violation ou vol de données, ce qui aura inévitablement des retombées négatives sur leur réputation.

Personne ne peut se permettre d’ignorer le GDPR. Ce règlement entrera en vigueur le 25 mai 2018, ce qui signifie que les organisations (et peut-être la vôtre !) ont moins de deux ans pour s’y conformer ; un délai relativement court au vu des différentes étapes préparatoires à suivre. De lourdes sanctions et des amendes élevées sont prévues en cas de perte de données : elles pourront en effet atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Il est maintenant temps de commencer à construire une infrastructure conforme au GDPR, qui assure la sécurité et le respect de la vie privée des données. Le fait de fournir une sécurité suffisante au niveau du DNS peut permettre aux entreprises de réaliser d’énormes économies et d’éviter les poursuites inutiles. Mais l’évitement des coûts ne doit pas être la seule motivation pour agir. La confiance des clients, des partenaires et des salariés dans la marque d’une entreprise est cruciale pour protéger l’activité de celle-ci, tant sur le court que sur le long terme.

Le trafic de DNS doit être soigneusement surveillé et analysé pour détecter les tentatives d’exfiltration de données cachées dans le trafic réseau. Les systèmes de filtration DNS qui fonctionnent comme la filtration web, peuvent contrôler la réputation des liens par rapport à une liste noire en temps réel et vérifier automatiquement si la requête DNS est digne de confiance ou si elle peut représenter un risque de vol de données.

La sécurité du DNS est un principe de base de la sécurité et du respect de la vie privée dès la conception d’une architecture. Les organisations désireuses d’être préparées au GDPR doivent se demander si elles ont un plan conforme pour protéger leurs réseaux, leurs données, leurs clients… et leur réputation. (Par Hervé DHELIN, EfficientIP)

Protection du secteur ferroviaire contre les cybermenaces

L’avenir de la cybersécurité dans le secteur ferroviaire sera examiné au prochain Rail Cyber Security Summit (Sommet sur la cybersécurité dans l’industrie ferroviaire) qui se tiendra à Londres en mars 2017.

Désormais à sa deuxième édition, la manifestation qui aura lieu les 14 et 15 mars 2017 à l’hôtel Copthorne Tara Kensington de Londres réunira des professionnels du transport ferroviaire, des leaders mondiaux et du gouvernement spécialisés en cybersécurité et des universitaires du domaine.

La connectivité avancée et la numérisation des systèmes ferroviaires peuvent améliorer grandement l’exploitation du secteur ferroviaire, en assurant une efficacité et une optimisation élevées, en réduisant le bilan carbone tout en offrant de la valeur ajoutée aux propriétaires d’actifs, aux actionnaires et aux passagers. Cependant, ces avancées rendent l’infrastructure ferroviaire vulnérable aux cyberattaques, qu’elles soient provoquées par des menaces internes ou par des logiciels malveillants. Traditionnellement protégé contre ces menaces, le secteur ferroviaire est à l’heure actuelle bien plus vulnérable en raison de l’adoption des capteurs machine à machine, de l’Internet des objets ainsi que de la convergence de l’informatique et des technologies opérationnelles. Par conséquent, la mise en place de mesures de défense est indispensable à sa prospérité.

Avec la participation de conférenciers professionnels, notamment Stephen Cummins (Directeur de la cybersécurité ferroviaire auprès du ministère britannique des Transports), Tom Lee (Directeur adjoint Standards & Professional Responsable du CCS, Rail Standards and Safety Board) et Chris Blask (Directeur, ICS ISAC et Cyber Space Research, Institute Webster University), le sommet abordera des aspects cruciaux de la cybersécurité dans le secteur ferroviaire, dont les suivants :

Les menaces actuelles et futures et la riposte de l’industrie
L’importance de la « Security by Design » (sécurité assurée dès la conception)
Les défis à relier l’informatique et les technologies opérationnelles lors du déploiement d’une architecture axée sur l’entreprise.
Comment favoriser une prise de conscience

James Nesbitt, Fondateur du Cyber Senate, a commenté l’événement en ces termes : « Outre les nombreuses possibilités d’accroître l’efficacité du secteur ferroviaire, la technologie numérique l’a malheureusement rendu vulnérable aux cyberattaques susceptibles d’entraîner de graves conséquences. »

Pour en savoir plus : http://www.railcybersecurity.com

Les auteurs des menaces, maîtres des faux indices

Les auteurs d’attaques ciblées emploient un éventail de plus en plus vaste de techniques de leurre afin de brouiller les pistes, en implantant dans leur code de « faux drapeaux » (horodatage, chaînes de caractères, malware, etc.) et en opérant sous couvert de groupes fictifs.

Tout le monde souhaite connaître l’identité des groupes qui se cachent derrière les cyberattaques ciblées alors même que la réponse est difficile, sinon impossible, à donner avec précision. Afin de démontrer le niveau croissant de complexité et d’incertitude lié à l’identification des responsables, deux experts de Kaspersky Lab publient un article révélant comment les auteurs des menaces les plus avancées emploient des « faux drapeaux » (des indices falsifiés) pour leurrer leurs victimes et les chercheurs en sécurité.

Voici à cet égard les indicateurs les plus utilisés par les chercheurs pour identifier la provenance des attaques, ainsi que des exemples de leur manipulation par un certain nombre d’auteurs de menaces connues :

Horodatage
Les fichiers malveillants comportent la date et l’heure de leur compilation. Si des échantillons sont recueillis en nombre suffisant, cela peut permettre de déterminer les horaires de travail des développeurs et donc leur fuseau horaire. Or ce type d’horodatage est incroyablement facile à falsifier.

Marqueurs linguistiques
Les fichiers malveillants contiennent souvent des chaînes de caractères et des chemins de débogage susceptibles de fournir des indications sur l’identité des auteurs du code. L’indice le plus évident est la ou les langues utilisées ainsi que le niveau de maîtrise linguistique. Les informations de débogage peuvent également révéler un nom d’utilisateur ou encore les noms internes donnés aux projets ou campagnes. En outre, les documents de phishing peuvent regorger de métadonnées enregistrant des informations de lieux à l’insu de l’auteur et risquant de trahir l’ordinateur utilisé.

Or les auteurs des menaces peuvent aisément manipuler ces marqueurs linguistiques dans le but de leurrer les chercheurs. Par exemple, le malware Cloud Atlas renferme des chaînes en arabe dans la version BlackBerry, des caractères hindi dans la version Android ou les mots « JohnClerk » dans le chemin de projet pour la version iOS, alors que beaucoup soupçonnent le groupe responsable d’avoir en fait des liens avec l’Europe de l’Est. Le malware Wild Neutron contenait pour sa part des chaînes en roumain et en russe.

Infrastructure et connexions sous-jacentes
Localiser les serveurs de commande et de contrôle (C&C) utilisés par les acteurs malveillants revient à trouver l’adresse de leur domicile. La maintenance de ce matériel peut être coûteuse et difficile, c’est pourquoi même les auteurs d’attaques bien pourvus en ressources ont tendance à réutiliser la même infrastructure C&C ou de phishing. Les connexions sous-jacentes peuvent donner une idée de l’identité des assaillants si ceux-ci ne parviennent pas à anonymiser parfaitement leur accès Internet lorsqu’ils récupèrent des données exfiltrées, préparent un serveur d’attaque ou de phishing ou se connectent à un serveur piraté.

Parfois, cependant, cette dissimulation imparfaite est intentionnelle : Cloud Atlas a ainsi tenté d’embrouiller les chercheurs en utilisant des adresses IP en Corée du Sud.

Kits d’outils : malware, code, mots de passe, exploitation de vulnérabilités
Bien que certains auteurs de menaces recourent désormais à des outils disponibles dans le domaine public, bon nombre d’entre eux préfèrent encore créer leurs propres outils (backdoors, mouvement latéral, kits d’exploitation de vulnérabilités) et les gardent jalousement. L’aspect d’une famille spécifique de malware peut donc aider les chercheurs à remonter jusqu’au groupe responsable.

Les auteurs de la menace Turla ont décidé de mettre à profit cette hypothèse lorsqu’ils se sont fait « coincer » dans un système infecté. Au lieu de se borner à retirer leur code malveillant, ils ont également installé un malware chinois très rare, communiquant avec une infrastructure située à Pékin, totalement sans rapport avec Turla. Tandis que l’équipe de réponse aux incidents de l’entreprise ciblée était occupée à poursuivre ce leurre, Turla désinstallait en toute discrétion son propre malware et effaçait tutes ses traces des systèmes de la victime.

Victimes ciblées
Les cibles des attaques constituent un autre indice potentiellement révélateur mais l’établissement d’un lien précis nécessite des compétences d’interprétation et d’analyse. Dans le cas de Wild Neutron, par exemple, la liste des victimes était si hétéroclite qu’elle n’a fait que semer la confusion quant à l’origine de l’attaque.

En outre, certains auteurs de menaces abusent du désir du public d’établir un lien clair entre les assaillants et leurs cibles, en opérant sous couvert d’un groupe (souvent fictif) d’hacktivistes. C’est ce qu’a tenté de faire le groupe Lazarus en se présentant sous la dénomination « Guardians of Peace » lors de son attaque contre Sony Pictures Entertainment en 2014. Nombreux sont ceux qui pensent que les auteurs de la menace connue sous le nom de Sofacy ont mis en œuvre une tactique similaire en se faisant passer pour un certain nombre de groupes militants.

Enfin et surtout, les auteurs des attaques tentent parfois d’en faire porter la responsabilité à une autre menace. C’est la méthode adoptée par TigerMilk[i] dont les responsables, encore non identifiés à ce jour, ont signé leurs backdoors avec le même certificat volé déjà utilisé précédemment par Stuxnet.

« La détermination de l’identité des auteurs d’attaques ciblées est complexe, peu fiable et subjective, et ceux-ci s’efforcent de plus en plus de manipuler les indicateurs dont se servent les chercheurs afin de brouiller davantage encore les pistes. Nous pensons qu’une identification précise est souvent quasi impossible. En outre, la veille des menaces a une valeur profonde et mesurable qui va bien au-delà de la question de l’identité des auteurs. Il est nécessaire, au niveau mondial, de comprendre les principaux prédateurs dans l’écosystème des malwares et de fournir des informations solides et exploitables aux entreprises qui le souhaitent : ce doit être notre priorité », commente Brian Bartholomew, chercheur senior en sécurité chez Kaspersky Lab.

Le patron sourd aux attaques informatiques ?

Si les RSSI en Europe tiennent la forme au plan de la cybersécurité, les échanges avec leurs directions s’avèrent tendus s’agissant de la notification des attaques. L’étude commandée par Palo Alto Networks établit également que les responsables de la sécurité informatique accueillent favorablement la législation de l’UE, mais redoutent les coûts et contraintes opérationnelles.

Une idée reçue veut que les professionnels de la sécurité informatique en Europe soient sous la coupe de leurs adversaires en matière de cybersécurité. Pourtant, une nouvelle étude approfondie sur les mentalités actuelles, réalisée pour Palo Alto Networks par un cabinet indépendant, met en évidence une profession plus déterminée et sûre d’elle qu’on ne pourrait le croire.

Les véritables tensions ressenties par les responsables de la sécurité informatique dans leur vie professionnelle ont trait aux échanges difficiles qu’ils ont immanquablement avec leurs supérieurs hiérarchiques au sujet des conséquences de ces attaques. Le rapport met également en évidence la nécessité de muscler les systèmes et processus, dans la perspective de notification des failles de sécurité exigée par le Règlement général de l’Union européenne sur la protection des données (RGPD) et la Directive NIS sur la sécurité des réseaux et des systèmes d’information.

Par ailleurs, plusieurs années de cyberattaques n’ont pas fait chanceler les professionnels de la sécurité informatique, au contraire : ils sont encore plus expérimentés et résolus à les contrer. Interrogés sur la manière dont ils réagiraient face à un cyberincident, ils avouent, pour la majorité (60 %), qu’ils y verraient là l’occasion de tirer les leçons de cette expérience et de rebondir ; 9 % seulement songeraient à donner leur démission. En Europe, la stratégie dominante consiste à tout miser sur la prévention puisque, en moyenne, 65 % du budget de la sécurité informatique lui est consacrée.

Là où les professionnels de la sécurité informatique sont moins à l’aise, c’est dans leurs relations avec la direction de l’entreprise :

·    Perplexité des hauts responsables sur les questions de sécurité – Après une faille de sécurité, près du tiers (32 %) des professionnels de la sécurité informatique constatent le désarroi de leurs supérieurs hiérarchiques, totalement perplexes sur les causes réelles de cet incident ; si, pour près d’un professionnel interrogé sur cinq, la direction rejette la responsabilité sur l’équipe en charge de la sécurité informatique, elle adresse personnellement des reproches à un professionnel sur dix.

·    La sécurité est un sujet de conversation délicat – Si la moitié des professionnels de la sécurité informatique (51 %) ont bien du mal à attirer l’attention de leur direction sur les déficiences éventuelles des systèmes de sécurité, le reste (49 %) a davantage de difficultés à admettre que quelque chose n’a pas fonctionné et qu’une faille s’est produite. Le dialogue devient extrêmement compliqué lorsque l’erreur humaine est en cause (28 %), que la faute est imputable à un fournisseur (23 %) et que davantage d’investissements sont nécessaires pour limiter les risques à l’avenir (21 %).

·    Impliquer la direction risque de se retourner contre eux – Le tiers des professionnels de l’informatique estime qu’en associant la direction, ils ne font que compliquer les choses. À noter que la troisième raison la plus couramment avancée pour ne pas signaler un incident tient au fait que la personne à l’origine de celui-ci faisait partie de l’équipe dirigeante.

·    La législation européenne ne fait qu’accroître les tensions managériales en interne – Près de la moitié des professionnels de l’informatique (47 %) s’attendent à des échanges « corsés » avec leur direction concernant ces nouvelles exigences de notification en matière de failles de sécurité. Même si la majorité (63 %) voit d’un bon œil l’impact de cette législation, les participants à l’étude s’inquiètent des coûts et complications supplémentaires induits ainsi que des contraintes opérationnelles que les nouveaux textes risquent d’entraîner (56 %). Si la principale raison avancée aujourd’hui pour ne pas faire état d’une faille de sécurité a trait au caractère insignifiant de celle-ci (30 % des cas) ou au manque de temps du professionnel de l’informatique (27 %), il est évident que d’immense défis restent à relever.

« Tensions et méconnaissance sont manifestes, au vu de cette étude. Dans mes échanges avec les acteurs en région EMEA, je consacre énormément de temps à les aider à déterminer dans quelle mesure les professionnels de la sécurité informatique et le reste des équipes dirigeantes peuvent se rapprocher sur des questions de cybersécurité aussi complexes et stratégiques. La technologie peut contribuer à simplifier les processus en jeu, en prévenant les incidents et en automatisant les réponses à apporter. Mais, à l’évidence, un dialogue plus ouvert s’impose au sein même de l’équipe dirigeante afin de mettre en œuvre et perfectionner perpétuellement les stratégies de prévention des cyberattaques »,  Greg Day, vice-président et directeur régional de la sécurité EMEA, Palo Alto Networks

Réussir à parler un même langage : Nombre de hauts responsables ont des difficultés à appréhender le cyber-risque. Faites en sorte qu’ils parviennent à le maîtriser en définissant des indicateurs clairs en matière de cybersécurité :

·    Dans le cadre de votre stratégie de prévention, associez ces dirigeants à un exercice de préparation destiné à tester les processus de cybersécurité ; ils pourront ainsi mesurer pleinement les problématiques et les risques.

·    Insistez sur le fait qu’avec les nouvelles réglementations, comme le RGPD et la Directive NIS, les responsabilités de l’entreprise sont accrues. Même si la nécessité d’une cybersécurité de pointe n’a jamais été aussi forte, gardez à l’esprit que le parcours de l’équipe de direction n’a rien d’un long fleuve tranquille.

Les incidents sont inévitables, alors préparez-vous à les affronter. Sachez néanmoins que vous pouvez éviter nombre d’entre eux en vous recentrant sur certains principes clés, en tirant parti de l’automatisation, en misant sur la formation et en privilégiant la prévention.

Sednit : dissection d’un groupe de cyber espions

Les chercheurs ESET annoncent la publication d’un vaste document de recherche en 3 parties « En route with Sednit ». L’observation de l’utilisation simultanée d’un bootkit et d’un rootkit par les cybercriminels a permis d’analyser leurs cibles et méthodes.

Ce groupe aussi connu sous le nom d’APT28, Fancy Bear ou Sofacy, agit depuis 2004. Son principal objectif est le vol d’informations confidentielles de cibles spécifiques.

Partie 1 : « En route with Sednit : Approaching the Target » se concentre sur la cible des campagnes de phishing, les méthodes d’attaque utilisées ainsi que la première phase de l’attaque utilisant le malware SEDUPLOADER, composé d’un compte à rebours et d’une charge utile associée.

Partie 2 : « En route with Sednit : Observing the comings and goings » couvre les activités de Sednit depuis 2014 et détaille la boîte à outils d’espionnage utilisée pour la surveillance à long terme des ordinateurs compromis. Cela est rendu possible grâce à deux backdoor SEDRECO et XAGENT, ainsi qu’à l’outil réseau XTUNNEL.

Partie 3 : « En route with Sednit : a mysterious downloader » décrit le logiciel permettant la première phase de l’attaque DOWNDHELPH qui selon nos données de télémétrie n’aurait servi que 7 fois. A noter que certains de ces déploiements ont requis des méthodes de « persistances avancées » : Windows bootkit et Windows rootkit. « L’intérêt pour ces activités malveillantes est née de la détection d’un nombre impressionnant de logiciels personnalisés déployés par le groupe Sednit au cours des deux dernières années », déclare Alexis Dorais-Joncas, Security Intelligence team lead chez ESET et dédié à l’exploration des activités du groupe Sednit. « L’arsenal de Sednit est en constante évolution. Le groupe déploie régulièrement des logiciels et techniques de pointe, tandis que leur malware phare a également évolué de manière significative au cours des dernières années ».

Selon les chercheurs, les données collectées à partir des campagnes de phishing menées par Sednit montrent que plus de 1.000 profils d’individus hauts-placés impliqués dans la politique d’Europe de l’EST ont été attaqués. Contrairement aux autres groupes d’espionnage, le groupe Sednit a développé son propre « exploit kit » et utilisé un nombre étonnamment important d’exploits 0-day. Les activités du groupe cybercriminel de ces dernières années envers les personnalités hauts-placées, ont suscité l’intérêt de nombreux chercheurs.

Contrer les cyber menaces qui ont le vent en poupe

Entre malware, vols de mots de passe et hameçonnage, les menaces en ligne sont de plus en plus nombreuses et sophistiquées. Les experts révèlent d’ailleurs que le marché des logiciels de cyber-sécurité génèrera près de 7 milliards de dollars en Europe de l’Ouest d’ici 2020, en partie pour contrer la multiplication des attaques.

Toutefois, bien que les utilisateurs puissent compter sur des outils performants, la sensibilisation et la vigilance peuvent également aider à éviter certaines menaces présentes sur le web. Les cyber risques prennent différentes formes et sont conçus pour piéger les gens. C’est pourquoi il est impératif de prendre de bonnes habitudes préventives contre certaines attaques répandues. De cette façon, les internautes peuvent apprendre à reconnaitre les menaces et ainsi réduire les risques de se faire pirater.

« L’expansion des technologies nous incite à utiliser davantage les services en ligne au quotidien : effectuer un virement depuis notre compte bancaire, réserver un billet d’avion ou encore télécharger une application, commente Par Michal Salat, Directeur du Service de Renseignements sur les Menaces Informatiques chez Avast. Tout cela est bien pratique, mais expose aussi davantage l’utilisateur aux attaques s’il n’est pas attentif et n’applique pas quelques bonnes pratiques pour se protéger.« 

Attention aux données partagées publiquement
Les nombreuses plateformes de réseaux sociaux nous poussent à mettre en avant nos moments de joie, nos sentiments, les endroits dans lesquels nous sortons et les personnes que nous fréquentons. Alors que ce sont des choses agréables à partager avec nos amis et notre famille, ces informations peuvent devenir dangereuses en tombant entre de mauvaises mains. Les hackers sont en mesure de collecter les données personnelles exposées publiquement qui leur permettront non seulement d’en savoir le plus sur nous, mais également de deviner un mot de passe ou de personnaliser des attaques ciblées. Par exemple, les utilisateurs ne se méfient pas lorsqu’ils révèlent qui ils sont sur Facebook, mais ils oublient à quel point il est facile de trouver le nom de jeune fille de leur mère – qui est souvent une question posée lorsque l’on veut réinitialiser son mot de passe. C’est pourquoi il faut absolument faire attention au type d’informations personnelles que nous mettons en ligne, aux personnes que nous autorisons à voir ces données que nous postons et éviter de poster celles qui pourraient permettre aux hackers de « deviner » nos identifiants et s’en servir à des fins malhonnêtes. Pour limiter ce risque, les utilisateurs doivent tout d’abord régulièrement vérifier les paramètres « vie privée » de leurs réseaux sociaux et savoir exactement qui voit leurs posts. De plus, les utilisateurs doivent s’efforcer de choisir des mots de passe aléatoires, longs, complexes, et composés de lettres, de chiffres et de caractères spéciaux. Il est également conseillé de créer un mot de passe différent pour chaque compte et de les changer régulièrement.

Les arnaques au phishing
Cette tactique, qui découle directement de l’ingénierie sociale, est fréquemment utilisée par les hackers. Une fois que le pirate a récolté des informations personnelles, il peut créer des arnaques si personnalisées qu’elles trompent facilement la confiance des utilisateurs. En utilisant ces données ainsi que les codes visuels d’organisations telles que les banques, les pirates cherchent en général à accéder aux comptes bancaires, ou encore à infecter les appareils dans le but d’obtenir les informations de connexion et de dérober de l’argent. La première chose fondamentale dont il faut se rappeler est que la majorité des organismes officiels et notamment les établissements bancaires ne demandent jamais à leurs clients d’envoyer leurs identifiants ou mots de passe par email. Par ailleurs, si le message contient un lien ou un fichier suspect, dans le doute, mieux vaut ne pas les ouvrir, supprimer immédiatement l’email par précaution et se renseigner auprès d’interlocuteurs fiables afin de vérifier de vive voix ce qu’il en est réellement.

Des logiciels malveillants bien trop présents
En termes de menaces en lignes, les malwares sont également légions. Ils sont partout, dans les sites web piratés, les publicités, les démos de jeux, des photos ou encore des fichiers musicaux frauduleux. Les hackers utilisent ces malwares à de nombreuses fins, mais principalement par appât du gain. La méthode ransomware est très populaire en ce moment, et surtout la pire de toutes ! Une fois qu’ils ont infiltré le système, les cybercriminels accèdent aux informations personnelles, chiffrent ces données ou verrouillent complètement l’appareil et demandent une rançon à la victime pour les rendre de nouveau accessibles. Pour s’en préserver, deux astuces imparables : ne pas ouvrir de pièces jointes ou de liens provenant d’expéditeurs inconnus et télécharger des jeux, musiques et autres applications depuis des sites officiels uniquement. Il est également impératif de s’équiper d’outils capables de détecter et de supprimer les malwares, et de mettre régulièrement à jour son antivirus, son routeur ou sa box Wifi, ainsi que les systèmes d’exploitation de ses appareils afin de mettre toutes les chances de son côté pour ne pas tomber dans les pièges.

C’est une chance d’avoir accès à des solutions de sécurité de qualité, mais ce n’est malheureusement pas toujours suffisant. Prendre l’habitude de suivre ces quelques conseils peut faire toute la différence et permettre de protéger ses données personnelles mais également de préserver ses deniers !