Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Hacking

Près de 20% des entreprises industrielles ont subi un vol de propriété intellectuelle

L’étude de Kaspersky Lab auprès de 3900 entreprises classe les répondants dans 17 secteurs différents, y compris la fabrication et l’énergie. Ces deux secteurs industriels se démarquent par l’architecture de leur réseau informatique, composé de machines gérées par des logiciels hautement spécifiques.

Propriété intellectuelle : 21% des organisations opérant dans le secteur de la production / fabrication ont dû faire face à une perte de leur propriété intellectuelle au cours des 12 derniers mois (le 5ème taux le plus important). Cela pourrait expliquer pourquoi elles donnent plus d’importance à la propriété intellectuelle (17%) que tous les autres secteurs.

Veille marché / Intelligence : les données de veille marché sont perçues comme étant de moyenne importance pour les entreprises de production, alors que les spécialistes de l’énergie les considèrent comme critiques. Les deux secteurs sont particulièrement touchés par le vol de ce type de données.

Informations clients : ces informations ne sont pas jugées comme critiques et ne sont pas la cible privilégiée des cyber criminels. Pourtant il faut prendre ces données très sérieusement, comme peut le montrer, très souvent, le protocole d’alerte de zataz.com.

Informations opérationnelles : les entreprises de production et énergétiques sont toutes particulièrement concernées par la perte de données internes liées à leur fonctionnement. Près de la moitié d’entre elles ont admis avoir perdu ce type d’informations après une fuite de données au cours des 12 derniers mois.

Les spécificités de la sécurité en secteur industriel
L’étude de Kaspersky Lab illustre les différences fondamentales qui existent entre les entreprises industrielles et les autres en matière d’informatique. Les entreprises traditionnelles se concentrent sur la protection des données, alors que les entreprises industrielles jugent critique la protection des process. Les données montrent l’importance accordée aux données liées au fonctionnement interne par rapport aux données clients, souvent considérées comme les plus sensibles dans d’autres secteurs.

À l’inverse, les données de moindre importance pour les entreprises classiques, comme la propriété intellectuelle, sont critiques dans le secteur industriel. 31% des entreprises de production sont convaincues que la propriété intellectuelle est directement visée lors d’attaques cyber criminelles. Tous secteurs confondus, c’est le taux le plus important après celui enregistré pour le secteur financier.

Il est clair que les réseaux informatiques industriels exigent une protection spécifique, en particulier face à des malware sophistiqués comme Wiper et Shamoon qui ont causé des millions d’euros de dommages en s’attaquant à des systèmes industriels. Kaspersky Lab a développé des solution de protection des infrastructures critiques, pensées pour répondre aux exigences de l’univers industriel en matière de contrôle et de sécurité.

Cybersécurité, DDoS, Entreprise, Piratage

Se protéger des attaques DDoS

Un commentaire

Les organisations doivent arrêter de compter sur leurs fournisseurs de services Internet pour les protéger des attaques DDoS et doivent prendre les choses en main. (Par Christophe Auberger, Directeur Technique France chez Fortinet pour datasecuritybreach.fr)

Les attaques par Déni de Services Distribués (DDoS) sont l’une des menaces Internet les plus anciennes et continuent d’être le principal risque pour les réseaux à travers le monde. En même temps que les protections ont évolué, la technologie utilisée par les hackers s’est adaptée et est devenue beaucoup plus sophistiquée. De nouveaux types d’attaques ciblent désormais les applications et services, et sont souvent cachées dans les couches 3 et 4, ce qui les rend difficilement détectables.

En matière d’attaques DDoS, le secteur financier est l’une des cibles privilégiées des cybercriminels, suivie de près par le secteur public. Outre le fait de perturber les opérations Internet par un assaut brutal de données, les attaques DDoS ont récemment été utilisées pour recueillir des informations financières et relatives au commerce en ligne. Ces attaques ont souvent pour objectif de perturber les opérations, principalement en détruisant l’accès à l’information.

Il y a généralement trois catégories de motivations derrière les attaques DDoS: politique, de représaille et financière. Les attaquants politiques ciblent ceux qui ne sont pas d’accords avec leurs convictions politiques, sociales ou religieuses. Lorsqu’un botnet ou un important réseau cybercriminel est démantelé, cela peut déclencher des attaques de représailles contre ceux qui ont aidé ou assisté les autorités. Les attaques motivées par l’argent suivent un schéma « pay-to-play » dans lequel les hackers sont compensés par une tierce partie qui leur demande de mener l’attaque pour elle. Quelle que soit la motivation, le résultat est le même – votre réseau et services en ligne deviennent indisponibles, et peuvent rester ainsi pendant un long moment.

Méfiez-vous des attaques DDoS avancées visant la couche applicative
Il existe de nombreux types d’attaques DDoS largement utilisés aujourd’hui, allant des anciennes méthodes des débuts de l’Internet aux dernières attaques avancées visant la couche 7 et ciblant les applications. L’inondation de requêtes SYN et HTTP GET sont les plus communes et utilisées pour surcharger les connexions réseau ou les serveurs derrière les pare-feux et système de prévention d’intrusion (IPS).

Toutefois, le plus inquiétant est que les attaques visant la couche applicative utilisent des mécanismes beaucoup plus sophistiqués pour attaquer les services et réseau des organisations. Plutôt que d’inonder simplement un réseau avec du trafic ou des sessions, ces types d’attaques ciblent des services et applications spécifiques pour épuiser lentement les ressources au niveau de l’application (couche 7).

Les attaques visant la couche applicative peuvent être très efficaces en utilisant peu de volumes de trafic, et peuvent être considérer comme tout à fait normales par la plupart des méthodes de détection DDoS traditionnelles. Cela rend les attaques visant la couche applicative beaucoup plus difficiles à détecter que les autres types d’attaques DDoS basiques.

Les options en matière de protection DDoS
La plupart des FAI offrent une protection DDoS des couches 3 et 4 pour empêcher les liens des organisations d’être inonder lors d’attaques volumétriques de masse. Cependant, ils n’ont pas la capacité de détecter les plus petites attaques visant la couche 7. Ainsi, les centres de données ne devraient pas uniquement compter sur leur FAI pour bénéficier d’une solution complète DDoS, dont la protection de la couche applicative. Au lieu de cela, ils devraient envisager de mettre en place une des mesures suivantes:

1. Les fournisseurs de services DDoS: Il existe beaucoup de solutions hébergées DDoS basées sur le cloud qui fournissent des services de protection des couches 3, 4 et 7. Elles vont des projets peu couteux pour les petits sites Web jusqu’à ceux pour les grandes entreprises qui requièrent la couverture de plusieurs sites Web. Elles sont en général très faciles à mettre en place et fortement poussées auprès des petites et moyennes entreprises. La plupart offre des options de tarification personnalisée et beaucoup ont des services de détection avancée de la couche 7 à disposition des grandes organisations qui nécessitent que des capteurs soient installés dans le centre de données. Beaucoup d’entreprises choisissent cette option, mais certaines d’entre elles doivent faire face à des frais excédentaires importants et imprévus lorsqu’elles sont frappées par des attaques DDoS en masse. Par ailleurs, la performance n’est parfois pas à la hauteur car les fournisseurs de services redirigent le trafic DDoS vers les centres de protection au lieu de les stopper en temps réel, ce qui est particulièrement problématique pour les attaques de courte durée, qui sont celles généralement rencontrées.

2. Pare-feu ou IPS: Presque tous les pare-feux et système de prévention d’intrusion (IPS) modernes revendiquent un certain niveau de défense DDoS. Les pare-feux nouvelles générations avancés  (NGFW) offrent des services DDoS et IPS et peuvent protéger de nombreuses attaques DDoS. Avoir un dispositif pour le pare-feu, IPS et DDoS est plus facile à gérer, mais peut être submergé par des attaques volumétriques DDoS, et peut ne pas avoir les mécanismes sophistiqués de détection pour la couche 7 que d’autres solutions ont. Un autre compromis à prendre en compte est que l’activation de la protection DDoS sur le pare-feu ou l’IPS peut impacter la performance globale du seul dispositif, entrainant des débits réduits et une augmentation de la latence pour les utilisateurs finaux.

3. Appliances dédiées à la protection d’attaques DDoS: Ce sont des dispositifs matériels qui sont déployés dans un centre de données et utilisés pour détecter et stopper les attaques DDoS basiques (couche 3 et 4) et avancées (couche 7). Déployées au point d’entrée principal pour tout le trafic Web, elles peuvent à la fois bloquer les attaques volumétriques en masse et surveiller tout le trafic entrant et sortant du réseau afin de détecter les comportements suspects des menaces visant la couche 7. En utilisant un dispositif dédié, les dépenses sont prévisibles car le coût est fixé quelque soit la fréquence des attaques, que l’entreprise soit attaquée une fois en six mois ou tous les jours. Les aspects négatifs de cette option sont que ces dispositifs sont des pièces matérielles supplémentaires à gérer, que les unités à faible bande passante peuvent être submergées lors d’attaques volumétriques en masse, et que de nombreux fabricants nécessitent des mises à jour fréquentes en matière de signatures.

Les solutions matérielles dédiées de protection des attaques DDoS existent en deux versions principales – celle pour les opérateurs télécoms et celles pour les entreprises. Les premières sont des solutions complètes conçues pour les réseaux mondiaux des FAI et sont très couteuses. La plupart des organisations qui veulent protéger leurs centres de données privés optent habituellement pour les modèles entreprises qui offrent une détection et protection DDoS rentable. Les modèles d’aujourd’hui peuvent gérer des attaques volumétriques en masse et assurer une protection à 100% des couches 3, 4 et 7 ou peuvent être utilisés pour compléter une protection fournie par le FAI contre les attaques DDoS en masse et assurer une détection et protection avancées de la couche 7. Bien que ces dispositifs nécessitent un investissement initial, ce qui n’est pas le cas des solutions hébergées, ils sont généralement beaucoup moins chers à long terme si l’on prend en compte les frais excédentaires dans le budget total.

Les entreprises devraient considérer des appliances de protection d’attaques DDoS qui utilisent des méthodes d’adaptation basées sur le comportement pour identifier les menaces. Ces appliances apprennent les bases de référence de l’activité normale des applications et ensuite surveillent leurs trafics par rapport à ces bases. Cette approche d’adaptation/d’apprentissage a l’avantage de protéger les utilisateurs des attaques zero-days inconnues puisque que le dispositif n’a pas besoin d’attendre que les fichiers signatures soient mis à jour.

Les attaques DDoS sont en hausse pour presque toutes les organisations, grandes ou petites. Les menaces potentielles et volumes augmentent à mesure que de plus en plus d’appareils, y compris les téléphones mobiles, accèdent à Internet. Si votre organisation a une propriété Web, la probabilité de subir une attaque n’a jamais été aussi élevée. La nature évolutive des attaques DDoS signifie que les entreprises ne peuvent plus compter uniquement sur leur FAI pour se protéger. Les organisations doivent commencer à effectuer des changements dès à présent pour une plus grande prévoyance et bénéficier de défenses plus proactives pour les services au niveau des applications et du réseau.

Cybersécurité, Virus

Avast présente sa solution de sécurité du réseau domestique

Avast 2015 repère les routeurs domestiques vulnérables pouvant être à l’origine d’usurpations d’identité et de failles de confidentialité.

Avast Software, fabricant de solutions de sécurité parmi les plus réputées, vient d’annoncer aujourd’hui la sortie de la solution de sécurité Avast 2015 sur PC et Mac, pour le plus grand bonheur de ses 175 millions d’utilisateurs dans le monde. Disponible en plusieurs versions, gratuite et payantes, voici le seul outil de sécurité du réseau domestique spécialement conçu pour répondre aux menaces réelles qui pèsent sur les réseaux domestiques détournés. Améliorations et fonctions inédites sont au programme de cette nouvelle version. Prévention contre la redirection DNS, analyse HTTPS, réduction des messages et des fenêtres intempestives au sein des produits, allègement de l’expérience utilisateur, accélération des procédures de mises à jour logicielles… les performances du logiciel de sécurité le plus populaire au monde passent ainsi à la vitesse supérieure pour une confidentialité et une sécurité renforcées.

« Les risques liés à la sécurité ne concernent plus uniquement les ordinateurs mais bel et bien les réseaux domestiques dans leur ensemble. En effet, les temps ont changé. Aujourd’hui, un nombre incalculable d’appareils les utilisent pour accéder à Internet, ce qui entraîne une explosion des risques. On constate donc que les réseaux domestiques sont devenus le centre névralgique des opérations informatiques. » a déclaré Vince Steckler, Directeur général d’Avast, à DataSecurityBreach.fr. « D’après nos enquêtes, des mots de passe banals, facilement détournables, offrent une protection précaire contre le piratage. C’est le cas pour près de 80 % des routeurs domestiques utilisés aujourd’hui.  Avast 2015 se propose de déjouer ces failles à grand renfort de fonctions inédites. »

Sécurité du réseau domestique en exclusivité mondiale
Tous les produits Avast 2015 incluent l’édition gratuite d’Avast Sécurité du réseau domestique qui permet d’analyser en un seul clic le réseau et d’anticiper les problèmes de sécurité potentiels avant qu’ils ne se transforment en de réels dangers. Avast détecte les réseaux Wi-Fi configurés de manière incorrecte, les routeurs dont le niveau de protection du mot de passe est faible voire inexistant, les routeurs Internet accessibles et vulnérables, les connexions Internet suspectes et les protocoles IPv6 activés sans protection.

La redirection DNS compte parmi les plus grands dangers auxquels les utilisateurs de routeurs vulnérables sont confrontés. Avast DNS sécurisé chiffre le trafic Internet entre les appareils protégés par Avast et le serveur DNS d’Avast et empêche la redirection des utilisateurs vers des sites détournés. L’analyse HTTPS, quant à elle, scanne les sites qui utilisent le protocole HTTPS afin de déceler la présence éventuelle de programmes malveillants ou de menaces. Cette fonction fait partie des composants de la technologie robuste Agent Web d’Avast. Enfin, la nouvelle fonction SmartScan permet aux utilisateurs de détecter en un seul clic les menaces, mises à jour logicielles, problèmes de réseaux et de sécurité qui peuvent peser sur leurs systèmes.

Expérience utilisateur et la protection
Parmi les avancées majeures, on peut citer la refonte de l’interface utilisateur qui se traduit par un confort d’utilisation accru, une navigation beaucoup plus intuitive et une prise en main plus accessible. Les utilisateurs ont désormais la possibilité d’activer ou de désactiver les fonctions et les outils de leur choix en un seul clic.

Les mises à jour des produits et des logiciels tiers se font plus rapidement. Il est plus aisé pour les utilisateurs de conserver leur système à jour, ce qui permet de renforcer leur sécurité. En outre, le nouveau système d’assistance en ligne gagne en visibilité. En clair, les utilisateurs mettent nettement moins de temps à accéder à l’aide dont ils ont besoin.

Avast 2015 a également donné naissance à une nouvelle fonctionnalité baptisée « Avast Rewards ». Conçue pour rendre les fonctions de sécurité d’Avast plus conviviales et interactives, elle récompense les utilisateurs sous forme de points Karma et de badges, à mesure qu’ils prennent leur protection en main.

Le renforcement de la protection s’illustre aussi dans l’ajout d’un « sas » de virtualisation matérielle. Concrètement, une zone de test virtuelle est mise en place pour analyser automatiquement les éléments suspects avant leur entrée sur le réseau. La détection LPI (logiciels potentiellement indésirables) identifie les programmes que les utilisateurs ont pu installer par inadvertance. Ils sont alors invités à supprimer ces logiciels et bénéficient ainsi d’une nouvelle dimension de la performance.

Dédiée au grand public, la solution Avast 2015 pour PC se décline en quatre versions : Avast Antivirus Gratuit, Avast Pro Antivirus, Avast Internet Security et Avast Premier, localisées en 45 langues. Il faudra patienter jusqu’à l’hiver 2015 pour profiter de la gratuité d’Avast Mac Security, de sa fonction d’analyse Sécurité du réseau domestique et de l’outil DNS sécurisé. Avast ne met donc aucune entreprise ni aucun utilisateur nomade sur la touche en leur offrant un niveau de protection informatique inégalable sur le marché.

BYOD, Cloud, Cybersécurité, Entreprise, Fuite de données, Mise à jour

Les entreprises privilégient la performance, à la sécurité de leur réseau !

Les administrateurs système avouent désactiver leur firewall pour répondre à la problématique d’une performance applicative insuffisante

McAfee, filiale d’Intel Security, annonce la publication d’un nouveau rapport intitulé ‘Network Performance and Security’. Ce dernier met en évidence les défis auxquels les entreprises sont confrontées lors du déploiement de solutions de protection afin de maintenir une performance optimale de leur infrastructure réseau. Présenté lors de l’événement FOCUS 14 de McAfee, le rapport révèle que plus de la moitié des entreprises désactivent les fonctionnalités de leur firewall (54 %) afin d’éviter une dégradation significative de la performance de leur réseau.

Plus de 500 DSI ont été interrogés dans le cadre de ce rapport et 60 % d’entre eux avouent que la conception de leur réseau a été gouvernée par la sécurité. Paradoxalement, plus d’un tiers ont également admis avoir déjà suspendu certaines options de leur firewall ou refuser la mise en œuvre de certaines fonctionnalités de sécurité juste pour augmenter la performance de leur réseau.

« Il est regrettable que la désactivation d’importantes propriétés de pare-feu commence à devenir une pratique courante en raison de problèmes de performance », déclare à Data Security Breach Thierry Bedos, Managing Director France de McAfee, filiale d’Intel Security. « Chez McAfee, nous trouvons cela inadmissible et estimons que les entreprises ne devraient tout simplement pas à avoir à choisir entre sécurité et performance réseau. »

Selon le rapport, les fonctionnalités les plus couramment désactivées par les administrateurs réseau sont l’analyse en profondeur de paquets (DPI), l’anti-spam (29 %), l’anti-virus (28 %) et l’accès au VPN (28 %). Le DPI, option la plus souvent désactivée (31 %), assure la détection d’activité malveillante dans le réseau et prévient des intrusions en bloquant le trafic visé avant que des dommages se produisent. Il est une composante essentielle d’une défense efficace contre les menaces, ainsi qu’un élément clé des firewalls de prochaines générations, qui représentent aujourd’hui 70 % des achats de pare-feu1.

« Quand j’entends que les directeurs de systèmes d’information sont contraint de suspendre partiellement leur système de sécurité, qu’ils ont payé, en raison de baisse de performance réseau, cela me dérange », commente Ray Murer, Chief Technology Officer – Perket Technologies à datasecuritybreach.fr. « Pourquoi devraient-ils négliger la sécurité au nom de la performance ? »

De nombreuses entreprises choisissent d’arrêter leur DPI en raison des exigences de débit élevé qu’il impose aux ressources réseau. Selon le cabinet d’études Miercom, un DPI pourrait dégrader jusqu’à 40 % les performances de débit d’une entreprise2, en fonction de la solution en place. D’après les tests réalisés par Miercom, McAfee Next Generation Firewall est compatible avec une activation de l’ensemble des fonctionnalités de sécurité et permet ainsi de favoriser et de maintenir une performance haut débit optimale. Les autres produits du marché testés présenteraient 75 %, voire plus, de dégradation des performances des outils de sécurité (DPI, anti-virus et contrôle applicatif)2.

« Avec le nombre de violations de données identifiées, en augmentation de plus de 200 % par rapport à l’année précédente, il n’a jamais été autant capital pour les entreprises d’adopter les mesures de protection avancées proposées aujourd’hui par les firewalls de nouvelle génération3 », poursuit Thierry Bedos. « Chez McAfee, nous souhaitons faciliter le déploiement et l’usage de technologies de sécurité, à leur potentiel maximal, pour éviter aux entreprises de sacrifier leur productivité. »

[1]  Gartner finding cited in “Next Generation Firewalls and Employee Privacy in the Global Enterprise,” SANS Institute, September 21, 2014.

[2] “Throughput and Scalability Report, McAfee NGFW 5206, v5.8,” Miercom, October 9, 2014.

[3] Verizon, 2014 Data Breach Investigations Report (DBIR).

Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, Sauvegarde

Fin du support pour Windows Server 2003 : il faut agir d’urgence

3 commentaires

La fin est imminente: le support de Windows Server 2003 par Microsoft se terminera mi-2015. Par conséquent, les entreprises ne disposent plus que de 286 jours pour migrer vers un nouveau système d’exploitation de serveur et concevoir une infrastructure fiable pour l’avenir. transtec voit à cet égard principalement deux solutions envisageables : le remplacement physique des serveurs et la virtualisation.

À partir du 15 juillet 2015, Microsoft ne mettra plus à disposition de nouvelle mise à jour, ni de patchs de sécurité ou de hotfix, que ce soit pour les éditions de Windows Server 2003, Windows Server 2003 R2 ou pour Microsoft Small Business Server (SBS) 2003. Si une entreprise continue alors à miser sur ces systèmes d’exploitation, le risque de perte de données dues à des Hackers ou des virus est quasiment programmé d’avance.

 » C’est justement dans de nombreuses petites et moyennes entreprises que Windows Server 2003 continue à être utilisé. C’est là qu’il est extrêmement urgent d’agir, ne fût-ce que pour respecter les exigences légales et réglementaires, les directives de conformité et les règles internes de sécurité « , explique Michael Hohl, responsable  » Datacenter Solutions  » de la société transtec.  » Presque 300 jours pour introduire un système d’exploitation actualisé semblent certes représenter beaucoup de temps, mais  même Microsoft part du principe que la durée moyenne d’une migration est supérieure à
200 jours. « 

De manière générale, il y a une chose qu’on ne peut pas perdre de vue, c’est que dans la migration, il ne s’agit pas seulement du remplacement d’un système d’exploitation. Le paysage des applications est au moins tout aussi complexe et problématique, car celles-ci ne sont souvent pas compatibles 64 bits et fréquemment, les éditeurs de logiciels ne proposent plus aucune assistance.

Concrètement, transtec voit pour les entreprises deux solutions possibles pour introduire un système d’exploitation actualisé : l’acquisition de nouveaux matériels ou la mise en oeuvre d’une virtualisation des serveurs. transtec propose des solutions adaptées aux deux variantes: d’une part des serveurs complètement intégrés en tant que solution autonome, se composant du matériel et des logiciels sous licence OEM, et d’autre part des bundles hyper-V préconfigurés.

Selon transtec, un système d’exploitation actuel tel que Windows Server 2012 R2 offre de nombreux avantages auxquels les entreprises ne devraient plus renoncer à l’avenir. transtec cite à cet égard :

– la construction aisée d’un serveur de fichiers scale-out de haute performance et d’une grande fiabilité avec les fonctionnalités natives de Windows.
– la possibilité de réalisation d’une solution étendue Terminal Server l’hyperviseur  » hyper-V  » offrant des fonctionnalités de haut niveau est gratuitement inclus dans le prix de la licence
– l’évolution facile vers un cluster de haute disponibilité.
– la possibilité d’intégrer des machines virtuelles avec des systèmes d’exploitation Linux.
– l’automatisation des travaux de maintenance grâce aux outils intégrés
– l’intégration dans des outils d’administration comme Microsoft System Center.

Sans oublier qu’une entreprise avec un nouveau système d’exploitation est parfaitement préparée pour une mise en oeuvre future de modèles Cloud, par exemple d’un Cloud hybride, avec utilisation d’un Cloud privé dans son propre Datacenter et d’un Cloud public.

Hacking

L’antivirus VirusKeeper fait appel à l’intelligence artificielle

La société nordiste d’édition AxBx annonce la sortie de la version 2015 de son antivirus VirusKeeper.

VirusKeeper est le seul antivirus français. Il repose sur un moteur d’analyse comportementale exclusif qui lui permet de détecter les malwares connus ou non. En 2006, VirusKeeper innovait déjà puisqu’il était le premier antivirus reposant sur l’analyse comportementale. Les antivirus fonctionnant à base de scanner de signatures, technologie qui date des années 80, sont aujourd’hui obsolètes et incapables de détecter les menaces actuelles.

Le nouveau VirusKeeper 2015 marque un tournant majeur dans le monde de l’antivirus puisqu’il intègre désormais un moteur d’intelligence artificielle nommée VIKEE. VIKEE analyse le système, détecte les failles de sécurité, contrôle les paramétrages et donne des conseils pour obtenir une sécurité maximale de l’ordinateur. Bon nombre de malware et de pirates utilisent en effet les failles des logiciels à forte diffusion (Windows, navigateur web, plug in Flash / Acrobat Reader) pour pénétrer l’ordinateur. VIKEE permet notamment de corriger ses failles. On estime que les failles de sécurité sont responsables d’au moins une infection sur trois.

VirusKeeper 2015 dispose d’un nouveau moteur d’analyse capable de détecter et neutraliser toutes les formes de menaces actuelles : virus, vers, chevaux de Troie, spyware, malware, etc … Trois éditions de VK : l’édition  » Free  » version gratuite qui assure une protection de base du poste de travail. Cette version est adaptée pour un usage occasionnel de l’ordinateur et les profils peu exposés ; l’édition  » Professional « , qui fournit une protection complète  multi-niveaux contre les menaces actuelles : virus, vers, chevaux de Troie, spyware et programmes malveillants ; l’édition  » Ultimate « , qui fournit une protection de très haut niveau contre toutes les formes de menaces actuelles. La version Ultimate inclut également un parefeu intelligent (niveau TCP/IP et niveau applicatif), un scanner anti-grayware et Security Advisor un outil complémentaire de détection de failles de sécurité.

Offre de lancement promotionnelle : -60% sur le nouveau VirusKeeper 2015 Ultimate Edition Licence pour 3 PCs à 24.90 EUR au lieu de 59.90 EUR.

Cyber-attaque, Cybersécurité, Piratage, Virus

Un malware attaque les visiteurs de plusieurs gros sites Internationaux

Un commentaire

AOL, Match.com, Societe.com, ainsi que plusieurs autres importants sites Internet se sont retrouvés à diffuser, sans le savoir, des publicités aux contenus malveillants.

La semaine dernière, les chercheurs de la société Proofpoint ont détecté de nombreux sites web à fort trafic touchés par une campagne de malvertising, des publicités piégées ayant pour mission d’infiltrer les ordinateurs des visiteurs. Plusieurs dizaines d’importants espaces ont été touchés, dont le français societe.com ou encore Match.com et des domaines appartenant à AOL et Yahoo!

3 millions de visiteurs, par jour, ont pu être touchés par cette attaque. L’idée des pirates est d’utiliser les canaux de diffusion de publicités en ligne pour piéger des ordinateurs (sous Windows, NDLR), mais aussi des smartphones et tablettes (sous android, NDLR), via des logiciels espions. Exploiter des failles de régies pubs offre aux pirates une vivier de « clients » potentiellement énorme.

Les attaques malvertising sont particulièrement difficiles à détecter parce que la plupart des publicités sur les sites diffuseurs  proviennent de plusieurs réseaux publicitaires, et donc, changent selon les visiteurs. Parmi les diffuseurs realestate.aol.com, theatlantic.com, 9GAG, match.com ou encore theage.com.au, stuff.co.nz, societe.com, beaconnews.suntimes.com. [proofpoint.com]

Cybersécurité, Drupal, Entreprise, Fuite de données, Joomla, Logiciels, Mise à jour, Patch, Propriété Industrielle, Sécurité, Wordpress, Wordpress

Les attaques visant les applications Web se multiplient

Applications de vente en ligne, sites hébergeant des données de consommateurs ainsi que WordPress sont aujourd’hui les principales cibles de ce type d’attaque.

Imperva, spécialiste en solutions de sécurité informatique, a publié les résultats de sa cinquième enquête annuelle consacrée aux attaques visant les applications Web (Webannuel Report Application Attack : WAAR). Réalisé par l’Application Defense Center(ADC), la cellule de recherche d’Imperva, ce rapport analyse un échantillon de 99 applications protégées par le pare-feu applicatif Web d’Imperva(WAF) sur une période de neuf mois (du 1er Août 2013 au 30 Avril 2014). Les principaux enseignements de cette édition font état d’une augmentation significative du trafic malveillant (dont on notait déjà l’explosion dans le précédent rapport), ils révèlent que les applications de vente en ligne sont les plus sensibles pour ce type d’attaque et que WordPress est l’application la plus attaquée. Enfin, les États-Unis se distinguent comme le pays d’origine de la majorité du trafic des attaques d’applications Web dans le monde.

Ce cinquième rapport témoigne d’une augmentation de 10% des attaques par SQL injection (SQLI), ainsi que d’une hausse de 24% des attaques par inclusion de fichier à distance (RFI). L’équipe de recherche de l’ADC a de plus constaté que la durée des attaques s’est considérablement prolongée ; Leur durée s’est en effet allongée de 44% par rapport au précédent rapport WAAR.

48,1% des campagnes d’attaque visent les applications de vente en ligne, suivie par les institutions financières qui représentent 10% des attaques.     Les sites conçus sous WordPress ont subit 24,1% d’attaques en plus que les sites Web qui utilisent d’autres systèmes de gestion de contenu (CMS), on observe également que WordPress souffre davantage (60% de plus) d’incidents de Cross Site Scripting (XSS) que les autres sites. Les applications PHP subissent trois fois plus d’attaques XSS que les applications .NET. Les sites Web qui ont une fonctionnalité « log-in », et qui contiennent par conséquent des données spécifiques aux consommateurs, représentent 59% de toutes les attaques, et 63% des injections SQL.

« Après des années à analyser les attaques de données ainsi que leurs origines, le rapport de cette année indique que les hackers quelque soient leur pays d’origine hébergent leurs attaques aux Etats-Unis afin d’être géographiquement plus proche de leurs cibles. Cela explique pourquoi les États-Unis génèrent la majorité du trafic mondial des attaques d’applications web », indique Amichai Shulman, Directeur de la technologie chez Imperva à Datasecuritybreach.fr. « En regardant de plus près d’autres sources d’attaques, nous nous sommes aperçus que les infrastructures-as-a-Service (IaaS) étaient de plus en plus utilisées par les hackers. Pour exemple, 20% des tentatives d’exploitation de vulnérabilités connues proviennent d’ Amazon Web Services. Mais ce n’est pas le seul; car le phénomène se développe et les autres fournisseurs de ce type d’infrastructures (IaaS) doivent être particulièrement vigilants quant à la compromission de leurs serveurs. Les hackers ne sont pas sélectifs quand il s’agit d’atteindre un Data Center ».

Cyber-attaque, Cybersécurité, DDoS, Piratage

Lancement d’Antibot France

Un commentaire

Le CECyF – Centre Expert contre la Cybercriminalité Français et Signal-Spam ont lancé le 20 octobre 2014 Antibot France, un site d’information de prévention sur les botnets, membre du réseau européen du projet pilote Advanced Cyber Defence Centre.

Un botnet est formé par la connexion à un système de commande et de contrôle de plusieurs dizaines, centaines, voire milliers ou plus de systèmes infectés par un logiciel malveillant. Les botnets ont de nombreux usages comme: envoyer du courrier électronique non sollicité (spam), réaliser des attaques en déni de service distribué, détourner des informations confidentielles sur les machines contaminées (comme des mots de passe, l’accès à un compte bancaire), héberger des contenus illicites ou encore installer d’autres virus.

Le site www.antibot.fr informe sur ce que sont les botnets, comment ils se propagent – et donc en particulier comment un système numérique est contaminé par un virus aujourd’hui, mais aussi propose des moyens de s’en protéger et de nettoyer son ordinateur.

Le site comporte un blog qui diffusera régulièrement des articles informant sur l’actualité des botnets, propose parmi les outils de nettoyage des solutions qui ont été développés dans le cadre du projet Européen Advanced Cyber Defence Centre comme EU Cleaner ou Check and Secure un outil de diagnostic en ligne.

A noter, que les instigateurs de ce projet organisent le Botconf’14. The botnet fighting conference à Nancy, du 3 au 5 Décembre 2014.

BYOD, Cybersécurité

Un projet big data pour sécuriser les voies ferrées, fausse bonne idée ?

Renforcer la sécurité et améliorer la surveillance des installations est une problématique constante pour la SNCF et réseau ferré de France (RFF), sociétés en charges des voies ferrées françaises.

Pour répondre à cette problématique, le projet « vigirail » a été lancé suite à aux accidents ayant marqués l’année 2013, et notamment le déraillement en juillet 2013 de Brétigny-sur-Orge, ayant fait 61 blessés et 7 morts. La SNCF et RFF ont ainsi décidé d’investir 410 millions d’euros dans des technologies de pointe avec le plan vigirail, commencé cette année, et qui prendra fin en 2017. Le but est simple : mettre à profit les nouvelles technologies et industrialiser les process pour fournir des informations en temps réels sur l’état des infrastructures et ainsi éviter d’autres drames. Mais cet investissement pourrait se révéler infructueux, voire dommageable, si l’anticipation n’est pas au rendez-vous.

Ce plan se décompose en trois grandes catégories :
–         La mise en place progressive dès janvier 2015 d’engins chargés de la surveillance des installations, grâce à la présence sous le train de caméras HD. Via ces prises de vues, les anomalies sur les voies seront automatiquement détectées et répertoriées.

–         Le lancement, en juillet 2014, de la plateforme « Alerte express » permettant de signaler les anomalies techniques sur les voies ferrées, anomalies qui seront par la suite mise en forme et envoyées aux agents automatiquement

–         Les applications à destination des agents sur le terrain. A terme une dizaine d’applications seront déployées sur les 13 000 smartphones et tablettes des agents dès mars 2015 afin qu’ils puissent répertorier toutes les informations utiles.

Compte tenu de l’ampleur des installations à observer, environ 29 000 kilomètres de rails, et le nombre d’agents équipés, on imagine aisément la quantité importante de données à traiter, dans des délais parfois courts. Quantité à laquelle s’ajoutent les données déjà présentes sur le réseau permettant le bon fonctionnement de l’entreprise.

De plus, la SNCF et RFF disposant de nombreux sites physiques sur toute la France, la gestion des données sera sans aucun doute multi-sites, augmentant ainsi le traffic de données et par conséquent la possibilité de dysfonctionnements. Ce surplus de données, s’il n’est pas anticipé et géré convenablement, rendra vain le projet vigirail et pourra même impacter négativement l’ensemble de l’infrastructure informatique.

Les nouvelles technologies sont une aubaine en termes de sécurité, mais pour avoir un impact  positif il faut s’assurer que le réseau puisse gérer toutes ces informations en temps réel, et qu’elles soient disponibles pour tous et à tout moment. Pour cela, pas de mystère, en plus d’une analyse poussée des besoins, il faut impérativement anticiper et mettre en place un outil de gestion et de monitoring réseau. Un outil efficace répond à deux impératifs :

–                    Une interface unifiée : Les entreprises accumulent bien souvent au fil du temps les outils de contrôle réseau, or ces derniers ne sont pas toujours capables de communiquer entre eux. L’administrateur n’a donc pas une vision globale du réseau, les risques de bug informatiques et le temps passé à surveiller le réseau sont donc accrus.

–                    Des alertes et réparations automatiques : La disponibilité réseau doit être continue. Les éventuels problèmes de performance et leurs causes doivent donc être repérées à l’avance, ce qui permettra la mise en place d’alertes et de réparations automatiques.  L’anomalie sera alors réparée avant même que le réseau aient pu être impacté par un quelconque ralentissement.

Ces avancées technologiques pourraient considérablement faciliter l’entretien et la surveillance des voies ferrées, améliorant ainsi la sécurité. Cependant, sans un monitoring réseau efficace, toutes ses données pèseront lourd sur le système informatique et risque de saturer ce dernier, qui sera donc indisponible, entrainant autant de désagrément pour les passagers que pour les employés de la SNCF. (Par Yannick Hello, Responsable S-EMEA chez Ipswitch, Inc pour DataSecurityBreach.fr)