Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Chiffrement, cryptage, Cybersécurité, Espionnae, Facebook, ID, Identité numérique, Particuliers, Phishing, Social engineering, Vie privée

Facebook ne corrige pas un problème de sécurité

Une vulnérabilité informatique vise le site Facebook, et ses utilisateurs. Un problème qui pourrait mal finir si le géant américain ne corrige pas rapidement.

En avril 2015, Reza Moaiandin, directeur technique pour Salt Agency, découvrait une faille de sécurité dans Facebook. La vulnérabilité pourrait permettre à un pirate de décrypter les identifiants des utilisateurs du portail communautaire. Pour que l’attaque fonctionne, Reza a utilisé des applications (API) proposées Facebook. Un problème qui semble sérieux. La fuite pourrait permettre de recueillir des millions de données personnelles d’utilisateurs (nom, numéro de téléphone, emplacement, images, …).

Facebook a été alerté en avril 2015, mais n’a toujours pas corrigé. Via cette faille, un malveillant peut alors communiquer avec le Facebook GraphQL et obtenir autant de détails que possible, en faisant passer l’ID de la cible, pourtant chiffrée, à la moulinette.

En utilisant un script maison, Reza a testé sa découverte. Bilan, la fuite de données est exponentielle et  risque de devenir un problème sérieux si aucune limite est mise en place par Facebook. « La communication avec ces API doit être pré-chiffrée, explique Reza, et d’autres mesures doivent être mises en place avant que cette faille ne soit découverte par quelqu’un de beaucoup plus dangereux. » Le chercheur indique avoir trouvé cette faille, par hasard !

backdoor, Cybersécurité, Entreprise, Fuite de données, Logiciels, Mise à jour, Patch, Propriété Industrielle, Virus

Symantec.. la prochaine passoire ?

Un commentaire

Découverte de plusieurs failles dans les outils de sécurité Symantec. Un pirate peut installer et exécuter un code distant malveillant.

Le chercheur en sécurité informatique Markus Wulftange de chez Code White Sec vient de mettre à jour une faille gênante pour les outils de sécurité informatique de l’éditeur Américain Symantec : Symantec Endpoint Protection (SEP). Il est possible d’exploiter un contournement d’authentification. Bilan, il devient possible d’exécuter un code distant non authentifié et de déposer/exécuter un shell dans la machine censée être protégée.

Symantec Endpoint Protection visant avant tout les entreprises, voilà une possibilité malveillante qui fait tache. Markus Wulftange a découvert six autres vulnérabilités critiques dans Symantec Endpoint Protection (SEP) Suite 12.1, affectant les versions antérieures à 12.1 RU6 MP1 (SYM15-007).

Des failles intéressantes alors que l’on apprenait, en juin dernier, que la National Security Agency, les grandes oreilles de l’Oncle Sam, disposerait d’un logiciel capable de faire sauter les antivirus et de suivre les utilisateurs des outils de protection informatique. La NSA posséde-t-elle aussi ces failles ? Snowden n’est pas au courant !

Android, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, ios, Sécurité, Smartphone, Vie privée, Windows phone

BYOD : selon une enquête, seuls 11 % des utilisateurs protègent l’accès à leur mobile

Selon une enquête réalisée par Kaspersky Lab avec B2B International, environ la moitié des utilisateurs de smartphones et de tablettes interrogés se servent de leur appareil mobile pour le travail. Cependant, seul 1 sur 10 se préoccupe sérieusement de protéger ses informations professionnelles contre les cybercriminels.

Les résultats révèlent que beaucoup d’employés de grandes ou moyennes entreprises utilisent leurs appareils mobiles personnels au travail : 36 % des participants à l’enquête y conservent des fichiers professionnels, et 34 % des e-mails professionnels.

Parfois, des informations plus confidentielles peuvent elles aussi se trouver sur les mobiles des utilisateurs : 18% y stockent les mots de passe donnant accès à leurs comptes de messagerie professionnelle, dont 11 % concernent des accès réseaux ou des VPN. Or ce type d’informations représente une cible parfaite pour les cybercriminels à la recherche de secrets d’entreprise.

« L’orientation du marché IT vers la mobilité et le cloud offre des possibilités d’attaques supplémentaires aux hackers et augmentent les risques des entreprises de voir leurs innovations dévoilées, copiées. Par conséquent, la protection méthodique et systématique des données et de leurs transmissions constituent désormais un challenge de premier plan pour les entreprises. Un challenge qui engage leur compétitivité sur le marché, et donc leur santé économique » commente à DataSecurityBreach.fr Tanguy de Coatpont, Directeur Général de Kaspersky Lab France et Afrique du Nord.

En dépit de ces risques, le modèle BYOD offre de nombreux avantages aux entreprises. Cependant, il nécessite une infrastructure informatique et une politique de sécurité adaptées pour un niveau de sécurité optimum.

Exemples de règles à suivre dans cette démarche

·           Le processus d’intégration du BYOD doit être traité en détails et inclure un audit de l’infrastructure, une phase de conception et un déploiement pilote.

·           Choisir une solution unique et complète pour assurer la sécurité de l’ensemble du réseau de l’entreprise, intégrant la protection des appareils mobiles afin d’éviter d’éventuels problèmes de compatibilité, rendant la tâche plus pénible pour les services informatiques.

·           Centraliser la gestion des appareils mobiles sur le réseau de l’entreprise et gérer les autorisations, installations et les mises à jour des applications mobiles via des portails dédiés à l’entreprise.

·           Mettre l’accent sur la formation et la sensibilisation des employés à la sécurité informatique. L’apprentissage des règles de sécurité informatique basiques tels que le choix de mots de passe, les attitudes à respecter lorsqu’on trouve une clé USB ou sur les réseaux sociaux, ou encore l’importance du chiffrement, doivent désormais être considérées comme indispensable au même titre qu’une formation métier, comme l’explique cette tribune.

·           Plus important encore, anticiper la crise et créer des scénarios types pour bloquer l’accès des appareils personnels au réseau de l’entreprise et la suppression des données confidentielles en cas de perte ou de vol de terminaux.

D’autres conseils ici et .

Apple, backdoor, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Logiciels, Microsoft, Mise à jour, OS X, Patch, Piratage, Propriété Industrielle, Sauvegarde

Le premier worm pour MAC débarque

2 commentaires

Des chercheurs découvrent comment corrompre le firmware des appareils Apple avec un worm dédié. La fin des MAC ?

Quand vous parlez informatique, les amateurs fortunés d’un MAC vous crieront haut et fort que les machines d’Apple sont infaillibles. Pas de virus, pas de piratage, pas de danger. Bon, il faut aussi admettre que les utilisateurs de MAC sont tellement sûrs de leur fait qu’ils oublient les différents cas ayant visé leur machine, comme ce keylogger indirect caché. Là ou les utilisateurs de MAC avaient plus ou moins raison est que des attaques directes, comme à l’encontre d’un ordinateur sous Windows, il n’en existait pas, du moins d’efficace. A première vue, la découverte de chercheurs américains risque de changer la donne si des pirates se penchent sur le problème.

Trois chercheurs [Xeno Kovah, Trammell Hudson et Corey Kallenberg] ont constaté que plusieurs vulnérabilités connues affectant le firmware de tous les meilleurs fabricants de PC peuvent également frapper le firmware du MAC. Qui plus est, les chercheurs ont conçu un ver, un worm « proof-of-concept », qui permettrait une attaque de firmware afin de se diffuser automatiquement de MacBook à MacBook, sans la nécessité pour eux d’être mis en réseau.

L’année dernière, Kovah et son partenaire Corey Kallenberg ont découvert une série de vulnérabilités de firmware qui touchaient 80% des ordinateurs qu’ils avaient examiné, y compris ceux de Dell, Lenovo, Samsung ou encore HP.

Bien que les fabricants de matériel ont mis en œuvre certaines protections pour éviter la modification sauvage de leur firmware, les chercheurs ont constaté qu’il restait assez simple de contourner les protections et flasher de nouveau le BIOS afin d’implanter un code malveillant. Les chercheurs ont alors décidé de voir si les mêmes vulnérabilités pouvaient s’appliquer à Apple. Ils ont constaté que oui, comme il l’indique dans Wired !

Démonstration du Thunderstrike 2 « firmworm » attendu lors du DEFCON 2015 de Las Vegas, cette semaine.

Argent, Cybersécurité, Entreprise, escroquerie, Fuite de données, ID, Identité numérique, Particuliers, Phishing, Social engineering, spam, Vie privée

Votre adresse mail vaut de l’or

2 commentaires

300.000 adresses électroniques de Belges à 300 dollars. Plus de 1 million de mails de Français pour 400 $. Autant pour 600.000 Suisses. Le business des adresses mails ne connait pas la crise.

Le business du spam va bien, merci pour lui. Des sociétés se sont même spécialisées dans la commercialisation d’adresses électroniques « à haute valeur ajoutée » indique l’un d’eux. Dernier cas en date, la proposition de la « société » chinoise Weng Jiao. 102 pays proposés, plusieurs millions d’adresses électroniques disponibles, classées par régions, professions, …

Plusieurs millions d’adresses électroniques disponibles pour des spams.

Par exemple, 5 millions d’adresses mails « en vrac » coutent 999 dollars chez cet E-mail addresses databases service. L’acheteur souhaite cibler un pays précis, pas de problème : 358.868 adresses électroniques appartenant à des belges coutent 300 dollars. 1.393.935 million de mails made un France, 400 $. Vous visez des Suisses ? 641.143 mails pour 400 dollars.

La plus importante des BDD est celle de l’Allemagne, avec 3.678.748 pourriels possibles. La Russie, 2.006.321. Le Canada, l’Australie et les USA sont proposés à 1.288.691, 1.087.139 et 888.530 adresses à spammer. Le reste des pays, entre 1200 et 40.000 mails sont vendus entre 50 et 120 dollars. Le commerçant propose aussi de quoi envoyer les messages et les preuves de la diffusion.

Ces possibilités ont été volées dans des boutiques en ligne, des forums mal protégés ou par de simple phishing sous forme de faux jeux. L’important pour le vendeur, comme pour l’acheteur, qu’un humain soit bien présent derrière la missive. A noter que certaines arnaques permettent de valider ou non l’adresse. Le bouton/lien « Désinscription » – « Unsubscribe » assure aux vendeurs d’adresses que derrière l’arobase se cache bien un futur spammé. A noter que certains mots clés Google sont particulièrement efficace pour faire ressortir des bases de données mails du moteur de recherche américain. Bref, prudence quand vous vous inscrivez quelque part. Préférez une adresse unique par service, ainsi, en cas de vol/utilisation, il vous suffira de fermer le compte en question.

Argent, Arnaque, Bitcoin, Chiffrement, cryptage, cryptolocker, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, Fuite de données, Logiciels, Paiement en ligne, Particuliers, Piratage, ransomware, Social engineering

TeslaCrypt 2.0 : jeu, chiffre et match

Le ransomware crypteur TeslaCrypt 2.0 travestit son identité pour réclamer une rançon de 500 dollars La plupart des infections par TeslaCrypt se produisent aux Etats-Unis, en Allemagne et en Espagne, suivis de l’Italie, de la France et du Royaume-Uni.

Kaspersky Lab a détecté un comportement curieux dans une nouvelle menace de la famille de ransomwares crypteurs TeslaCrypt. La version 2.0 du cheval de Troie notoirement connu pour infecter les ordinateurs de joueurs affiche en effet dans le navigateur une page HTML qui est une réplique exacte de CryptoWall 3.0, un autre ransomware célèbre. Sans doute les criminels le font-ils avec une intention bien précise : à ce jour, de nombreux fichiers cryptés par CryptoWall n’ont pas pu être décryptés, ce qui n’est pas le cas pour de multiples exemples observés d’infection par TeslaCrypt. Une fois l’infection réussie, le programme malveillant réclame une rançon de 500 dollars/Euros sous forme de bitcoins en échange de la clé de décryptage ; si la victime tarde à obtempérer, le montant de la rançon double.

Les premiers échantillons de TeslaCrypt ont été détectés en février 2015 et ce nouveau cheval de Troie s’est acquis une notoriété immédiate auprès de joueurs sur ordinateurs. Parmi d’autres types de fichiers ciblés, il tente d’infecter des fichiers typiques de l’univers des jeux : parties sauvegardées, profils d’utilisateurs, replays, etc. Cependant, TeslaCrypt ne crypte pas les fichiers dont la taille est supérieure à 268 Mo.

Mécanisme d’infection
Quand TeslaCrypt infecte une nouvelle victime, il génère une adresse Bitcoin distincte pour recevoir le paiement de sa rançon, ainsi qu’une clé secrète permettant de lever le cryptage. Les serveurs de commande C&C de TeslaCrypt se trouvent dans le réseau Tor. La version 2.0 du cheval de Troie utilise deux jeux de clés : l’un est unique au sein d’un système infecté, l’autre est généré à répétition chaque fois que le programme malveillant est relancé dans le système. En outre, la clé secrète servant à crypter les fichiers de l’utilisateur n’est pas enregistrée sur le disque dur, ce qui complique nettement leur décryptage.

Les malwares de la famille TeslaCrypt ont été observés se propageant via les kits d’exploitation de vulnérabilités Angler, Sweet Orange et Nuclear. Dans ce mécanisme de propagation, la victime visite un site Web infecté et le code malveillant exploite des vulnérabilités du navigateur, le plus souvent dans des modules additionnels, pour installer le malware spécialisé sur l’ordinateur cible.

Recommandations aux utilisateurs
·         Effectuez régulièrement des sauvegardes de tous vos fichiers importants. Les copies doivent être conservées sur des supports déconnectés physiquement de l’ordinateur aussitôt la sauvegarde effectuée.

·         Il est vital de mettre à jour vos logiciels à mesure que de nouvelles versions sont disponibles, en particulier votre navigateur et ses modules additionnels.

·         Au cas où un programme malveillant parvient néanmoins à s’infiltrer dans votre système, il sera le plus efficacement contré par la dernière version en date d’une solution de sécurité dont les bases de données sont actualisées et les modules de protection activés.

Cyber-attaque, DDoS, Piratage

DDoS : plus loin, plus fort

Une nouvelle enquête étudie les conséquences des attaques par DDoS et qualifie la réaction des entreprises face aux menaces actuelles.

Corero Network Security, spécialiste des solutions de sécurité contre les attaques par DDoS avec Première Ligne de Défense, publie les résultats d’une enquête menée lors d’Infosecurity en Europe et de la Conférence RSA 2015 aux Etats-Unis. Plus de la moitié des professionnels de la sécurité (52%) déclarent que la perte de confiance des clients est la conséquence la plus néfaste des attaques DDoS pour leurs entreprises. En outre, un cinquième des répondants (22%) indique que les attaques DDoS ont un impact direct sur leurs résultats – perturbant la disponibilité du service et empêchant que l’activité soit génératrice de revenus.

« La capacité d’une entreprise à maintenir la disponibilité du service pendant une attaque DDoS est primordiale pour conserver la clientèle, ainsi que pour gagner de nouveaux clients, sur un marché très concurrentiel », déclare à DataSecurityBreach.fr Dave Larson, CTO et Vice-Président Produits chez Corero Network Security. « Quand un utilisateur final se voit refuser l’accès à des applications Internet ou si des ralentissements le gênent, le résultat financier est immédiatement impacté. »

Un cinquième des personnes interrogées citent l’infection par virus ou par logiciel malveillant comme la conséquence la plus destructrice d’une attaque DDoS, alors que pour 11%, le vol de données ou la perte de propriété intellectuelle résultant d’une attaque DDoS reste le plus préoccupant.  Les attaques par DDoS sont souvent utilisées comme technique de diversion avec une arrière-pensée. Leur intention n’est pas toujours le déni de service. Il s’agit plutôt d’un moyen détourné, destiné à affaiblir les défenses sécuritaires, submerger les outils de logging et distraire les équipes informatiques tandis que diverses formes de malware se faufilent.

Près de la moitié des personnes interrogées admettent n’agir que par réaction aux attaques DDoS. Lorsqu’on leur demande comment elles savent qu’elles ont subi une attaque DDoS, 21% citent comme indicateur de l’attaque les plaintes des clients pour un problème de service, 14% les pannes d’infrastructure (par exemple, lorsqu’un pare-feu tombe), tandis que 14% évoquent les défaillances des applications, tel un site Web en panne pour les alerter qu’un DDoS est en cours. En revanche, moins de la moitié des répondants (46%) est capable de détecter par avance le problème, grâce à l’utilisation d’autres outils de sécurité réseau, remarquant les pics élevés de bande passante, signe avant-coureur qu’une attaque est imminente.

«  C’est malheureux – mais encore bien trop fréquent – que ce soit vos clients qui vous alertent d’une interruption de service. D’un point de vue technique, il est beaucoup plus difficile de faire face à une panne si vous n’êtes pas sur la défensive. La protection en temps réel est réellement le seul moyen pour combattre de manière proactive les attaques DDoS qui ciblent l’entreprise », remarque Dave Larson. « L’utilisation d’un centre de nettoyage hors site pour la mitigation des attaques DDoS revient à jouer au chat et à la souris. Avec 96% des attaques DDoS qui ne dépassent pas les 30 minutes, lorsque la demande de défense est engagée, il est déjà trop tard et les dommages sont faits. »

Environ 50% des personnes qui ont répondu comptent sur les infrastructures informatiques traditionnelles, comme les pare-feu ou les systèmes de prévention contre les intrusions pour se protéger des attaques DDoS ou bien dépendent de leur fournisseur en amont pour faire face aux attaques. Seulement 23% des personnes interrogées ont une protection dédiée contre les DDoS, via une technologie basée sur des appliances sur site ou provenant d’un fournisseur de services cloud anti-DDoS. Il semble cependant que de nombreuses organisations aient pris la mesure des conséquences des attaques DDoS, puisque 32% indiquent qu’elles ont l’intention d’adopter une solution de défense anti-DDoS dédiée pour mieux protéger leur entreprise à l’avenir.

Les attaquants inventent de nouvelles façons d’appliquer la tactique des DDoS et de masquer les logiciels malveillants et autres exploits de vulnérabilité, ce qui montre que le DDoS est un type de menace en mutation que l’entreprise connectée à Internet ne peut pas se permettre de négliger. On ne peut pas décider de compter sur l’infrastructure traditionnelle ou les services en amont pour se protéger contre les fréquentes attaques DDoS de plus en plus sophistiquées. Une technologie dédiée à la protection contre les DDoS, déployée en périphérie immédiate du réseau, ou l’appairage (peering) en mode Internet peut effectivement inspecter tout le trafic Internet et mitiger les attaques DDoS en temps réel, éliminant ainsi la menace sur votre entreprise avant que des dommages ne lui soient infligés.
L’enquête menée par Corero Network Security a étudié l’avis de 100 professionnels de la sécurité informatique présents aux conférences Infosecurity en Europe et RSA aux Etats-Unis. RSA s’est déroulée à San Francisco, en Californie du 20 au 24 Avril 2015 tandis qu’Infosecurity Europe a eu lieu à Londres du 2 au 4 Juin 2015.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Emploi, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage, Propriété Industrielle, Scada

La sécurité informatique au sein des environnements industriels 4.0 : le savoir est la meilleure protection

Avec l’Industrie 4.0, les entreprises du secteur industriel ont accès à l’Internet… mais risquent également d’ouvrir leurs portes aux pirates. La meilleure façon de se protéger des fuites de données et du sabotage est de tirer parti d’informations décisionnelles. Des initiatives comme Shodan et Conpot permettent aux équipes chargées de la sécurité de profiter de grandes quantités de renseignements sur leurs propres vulnérabilités et les méthodes des pirates. Comme le dit notre slogan, chez DataSecurityBreach.fr, s’informer, c’est déjà se sécuriser.

Les sites de production des sociétés industrielles et du secteur de l’énergie ont été relativement à l’abri des attaques au cours des dernières décennies. Les systèmes de contrôle industriel (ICS) les plus répandus tels que les SCADA étaient optimisés pour accroître le rendement, et tenus à l’écart d’Internet (créant ainsi le fameux « Air Gap », ou « lame d’air »). Ils communiquaient à l’aide de protocoles propriétaires tels que Modbus, Profibus, S7comm ou DNP3, et étaient rarement les cibles des cybercriminels.

La situation a changé. L’interconnexion des systèmes de production est la promesse de gains énormes en matière de rendement, ce qui pousse de plus en plus d’entreprises à ouvrir leurs réseaux. Cette approche leur permet de simplifier et de centraliser la gestion de leur système, facilite la fourniture de nouveaux services, et contribue à minimiser les temps d’arrêt liés à l’assistance et à la maintenance, ainsi que leurs coûts.

Connecter des réseaux ICS à Internet présente cependant des menaces réelles. Un pirate parvenant à accéder au réseau peut alors infiltrer l’environnement de production étape par étape. Le logiciel et le matériel propriétaires utilisés ne sont généralement pas intégrés avec les systèmes de sécurité, et sont donc essentiellement non protégés. Selon ses objectifs et ses intentions, le pirate peut commencer à récupérer des données sensibles, manipuler les processus de production ou même saboter l’environnement de production tout entier. Le potentiel de dégâts de ce type d’attaques (prenons l’exemple marquant d’une attaque menée à l’encontre d’une centrale) est évidemment nettement plus élevé que celui d’une attaque MITM (l’interception de communications entre deux parties) contre une entreprise du secteur tertiaire ou autre.

Au commencement, il y eut Stuxnet
Au cours des dernières années, de nombreuses attaques de ce genre ont été enregistrées, Stuxnet en étant l’exemple le plus connu. En 2010, le ver SCADA (qui sans doute a été développé par des organismes gouvernementaux occidentaux) a ainsi saboté le projet de recherche nucléaire iranien. Ce fut le premier logiciel malveillant prouvant (officiellement) que du code informatique pouvait provoquer des dégâts sur des équipements matériels. Depuis, bien d’autres ont été menées à l’encontre de sites industriels, souvent en utilisant des logiciels malveillants créés sur mesure avec des fonctionnalités destinés aux ICS, comme Duqu ou Havex.

L’organe ICS-CERT (géré par le département américain de la Sécurité intérieure, et spécialisée dans la protection des infrastructures critiques) énumère d’ailleurs plusieurs faits inquiétants dans son Rapport pour l’année 2014 : son équipe d’analyse de la sécurité a été consultée dans près de 250 cas afin de participer à l’analyse de cyberattaques lancées sur des cibles critiques. Une grande partie de ces attaques étaient ciblées, les pirates s’infiltrant souvent dans les entreprises par la partie connectée à Internet de leur réseau à l’aide de logiciels malveillants sur mesure. Les cybercriminels utilisent également une grande variété de techniques. Selon l’ICS-CERT, le Spear phishing (une variante de hameçonnage où les employés sont convaincus d’exécuter des logiciels malveillants grâce à des e-mails semblant provenir de leurs supérieurs) reste le vecteur d’attaque le plus populaire. Mais d’autres menaces gagnent aussi en popularité, comme les attaques aux « points d’eau » (« watering hole »), une stratégie consistant à remplacer les mises à jour logicielles sur les sites des éditeurs par des chevaux de Troie, eux aussi taillés sur mesure.

Le BSI répertorie les attaques contre les ICS

L’Office fédéral allemand pour la sécurité des technologies de l’information (BSI) brosse un tableau similaire. Son rapport annuel « État des lieux de la sécurité informatique en Allemagne en 2014 » documente, entre autres, une attaque réussie sur une aciérie allemande. Les pirates ont utilisé les méthodes du Spear Phishing et de l’ingénierie sociale pour accéder au réseau de l’entreprise victime. Ils ont alors infiltré l’environnement de production, où ils ont causé d’énormes dégâts en compromettant plusieurs systèmes de contrôle. Le BSI affirme que les cybercriminels possédaient des connaissances détaillées sur les systèmes de contrôle industriel et les processus de production, en plus de leurs évidentes compétences en informatiques.

L’information est d’une importance cruciale

La guerre cybernétique a donc atteint les sites de production. Cela ne signifie pas nécessairement que le secteur industriel devrait renoncer au potentiel offert par l’interconnectivité, ni même en ralentir la progression. Les services chargés de la sécurité informatique doivent utiliser des systèmes de sécurité existants pour faire en sorte que les réseaux soient connectés à l’Internet de façon sécurisée. Mais pour cela, il leur faut d’abord des informations décisionnelles et détaillées. Ils doivent également connaître les vulnérabilités de leurs réseaux de production, les vecteurs d’attaque et les outils de piratage, ce qui leur permettra d’analyser les attaques, de neutraliser les logiciels malveillants et de réparer les dégâts éventuels.

Les experts en matière de sécurité cherchant à rassembler ces informations peuvent également s’appuyer sur leurs grandes connaissances et leurs réseaux de renseignement établis : d’une certaine façon, les attaques contre les systèmes industriels sont assez similaires aux attaques classiques contre les environnements informatiques des entreprises du tertiaire. Mais, bien que la protection effective de certains systèmes ICS puisse être très étendue, le problème reste que les informations disponibles sont limitées. Heureusement, la situation évolue également à ce niveau. Plusieurs initiatives de sécurité innovantes sont axées sur la protection des milieux industriels, et ont clairement pour principal objectif de fournir aux professionnels de la sécurité les renseignements dont ils ont besoin sur les menaces et les vulnérabilités.

Shodan et honeypot Conpot ICS/SCADA, des initiatives intéressantes

Shodan : le moteur de recherche pour l’IdO
Le moteur de recherche Shodan a été créé par le développeur John Matherly en 2009, permettant ainsi aux utilisateurs de rechercher sur le web une grande variété de systèmes connectés à Internet. Contrairement aux moteurs orientés contenu comme Google, Shodan utilise les scans des ports des adresses IP disponibles, puis recueille et indexe les bannières qu’il reçoit ensuite. Il peut ainsi parcourir le Web à la recherche de serveurs ou de routeurs d’un certain type, ou même de terminaux possédant des adresses IP comme des caméras de sécurité ou des dispositifs médicaux. Les utilisateurs peuvent créer leurs requêtes en utilisant une grande variété d’options de filtrage, par exemple en combinant des noms de fournisseurs, des informations sur des ports, des codes ou des protocoles régionaux afin de trouver des serveurs SCADA dans leur pays. Shodan est donc un bon outil pour localiser les vulnérabilités ou les systèmes mal configurés au sein de votre réseau : si une recherche révèle que l’un des automates ou l’une des IHM sur la plage d’IP de votre entreprise est visible sur Internet, vous savez que l’un de vos systèmes est probablement mal configuré et avez la possibilité de corriger cette erreur. Les vulnérabilités causées par des systèmes non patchés, des ports ouverts ou des mots de passe par défaut inchangés peuvent être repérées et corrigées tout aussi facilement. Cependant, si vous trouvez votre système sur Shodan, il est probable que vous ne soyez pas le seul. La proactivité reste donc de mise.

En outre, ce moteur de recherche n’est pas sans détracteurs. Comme presque toutes les solutions de test et de gestion des vulnérabilités, Shodan est souvent critiqué car il peut être utilisé à mauvais escient comme outil de piratage puissant, ce qui est incontestable : des boîtes à outils de piratage avec des interfaces Shodan existent depuis longtemps sur le Darknet. Mais la plupart des experts en sécurité s’accordent sur le fait que des fonctions de recherche similaires sont également disponibles en utilisant des botnets. Les professionnels de la sécurité des environnements industriels devraient clairement envisager d’intégrer Shodan à leur gestion des vulnérabilités.

Analyser les vulnérabilités et minimiser la visibilité d’un ICS sur Internet est de toute évidence un premier pas important dans la sécurisation des environnements de production. Mais la recrudescence des menaces ciblées persistantes et complexes (APT), qui sont créées sur mesure pour passer à travers les mailles des systèmes de sécurité existants, oblige les équipes chargées de la sécurité à analyser l’éventail des menaces tout aussi minutieusement.

Malheureusement, peu d’informations sont disponibles sur la façon dont les attaques contre les sites industriels surviennent, ou alors ces renseignements sont publiés trop longtemps après un incident. En effet, peu de cas sont documentés, et peu d’informations tangibles sur les menaces ont été recueillies jusqu’à présent. L’initiative de sécurité Conpot a pour but de changer la donne.

Conpot : des pots de miel pour le secteur industriel

L’initiative Conpot (abréviation de « système de contrôle Honeypot ») a été créée sous l’égide du Projet Honeynet par un groupe de professionnels de la sécurité expérimentés, parmi lesquels Lukas Rist de Blue Coat Systems. Le principe est de créer partout sur Internet des systèmes virtuels interactifs se comportant exactement comme des serveurs ICS ou des réseaux industriels non protégés. Une fois ces systèmes en place, le développeur du système honeypot (« pot de miel ») n’a plus qu’à attendre qu’un pirate attaque le site, terminal distant (RTU) ou ICS ainsi émulé, et peut alors observer et analyser l’attaque étape par étape. Par nature, tous les cas permettent de procéder à une analyse utile de leur vecteur d’attaque. L’intérêt supérieur de ces pots de miel se manifeste lorsque les membres de cette initiative peuvent corréler les données de plusieurs dizaines d’attaques, puis analyser leurs tendances et évolutions, identifier d’éventuels axes régionaux ou thématiques d’attaque, et recueillir ainsi davantage des données précieuses.

Habituellement, pour un analyste, rechercher une anomalie dans son réseau de production est comme chercher une aiguille dans une botte de foin. En déployant un honeypot dans votre réseau, tous les événements qui atteignent ce terminal sont susceptibles d’être des « aiguilles » (par exemple les attaques ou dispositifs mal configurés), étant donné qu’aucun élément réel n’est censé communiquer avec ce pot de miel. Ce dernier peut également être vu comme un leurre : le temps qu’y passe le pirate ainsi piégé correspond au laps de temps dont vous disposez pour sécuriser votre infrastructure critique avant qu’elle ne soit compromise à son tour.

N’importe quel professionnel de la sécurité peut contribuer à Conpot. L’émulateur est disponible en tant que logiciel Open Source à l’adresse www.conpot.org. Avec cet outil puissant, chaque développeur a la possibilité de concevoir un modèle réaliste et virtuel de son environnement, et de le connecter à Internet. Ainsi, les responsables de la sécurité peuvent obtenir des renseignements utiles leur indiquant ce à quoi ils doivent s’attendre en connectant leurs systèmes à Internet, et peuvent planifier leurs défenses en conséquence.

Les cyberattaques menées à l’encontre d’environnements industriels sont un phénomène réel. Ces attaques suivent essentiellement les mêmes mécanismes que pour les environnements des entreprises classiques du tertiaire. Une grande partie des attaques ont des motifs professionnels : d’abord, parce que les lamers (ou « script kiddies ») ne sont pas encore vraiment actifs dans ce segment, et ensuite parce que l’énorme potentiel de dégâts (ou la valeur des actifs) suscite l’intérêt d’acteurs importants tels que des organismes gouvernementaux, des groupes terroristes et des voleurs de données professionnelles. Les entreprises cherchant à sécuriser leurs réseaux doivent donc vérifier et minimiser la visibilité de leurs systèmes ICS sur Internet. Face à la recrudescence des menaces complexes, il est de plus en plus important de collecter de renseignements sur les menaces. Les équipes de sécurité ont besoin d’informations détaillées sur les vecteurs d’attaque et sur l’ensemble du cycle de vie des menaces. Ils peuvent alors élaborer une stratégie de défense globale en s’appuyant sur ces informations. Des initiatives telles Shodan et Conpot sont d’ailleurs un bon point de départ pour la collecte des renseignements nécessaires.

En parallèle, les entreprises doivent mettre en œuvre des meilleures pratiques de sécurité et protéger minutieusement les parties de leurs réseaux accessibles au public. Des solutions de sécurité dédiées aux ICS existent également pour les environnements particulièrement sensibles. Par exemple, Blue Coat propose la solution d’analyse ICS Protection Scanner Station, qui protège les systèmes industriels des logiciels malveillants véhiculés par des périphériques USB. En outre, la solution Security Analytics Platform Analytics propose également un module SCADA ThreatBLADE permettant d’identifier en temps réel les activités potentiellement malveillantes ciblant les systèmes SCADA.

Le rêve d’une solution parfaitement intégrée pour la protection des environnements industriels ne deviendra réalité qu’une fois que l’ensemble des différentes normes industrielles propriétaires auront été remplacées par des systèmes informatiques standard, et ces derniers intégrés aux architectures de sécurité existantes. Les technologies nécessaires pour cela (le protocole réseau IPv6, la surveillance complète des réseaux et la gestion rigoureuse des correctifs et des vulnérabilités) existent maintenant depuis un certain temps. L’étape suivante est leur mise en œuvre complète, ce qui pourrait prendre un certain temps en raison des cycles de vie plus longs des équipements industriels. (Christophe Birkeland pour DataSecurityBreacg.fr. Il est directeur technique en charge de la division Malware Analysis chez Blue Coat Systems).

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, Mise à jour, Patch, Propriété Industrielle

Cyber-sécurité : Les PME démunies face aux nouveaux risques

La sécurité pose un réel problème aux PME qui n’ont bien souvent pas les moyens d’avoir une équipe informatique dédiée afin de faire face à tous les challenges engendrés par les nouvelles technologies et les nouvelles habitudes de vie. A ces nouveaux challenges de sécurisation s’ajoute l’inventivité des hackers qui ne cessent de renouveler leurs techniques d’attaques.

Pour répondre à cette problématique, l’ANSSI (agence nationale de la sécurité des systèmes d’information) et la CGPME (conférence Générale des Petites et Moyennes Entreprises) ont publié un guide de bonnes pratiques de l’informatique relatant les 12 règles essentielles pour sécuriser les équipements informatiques. Les mesures sont variées, et pour certaines basiques : sécurisation des mots de passe, de la connexion wi-fi, sauvegardes régulières ou encore mise à jour des logiciels pour disposer des derniers patchs de sécurité. Mais, parmi ces mesures basiques, certaines règles viennent encadrer les nouveaux usages informatiques.

Règle n°3 : Bien connaître ses utilisateurs et ses prestataires
Le conseil pourrait sembler évident mais à l’heure des services hébergés en cloud, il est primordial de connaître les standards de son fournisseur en termes de sécurité et de conformité. Selon une étude Freeform Dynamics commandée par Barracuda Networks, 69% des entreprises prévoient une utilisation de plus en plus fréquente du cloud pour les services essentiels tels que les emails et la gestion de la relation client. Pour bien penser sa sécurité, il faut aussi comprendre quelle expérience les utilisateurs feront des infrastructures et des services informatiques.

Règle n°6 : Être aussi prudent avec son smartphone ou sa tablette qu’avec son ordinateur
Autre tendance pouvant affecter la sécurité de l’entreprise : l’utilisation croissante de tablettes et de smartphones – qu’ils soient personnels (BYOD) ou fournis par l’entreprise. Les collaborateurs utilisent ces terminaux pour travailler et pour accéder au réseau de l’entreprise, toujours selon l’étude Freeform Dynamics : 62% des interrogés prévoient une augmentation de l’accès mobile et à distance aux réseaux informatiques de l’entreprise.

Pourtant ce matériel reste très peu sécurisé et représente un danger notable. Chaque appareil personnel connecté au réseau représente une porte d’entrée potentielle pour les cyber-attaques.  Les entreprises doivent donc s’assurer de la sécurisation de ces terminaux, soit en les fournissant elles-mêmes à ses employés soit en offrant une solution pour sécuriser leurs propres appareils.

Les entreprises sont conscientes des problèmes de cyber-sécurité auxquelles elles se confrontent, mais ne savent pas par où les attaquer. Le guide prodigue les conseils essentiels, les avertit du danger, mais il est essentiel maintenant d’enseigner aux PME les bonnes pratiques de la sécurité informatique. (Par Stéphane Castagné, pour DataSecurityBreach.fr – Responsable Commercial France – Barracuda Networks)

BYOD, Cloud, Cybersécurité, Entreprise, Fuite de données, Logiciels, Microsoft, Propriété Industrielle, Sauvegarde, Sécurité, Smartphone

Une technologie anti pirate signée Microsoft

Des milliers de cas démontrent que les pirates, une fois dans un serveur infiltré, se cachent et agissent sans même que le propriétaire s’en aperçoive. Il est souvent trop tard quand la première alerte apparait sur les prompteurs. Microsoft va proposer un cerbère capable de repérer la moindre modification.

Les pirates sont connus pour se cacher sur les réseaux d’entreprise, et cela durant des semaines, des mois. Ils collectent des données, surveillent ou se servent de l’espace à différentes fins (DDoS, Bot, Chat, stockage, entrainements, …). Microsoft affirme qu’il veut aborder ce problème pour ses clients et a annoncé que son Advanced Threat Analytics, qui sera proposé le mois prochain, est capable de bloquer les pirates. Son outil apprend, un peu à la sauce « Chappie » [Le film].

L’apprentissage de la machine et de l’analyse comportementale doivent permettre de détecter les activités malveillantes qui pourraient passer inaperçus normalement. Une technologie acquise, l’année derniére par Microsoft, lors de l’achat de la start-up israélienne Aorato.

L’ATA utilise les temps de déplacement et les données géographiques pour détecter une connexion saine, ou non. Bref, si vous travaillez à Dunkerque et que la connexion, ou des téléchargements, se font à Manille, ATA alerte et bloque. A suivre !