Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Cyber-attaque, Cybersécurité, DDoS, Mise à jour, Piratage

La France largement ciblée par les attaques DDoS au premier trimestre 2016

Les attaques DDoS – Chaque attaque DDoS neutralisée est une invitation pour ses auteurs à intensifier leur assaut. C’est là la réalité du secteur de la protection DDoS et l’explication de bon nombre des tendances que nous observons aujourd’hui dans le paysage des menaces DDoS.

Dans le précédent rapport, de la société Incapsula, l’attention sur un nombre croissant d’attaques DDoS de type « flood » à très haut débit lancées contre les clients de l’entreprise au niveau de la couche réseau. Dans ce type d’attaques, des paquets de données de petite taille, ne dépassant généralement pas 100 octets, sont émis à un rythme extrêmement élevé de façon à saturer la capacité des commutateurs réseau, ce qui aboutit à un déni de service pour les utilisateurs légitimes.

La vitesse d’émission des paquets est mesurée en Mpps (millions de paquets par seconde). Au 1er trimestre 2016, la fréquence de ces attaques présentant un nombre élevé de Mpps a été sans précédent. En moyenne, nous avons neutralisé une attaque de plus de 50 Mpps tous le quatre jours et une de plus de 80 Mpps tous les huit jours. Plusieurs de ces attaques ont franchi le cap des 100 Mpps, la plus intense culminant à plus de 120 Mpps.

Nous pensons que ces attaques à très haut débit sont une tentative pour mettre en échec les solutions de neutralisation DDoS de la génération actuelle.

A l’heure actuelle, la majorité des services et appliances de neutralisation sont d’une grande efficacité face aux assauts présentant un nombre élevé de Gbit/s. Cependant, comme les auteurs des attaques s’en rendent compte, bon nombre de ces mêmes solutions n’offrent pas une capacité identique contre les très hauts débits de paquets, car elles n’ont pas été conçues pour en traiter un volume aussi important.

Fait intéressant, nous avons également observé dans le nouveau rapport d’incapsula, l’emploi fréquent d’une combinaison de différents vecteurs pour constituer des assauts plus complexes, avec un débit élevé à la fois en Mpps et en Gbit/s.

Le scénario le plus courant ici est la combinaison d’une attaque de type UDP Flood à très haut débit et d’une attaque par amplification DNS, grosse consommatrice de bande passante. En conséquence, au 1er trimestre 2016, la fréquence des attaques par amplification DNS a augmenté de 6,3 % par rapport au trimestre précédent.

En outre, nous avons également constaté un accroissement notable du nombre d’attaques multivecteurs. Globalement, celles-ci ont représenté 33,9 % de l’ensemble des assauts sur la couche réseau, soit une hausse de 9,5 % par rapport au trimestre précédent. En termes absolus, le nombre d’attaques multivecteurs est passé de 1326 au 4ème trimestre 2015 à 1785 au 1er trimestre 2016.

Les attaques DDoS par pays.

Couche application : des robots DDoS plus malins

Les attaques DDoS sur la couche réseau, nous avons vu au premier trimestre 2016 les auteurs d’attaques passer à la vitesse supérieure et se concentrer sur des méthodes susceptibles de contourner les mesures de sécurité. La meilleure illustration en est une augmentation du nombre de robots DDoS capables de se glisser au travers des mailles du filet, à savoir les tests couramment utilisés pour filtrer le trafic d’attaque.

Au 1er trimestre 2016, le nombre de ces robots a explosé pour atteindre 36,6 % du trafic total des botnets, contre 6,1 % au trimestre précédent. Dans le détail, 18,9 % étaient capables d’accepter et de conserver des cookies, tandis que les 17,7 % restants pouvaient également interpréter du code JavaScript.

De telles capacités, combinées à une empreinte HTTP d’apparence authentique, rendent les robots malveillants indétectables par la plupart des méthodes. Les attaques DDoS se démultiplient !

En dehors de l’utilisation de robots plus sophistiqués, les assaillants explorent de nouvelles méthodes d’exécution des attaques sur la couche application. Les plus notables d’entre elles sont de type HTTP/S POST flood, employant des requêtes très longues pour tenter de saturer la connexion réseau de la cible.

Enfin, nous avons également observé un accroissement continu de la fréquence des assauts. Au premier trimestre 2016, un site sur deux victime d’une attaque a été ciblé plusieurs fois. Le nombre de sites attaqués entre deux et cinq fois est passé de 26,7 % à 31,8 %.

Les attaques DDoS : la Corée du Sud en tête des pays à l’origine des attaques

A partir du deuxième trimestre 2015, nous avons enregistré une forte recrudescence de l’activité des botnets DDoS provenant de Corée du Sud, une tendance qui s’est poursuivie ce trimestre. Cette fois, étant à l’origine de 29,5 % de l’ensemble du trafic DDoS sur la couche application, le pays s’est hissé en tête de liste des attaquants.

Un examen plus approfondi des données concernant les attaques DDoS révèle que la majorité du trafic d’attaque émanant de Corée du Sud provient de botnets Nitol (52,9 %) et PCRat (38,2 %). Plus de 38,6 % de ces attaques ont été lancées contre des sites web japonais et 30,3 % contre des cibles hébergées aux Etats-Unis.

Il est intéressant de noter, au cours de ce trimestre, une forte augmentation de l’utilisation de Generic!BT bot, un cheval de Troie connu pour infecter les ordinateurs Windows. Celui-ci a été identifié pour la première fois en 2010 et nous voyons aujourd’hui ses variantes employées pour pirater des machines dans le monde entier.

Au 1er trimestre 2016, des variantes de Generic!BT ont ainsi été utilisées dans des attaques DDoS issues de 7756 adresses IP distinctes réparties dans 52 pays, principalement en Europe de l’Est. La majorité de cette activité a été tracée jusqu’en Russie (52,6 %) et en Ukraine (26,6 %).

Conclusion : les attaques DDoS conçues contre les solutions de neutralisation

Les années précédentes, la plupart des attaques observées avaient pour but de causer un maximum de dommages aux infrastructures ciblées. Il s’agissait typiquement d’assauts de force brute, de type « flood », frappant avec une grande capacité et sans faire de détail. Les attaques plus sophistiquées étaient alors rares.

Cependant, au cours des derniers mois, nous avons enregistré un nombre croissant d’attaques orchestrées par rapport aux solutions de neutralisation DDoS. La diversité des méthodes d’attaque ainsi que l’expérimentation de nouveaux vecteurs semblent indiquer un changement de priorité, les assauts étant de plus en plus conçus pour paralyser les solutions de neutralisation, et non plus uniquement la cible.

D’une part, cela dénote l’omniprésence des services et appliances de protection DDoS, qui sont appelés à devenir partie intégrante de la majorité des périmètres de sécurité pour espérer contrer les attaques DDoS. D’autre part, cela illustre également le défi auquel le secteur de la neutralisation DDoS va être confronté : des attaques de plus en plus élaborées qui exploitent les points faibles de ses propres technologies.

Hacking

GenPort : le portail web qui va engranger les infos ADN

Avez-vous vu le film « Bienvenue à Gattaca« , un monde de science fiction ou les individus sont contrôlés à partir de leur gênes et ADN. Le portail GenPort est-il la prémisse du contrôle de nos vie par l’ADN ? Il propose de regrouper les ADN de patients consultés lors d’études médicales.

Un nouveau portail en ligne, baptisé Genomics Portal (GenPort), s’est donné pour mission de permettre aux scientifiques d’accéder à de vastes quantités de données génomiques provenant de patients impliqués dans des études cardiaques, pulmonaires, du sang et sur les recherches liées au sommeil. Une idée qui a de quoi inquiéter. L’ADN n’est pas une simple data dans une base de données. Ici, on parle de ce qui fait l’identité physique et immuable de chaque individu dans ce monde.

GenPort est censé aider les chercheurs à se pencher sur les résultats d’études organisées en même temps, mais par des laboratoires différents. Un suivi des individus, via ces différents essais, qui pourraient partager les mêmes caractéristiques, appelées « cohortes synthétiques ».

Le ministère de la Santé et des Services sociaux américain est actuellement à la recherche d’entreprises qui auront pour mission d’aider à mettre en place cette plaque tournante de l’ADN. Un portail qui, selon le ministère, doit permettre aux chercheurs qui ne maîtrisent pas l’informatique, ou la génomique, d’accéder aux données rapidement. La base de données compterait, à ses débuts, 20.000 données génétiques uniques. Bref, Bienvenue à Gattaca.

Hacking

Les événements liés à la sécurité

Les événements liés à la sécurité – IBM X-Force présente ce jour son 2016 Cyber Security Intelligence Index. Ce rapport annuel revient sur l’année 2015 en s’appuyant sur les milliards de données opérationnelles et d’investigation, collectées par IBM Security Services, concernant des événements liés à la sécurité dans plus de 1000 entreprises à travers 100 pays. Le rapport de cette année fournit un aperçu intéressant de la « course aux armements » qui se joue entre adversaires et défenseurs de la sécurité informatique.

Sans surprise, les pirates ont continué de progresser et de s’adapter, mais contrairement à certaines croyances, certains de ces changements ont été précipités par des avancées défensives. Ne nous méprenons pas, les acteurs malveillants semblent encore avoir l’avantage, mais les progrès sont positifs.

Les principaux faits à retenir sur les événements liés à la sécurité

· La vente au détail abandonne le top 5; les cibles changent : les cibles liées au secteur financier sont passées du 1er au 3ème rang et les secteurs de la vente au détail, des technologies et de l’énergie disparaissent du top 5. Les nouveaux secteurs concernés par les volumes les plus élevés de violations de données en 2015 sont : la santé (n°1), la production (n°2), les entités gouvernementales (n°4), le transport (nouvel ajout à la liste cette année).

· L’extorsion est en hausse : Le nombre de violations de données dans le secteur des services financiers, impliquant des tactiques d’extorsion ou de vol de devises, a augmenté de 80%, en 2015.

· L’analytique a considérablement diminué les faux-positifs : de meilleurs outils de réglage et d’analyse améliorent le ciblage et la pertinence des alertes. La masse des événements de sécurité auxquels une entreprise de taille moyenne doit faire face a chuté de 35% passant de 81 millions à 53 millions sur l’année. Parallèlement, le client d’une entreprise expérimente en moyenne 1.157 attaques en 2015, soit une baisse de 90% par rapport aux 12.017 attaques de l’année précédente.

· Les incidents de sécurité ont augmenté de 64% : Il y a eu 178 incidents de sécurité (nécessitant une enquête plus approfondie) en 2015, soit une hausse de 66% par rapport aux 109 incidents recensés en 2014.

· Les initiés constituent toujours un grand problème : 60% (contre 55% l’année précédente) des attaques ont été lancées par des initiés, 33% de ces derniers sont des acteurs involontaires (contre 50% en 2014). C’est le signe d’un changement concernant la formation des employés et les politiques de sécurité .

Le rapport complet des événements liés à la sécurité.

Hacking

Rançonnage informatique pour les PME : dans le Béarn le patron a payé !

6 commentaires

Rançonnage informatique pour les PME – Édifiant témoignage dans le journal Sud Ouest au sujet d’une attaque de type ransomware contre une PME du Béarn. Trente mails échangés avec le pirate et une obligation de payer. Le pirate s’amusera jusqu’au bout avec son pigeon.

Le ransomware, je vous en parle beaucoup. Depuis le 1er janvier 2016, je suis à plus de 6.000 cas reçus par des particuliers, des entreprises, des associations, des collectivités territoriales. Imaginez le chiffre réel de ces attaques, sur 6 mois. Sans parler de ceux qui cachent l’attaque à leurs clients, leur patron, à leurs administrés. Et il y a ceux qui parlent. Certes anonymement, mais ils tentent de faire passer le message comme dans les colonnes du journal Sud Ouest.

On apprend qu’une entreprise de 23 salariés c’est fait piéger par un ransomware. Pour rappel, un logiciel de rançonnage n’a rien d’un virus. Sa mission, après qu’un HUMAIN est cliqué dessus, chiffrer les documents (ou le disque dur complet) de l’ordinateur touché. Les attaque se font au hasard. Le pirate lance son énorme filet mondial, tant pis pour ceux qui ont cliqué.

Rançonnage informatique pour les PME : dans le Béarn le patron a payé !

Le cas de la PME du Béarn est intéressant car la directrice de l’entreprise a conversé avec le pirate (Je suis très intrigué par les 30 courriels, NDR). Elle va finir par payer « On a essayé de négocier, mais avec eux, rien n’est négociable… » indique-t-elle dans le quotidien.

Le pirate a conclu cette transaction de plusieurs centaines d’euros en se foutant ouvertement de la tête de sa victime « J’ai pensé vous faire une blague en demandant plus d’argent, mais je me suis dit que ce ne serait pas amusant pour vous. Utilisez des serveurs de sauvegarde externe, et installez des antivirus, avec mots de passe, à l’avenir !« .

Le rançonnage informatique pour les PME est une véritable plaie, pourtant simple à éviter. Je vous proposais, dès Mai 2015, outils et conseils anti ransomwares à prodiguer à votre entourage professionnel et privé pour éviter de finir dans les mains de voleurs 2.0. Je vous déconseille fortement de payer. Ne faîte pas comme cette proposition d’un agent du FBI qui indiquait aux entreprises de payer si ces dernières souhaitaient retrouver leurs informations bloquées par un maître chanteur. Les pirates n’attendent que ça. Pensez plutôt à un budget sauvegarde, vous aurez l’air moins bête en cas d’attaque !

Cybersécurité, escroquerie, Facebook, ID, Identité numérique, Mise à jour, Particuliers, Pinterest, Social engineering, Téléphonie, Twitter, Vie privée

Cybersécurité & Génération Z : entre confiance et insouciance

Entre confiance et insouciance – Une enquête menée par l’APSSIS auprès d’un panel d’adolescents montre comment la génération Z, omni connectée par nature, envisage la notion de confidentialité, en particulier s’agissant de ses données personnelles de santé. Entre confiance et insouciance, les adolescents redessinent certainement les contours de la confidentialité et seront peut-être les futurs clients connectés et dociles des mutuelles et assureurs 3.0.

L’APSISS, l’Association pour la Promotion de la Sécurité des Systèmes d’Information de Santé, publie les résultats d’une enquête réalisée auprès d’adolescents sur leur relation avec la protection des données, en particulier les données liées à leur santé.

Menée sur un panel de 204 jeunes scolarisés en classe de seconde, l’enquête a permis de dégager plusieurs enseignements qui viennent bouleverser notre vision de la notion de confidentialité.

Relation à Internet : entre confiance et insouciance
Plus de la moitié des adolescents interrogés déclarent faire confiance à Internet. Et, ils sont nombreux à utiliser leur propre identité pour s’y afficher et à y livrer des informations personnelles. Pourtant, « découvrir des photographies de la maison familiale sur des réseaux sociaux n’amuse pas les parents », confie Damien Bancal, spécialiste du cybercrime et contributeur de l’enquête APSSIS. « La majorité des parents ne savent pas que leurs enfants n’ont pas un, mais des espaces Facebook. (…) Le record, pour une jeune Lilloise de 12 ans : 14 comptes différents. »

Et si 32 % des jeunes interrogés déclarent avoir déjà été confrontés à des problèmes sur Internet (vol de données, harcèlement, confidentialité), ils restent néanmoins attirés par les plateformes de partage, comme le montre la croissance de l’usage des réseaux tels que Snapchat, Pinterest, Instagram…. 88 % d’entre eux, savent en outre que toutes les données qu’ils publient sont conservées sur Internet, et ils sont 62% à penser que cela ne pose aucun problème.

« Il est d’ailleurs intéressant de leur demander s’ils savent où sont stockées leurs données sauvegardées par leur montre connectée », s’amuse Damien Bancal. « Les adolescents (…) pensaient que ces informations n’étaient stockées qu’à leur poignet ».

Les données de santé moins sensibles que les données bancaires !
Selon les adolescents interrogés, les données bancaires et de santé ne font pas l’objet du même enjeu de protection. En effet, 77,5% estiment que leurs données de santé sont moins importantes que leurs données bancaires. « Est-ce parce qu’ils sont habitués à partager de nombreuses informations personnelles via leurs applications, sans trop se soucier des risques, et certains qu’elles sont protégées, qu’ils n’envisagent pas la même nécessité de protection pour leurs informations médicales ou de bien être ? », s’interroge Vincent Trély, Président de l’APSSIS.

Par ailleurs, 79% des adolescents du panel se disent plutôt d’accord avec le principe de partager leurs données de santé, avec leur mutuelle ou leur assureur au travers des applications et objets connectés qui les collecteront et ce, dans la perspective d’obtenir des tarifs adaptés à leur cas particulier.

entre confiance et insouciance : La notion de confidentialité remise en question
Il y a ceux qui font confiance au médecin (45 répondants) et à l’Etat (27 répondants) pour se charger du problème de confidentialité des données, et les autres, à la fois inquiets (76 répondants) et qui ignorent comment fonctionnent Internet et les applications collectant leurs données (84 répondants). Ce qui se cache derrière les applications qu’ils utilisent, notamment en termes de gestion de la vie privée, cela ne les intéresse pas (57 répondants). « Globalement, ils semblent peu curieux d’en savoir plus », note Vincent Trély. « Une fois l’inquiétude passée, c’est le service rendu par l’application qui prévaut ».

« Les conclusions de cette étude doivent nourrir notre réflexion et apporter quelques paramètres issus du réel à la conception traditionnelle que nous avons de la confidentialité. Le deal sera simple : la mise à disposition des données est par principe acquise, en fonction du bénéfice qu’apportera l’application collectrice. Nous serons tracés, géo localisés et nos données intimes seront agrégées par des plates-formes privées, mais nous serons d’accord. Car le retour sur investissement nous sera favorable. Il est également certain que la nouvelle génération prendra conscience de la valeur de ses données personnelles et décidera de les monnayer… Après tout, si la matière, ce sont les données, il serait bien légitime de rémunérer leur production » analyse Vincent Trély, Président de l’APSSIS. Pour recevoir l’étude complète : secretaire@apssis.com

Base de données, Bitcoin, Chiffrement, cryptage, Cybersécurité, Entreprise, Justice, ransomware, Sauvegarde, Social engineering

Fraude au président : 2 millions de dollars volés, il attaque ses associés

Fraude au président : 2 millions de dollars volés à un ancien employé de Lehman Brothers, une banque d’investissement multinationale.

Ce qui est bien avec le public dit « en col blanc » est qu’il n’écoute pas. On pourrait penser, à la suite des centaines de piratages médiatiques qu’une banque d’affaire, et donc ses employés, sont au fait de la sécurité informatique. Je les vois ses « stages » coutant des milliers d’euros de sensibilisation. Sensibilisations effectuées, dans la plupart des cas, par des gens qui ne connaissent du terrain numérique, que les heures de bureau qu’ils lui allouent.

Bref, normalement, un phishing et une fraude au président, cela ne doit plus exister chez nos banquiers. Le cas de Robert Millard, ancien codirigeant de la banque d’investissement multinationale Lehman Brothers a de quoi faire sourire. L’homme de « pouvoir » et « d’argent » a fait un virement de 1.938.000 dollars pour un achat d’appartement qu’il était en train d’orchestrer. Une jolie studette à 20 millions de dollars, à New York. Sauf que le virement a été effectué à destination d’un arnaqueur. L’escroc a piraté l’agence immobilière de Millard, son compte mail AOL et l’avocat en charge de son immobilier. Personne n’avait remarqué que le nom de l’avocat avait été mal orthographié.

Bilan, le « banquier » volé attaque en justice ce qu’il considère comme les coupables, ses anciens associés, afin de récupérer 200.000 dollars qu’il n’a pu retrouver.

Les agences immobilières sont aussi de belles cibles pour les pirates informatiques. Si vous êtes en train d’acquérir un bien, méfiez-vous de cette demande de changement d’adresse pour le virement bancaire. Je vous expliquais, en mars, comment les professionnels du FoVI, la fraude aux virements bancaires, visaient aussi les locataires de maison et d’appartements en faisant détourner les loyers.

Pendant ce temps…

… nous pourrions penser que les internautes sont maintenant habitués à ne plus cliquer sur n’importe quoi. Qu’ils ont entendu parler des ransomwares. Bref, ils se sont informés sur ces logiciels malveillants de rançonnage, ils sont donc sécurisés. A première vue… non ! Le département de la police de Newark, dans le New-Jersey s’est retrouvé fort dépourvu quand la bise numérique fut venue. Un ransomware activé et les machines des policiers prisent en otage. « Le service de police a indiqué  qu’il n’y avait aucune preuve d’une quelconque violation de données et que l’attaque n’a pas perturbé la prestation des services d’urgence aux citoyens« . Aucunes informations sur les informations chiffrées et à savoir si les données prises en otage ont été retrouvées.

backdoor, Cyber-attaque, Cybersécurité, Mise à jour, Patch, Piratage, Wordpress, Wordpress

Le fichier Pagat.txt dans votre site, attention danger

2 commentaires

Plus de 45% d’augmentation, selon IBM Security, de la présence du fichier Pagat.txt dans les machines de ses clients. Le programme, une porte cachée qui permet bien des malveillances.

La force de WordPress, sa souplesse et ses nombreux plugins (options permettant d’agrémenter de services son site web). Cette force et aussi une faiblesse si vous ne mettez pas à jour votre CMS (WordPress, mais aussi Joomla! et compagnie, NDR) et les outils que vous avez pu y installer.

Au cours des mois de février en mars 2016, l’équipe IBM Managed Security Services (MSS) a découvert une augmentation de 45% de la présence d’un fichier baptisé pagat.txt dans les machines des clients.

Derrière ce faux fichier texte, une backdoor, un shell, bref une porte cachée codée en php. L’outil pirate est connu, aussi, sous le nom de C99. Une arme numérique ultra exploitée sur la toile. On trouve ce webshell sous forme d’image, de vidéo… Pagat semble être diffusé en profitant de failles dans les plugins de WordPress. Une quinzaine serait exploité à cet effet.

Rien de bien nouveau cependant, en janvier 2015, lors de l’opération pirate Anti Charlie, 80% des sites défacés (barbouillés) en France étaient le résultat de l’installation de C99 (grand frêre de Pagat) dans les serveurs des sites non sécurisés. Rien de plus simple, pour le pirate, de modifier la page index, de mettre la main sur les données privées. Cela démontre aussi que les mises à jour ne sont pas prises au sérieux par les utilisateurs. Google indique que 31 829 sites seraient touchés par cette malveillance.

Base de données, Chiffrement, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, santé, Sauvegarde

Fuite de données santé pour 1.400 institutions

Fuite de données santé – Les tests de la mise à jour d’un logiciel américain dédié aux études cardiovasculaires effectués avec de vraies données de patients. 1.400 institutions de santé américaines alertées par l’American College of Cardiology.

Ce n’est pas la première fois qu’un tel cas est découvert. J’ai bien peur que cela ne soit pas le dernier. L’American College of Cardiology vient d’alerter 1.400 institutions américaines de santé après la découverte d’une fuite de données de patients pas comme les autres.

L’American College of Cardiology indique que des informations de patients ont pu être compromises après que les dites informations se soient retrouvées dans une base de données utilisées lors du test d’un logiciel professionnel. Des dossiers médicaux datant de 2009 et 2010.

C’est lors de la refonte du logiciel du registre des données cardiovasculaires national ACC, qu’une table de la base de données (BDD) officielle a été copiée. L’incident a été découvert en Décembre 2015. Les hôpitaux ont reçu l’alerte deux mois plus tard. Dans les données de la BDD malmenée : noms, dates de naissance, numéros de sécurité sociale et les numéros d’identification des patients.

Apple, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch

Effacer Quicktime de votre PC

Apple arrête de mettre à jour son logiciel QuickTime pour Windows. De multiples failles sortent de l’ombre. Effacer Quicktime de votre PC.

QuickTime et Windows, une longue et périlleuse histoire d’amour. Apple stoppe les frais, et vient de décider que son outil ne sera plus mis à jour pour les ordinateurs tournant sous Windows. Bilan, quelques minutes après cette annonce, des failles sortaient de l’ombre. Parmi les alertes, celles de Trend Micro, du Cert USA et du blackmarket.

Certes, tous les logiciels ont un cycle de vie, mais cet arrêt soudain et brutal pourrait entraîner de sérieux problèmes aux internautes et entreprises non avertis. Rien que le Zero Day initiative (2), deux vulnérabilités.

Comme le rappel le CERT, les systèmes informatiques exécutant ce logiciel sont exposés à un danger numérique. L’exploitation de QuickTime Windows pourrait permettre à des malveillants de prendre le contrôle des systèmes concernés. Apple explique comment effacer Quicktime de son ordinateur.

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle

96 % des DSI Français s’attendent à être la cible d’attaques

Les DSI français admettent investir des millions à fonds perdus dans une cybersécurité qui se révèle inopérante sur la moitié des attaques. Une nouvelle étude  indique que 96 % des DSI, en France, s’attendent à être la cible d’attaques en raison de leur aveuglement à l’égard des nouvelles menaces.

Une étude, menée par Vanson Bourne auprès de 100 DSI en France, portant sur la fréquence et l’incidence d’une sécurité informatique inefficace indique que les Directeurs des Services Informatiques s’attendent à être la cible d’attaques. Ces décideurs informatiques sont unanimes : ils estiment que les fondements de la cybersécurité – clés cryptographiques et certificats numériques – n’étant actuellement aucunement protégés, les entreprises sont dans l’ignorance, en proie au chaos, et incapables de se défendre.

Les DSI, en France, reconnaissent gaspiller plusieurs millions de dollars dans la superposition de mécanismes de défense puisque ces outils vouent une confiance aveugle aux clés et aux certificats – et se révèlent incapables de différencier ceux dignes de confiance des autres. Si l’on se réfère aux prévisions de Gartner, qui estime que 50 % des attaques réseau cibleront le protocole SSL/TLS, cela signifie que des systèmes de sécurité aussi répandus que FireEye ne seront opérants que la moitié du temps. Et les DSI français admettent que ce chaos met en péril leurs projets des plus stratégiques, à savoir ériger des structures informatiques agiles autour du concept DevOps.

Etre la cible d’attaques

  • 90 % des DSI, en France, sont convaincus de l’inefficacité de leurs mécanismes de défense puisque ceux-ci sont incapables d’analyser le trafic réseau crypté pour y déceler d’éventuelles attaques.
  • 96 % des DSI, en France, ont déjà essuyé ou s’attendent à essuyer une attaque dissimulée dans du trafic crypté.
  • 91 % des DSI, en France, estiment que les clés de cryptage et certificats numériques dérobés sont en passe de représenter un marché extrêmement lucratif pour les pirates.
  • 79 % des DSI, en France, conviennent que leur stratégie d’accélération de l’informatique et de l’innovation est en danger car leurs initiatives introduisent des vulnérabilités nouvelles.

Les entreprises s’en remettent à des dizaines de milliers de clés et de certificats qui posent les fondements de la confiance sur lesquels s’appuient leurs sites web, machines virtuelles, appareils mobiles et serveurs cloud. Cette technologie a été adoptée pour contribuer à résoudre la problématique de sécurité initiale d’Internet, c’est-à-dire être en mesure d’isoler les contenus sûrs et confidentiels. Depuis la banque en ligne jusqu’à l’Internet des objets en passant par la sécurisation des applications et les applications mobiles, tout ce qui est basé sur IP dépend d’une clé et d’un certificat pour établir une connexion fiable et sécurisée. Sauf que des cybercriminels détournent actuellement des clés et certificats sans protection pour se dissimuler dans du trafic crypté, créer de faux sites web, déployer des logiciels malveillants, élever leurs privilèges et dérober des données.

Les technologies déployées – protection des postes de travail, protection contre les menaces avancées, pare-feu de nouvelle génération, analyse comportementale, détecteurs d’intrusions et prévention des pertes de données (DLP) – sont foncièrement imparfaites puisqu’il est impossible de séparer le bon grain de l’ivraie en dissociant les clés et certificats valables de ceux qui sont corrompus. Résultat, ces outils se révèlent incapables de passer au crible la grande majorité du trafic réseau crypté. D’où des failles béantes dans les mécanismes de défense des entreprises. Les cybercriminels mettent à profit ces angles morts dans le domaine de la sécurité : ils se servent de ces clés et certificats dénués de protection pour se dissimuler dans du trafic crypté et contourner les contrôles de sécurité.

« Les clés et certificats constituent les fondements de la cybersécurité : ils authentifient les connexions système et nous indiquent si les logiciels et équipements fonctionnent comme prévu. Si ces fondements s’effondrent, nous rencontrons de graves difficultés », commente Kevin Bocek, vice-président stratégie de sécurité et veille des menaces chez Venafi. « Si la France dispose de l’une des approches les plus évoluées au monde en matière de cybersécurité, elle se classe également parmi les 10 pays où la cybercriminalité fait rage : les entreprises françaises courent donc davantage de risques. Dotés d’une clé et d’un certificat compromis, dérobés ou falsifiés, les pirates peuvent usurper, contrefaire et surveiller les sites web, infrastructures, clouds et appareils mobiles de leurs cibles, et décrypter des communications censées être confidentielles. »

« Progressivement, les systèmes que nous avons mis en place pour tester et instituer une confiance en ligne se retournent contre nous. Pire, les éditeurs et fournisseurs qui affirment être en mesure de nous protéger en sont bien incapables. Leurs outils de protection pour postes de travail, pare-feu, détecteurs d’intrusions, systèmes DLP et autres sont pires qu’inutiles puisqu’ils leurrent les clients en les entretenant dans une illusion de sécurité. Cette étude indique que les DSI, en France, sont désormais conscients de dilapider des millions dans la mesure où des systèmes de sécurité tels que FireEye ne peuvent stopper la moitié des attaques. Selon les prévisions de Gartner, d’ici à 2017, plus de la moitié des attaques réseau ciblant les entreprises utiliseront du trafic crypté pour esquiver les contrôles ; ces technologies sont sans défense face à elles ! Sachant que le marché mondial de la sécurité des entreprises pèse environ 83 milliards de dollars, autant dire que c’est énormément d’argent gaspillé dans des solutions qui ne s’acquittent de leur mission qu’à temps partiel. »

« Et les marchés expriment clairement leur manque de confiance dans la cybersécurité. Ce n’est pas une coïncidence si 96 % des DSI admettent dilapider des milliards dans une cybersécurité inadéquate et si le fonds spéculatif HACK, spécialisé dans ce domaine, a perdu 25 % depuis novembre 2015. Des résultats bien en-deçà de l’indice S&P500 qui, lui, s’inscrit en repli de 10 % du fait des turbulences sur les marchés. »

Les risques liés à des clés et certificats sans protection, échappant à tout contrôle, se multiplient à mesure que leur nombre augmente. Un récent rapport de Ponemon révèle qu’en moyenne, une entreprise possède plus de 23 000 clés et certificats, et que 54 % des professionnels de la sécurité avouent tout ignorer de leur emplacement, de leurs détenteurs et de leur mode d’utilisation. Les DSI craignent que la multiplication des clés et certificats à l’appui des nouvelles initiatives informatiques n’aggrave encore la situation.

La cible d’attaques : trop de clés et certificats

À la lumière des initiatives de cryptage systématique (« Encryption Everywhere »), apparues dans le sillage des révélations d’Edward Snowden et des opérations d’espionnage de la NSA, la quasi-totalité des DSI français (97 %) se disent préoccupés par la marche à suivre pour sécuriser la gestion et la protection de l’ensemble des certificats et clés de cryptage. Car à mesure que l’informatique s’accélèrera – via l’activation et la désactivation de services en fonction de l’élasticité des besoins – le nombre de clés et de certificats progressera en proportion. À la question de savoir si la rapidité de progression du mouvement « DevOps » complique encore l’identification de ce qui est ou non digne de confiance au sein de leurs entreprises, les DSI, en France, affirment à 79 % que c’est le cas.

« Gartner prévoit que d’ici à 2017, trois entreprises sur quatre évolueront vers une structure informatique bimodale avec une informatique à deux axes et deux vitesses : l’une qui accompagnera les applications en place en quête de stabilité, l’autre qui dispensera des services agiles adaptés aux projets d’innovation et stratégiques pour l’activité », poursuit Kevin Bocek. « Pourtant, le recours à des méthodes agiles et l’adoption du concept DevOps est une tentative extrêmement risquée et chaotique. Dans ces nouveaux environnements, la sécurité sera toujours mise à mal, et il sera pratiquement impossible de suivre ce qui est digne de confiance de ce qui ne l’est pas. »

« Raison pour laquelle il nous faut un système immunitaire pour Internet », conclut Kevin Bocek. « Comme chez l’homme, ce système donne aux entreprises les moyens de détecter instantanément les clés et certificats dignes de confiance des autres. Et, à partir du moment où la confiance en ces clés et certificats renaît, la valeur accordée aux autres investissements réalisés par l’entreprise dans le domaine de la sécurité augmente. »

Cette étude a été réalisée par le cabinet d’études de marché indépendant Vanson Bourne qui a interrogé 100 DSI au total, en poste dans de grandes entreprises en France.