Une étude révèle une nouvelle tactique furtive utilisée par des applications malveillantes sur le Google Play Store consistant à cliquer automatiquement et sournoisement sur les annonces publicitaires pour générer du profit.
Cette technique furtive récemment découverte utilise des publicités intégrées – stratégiquement positionnées au-delà de la zone d’écran visible d’un appareil mobile – pour lancer un processus automatisé de clic publicitaire qui génère furtivement des revenus pour des acteurs à risque.
Deux applications populaires (IDEO Note et Beauty Fitness) présentes sur le Google Play Store.
Elle compte plus de 1,5 million de téléchargements à elles deux. Elles ont un comportement trompeur découvert par Symantec.
Les utilisateurs de téléphones mobiles affectés peuvent voir leur batterie s’épuiser. Les performances ralenties. Une augmentation de l’utilisation des données mobiles en raison de visites fréquentes sur les sites publicitaires.
L’application bloc-notes et l’app de mise en forme sont codées avec l’outil légitime développé à l’origine pour protéger la propriété intellectuelle des créations sous Android.
Cela explique également la capacité du développeur à rester sur le Play Store. Sous le radar pendant près d’un an avant détection. (étude)
Échappant aux mesures de sécurité traditionnelles, les menaces 2019 mettent les systèmes de défense à rude épreuve.
Un rapport publié met en évidence une recrudescence des attaques sans fichiers (fileless) visant à masquer des activités malveillantes. En comparaison avec le premier semestre 2018, les détections de cette menace spécifique ont augmenté de 265 %. Des analyses courant sur le premier semestre 2019.
Jusqu’à présent, les constatations réalisées en 2019 confirment bon nombre des prévisions faites par Trend Micro en fin d’année dernière. Les attaquants redoublent notamment d’efforts pour cibler les entreprises et les environnements offrant le plus grand retour sur investissement.
« Sophistication et discrétion sont aujourd’hui les maîtres mots en matière de cybersécurité, à mesure que les technologies au sein des entreprises et que les attaques des cybercriminels deviennent plus connectées et intelligentes », souligne Renaud Bidou, Directeur Technique Europe du Sud, Trend Micro. « Nous avons pu constater que les hackers ont des objectifs précis, avec des attaques ciblées et ingénieuses qui exploitent de manière furtive le facteur humain, les processus et la technologie. Cependant du côté des entreprises, avec la transformation numérique et les migrations vers le Cloud, la surface d’attaque s’est considérablement élargie. Pour faire face à cette évolution, les organisations ont besoin d’un partenaire technologique capable de combiner l’expertise humaine à des technologies de sécurité avancées afin de mieux détecter, corréler, traiter et contrecarrer les menaces. »
Parallèlement à la prolifération des attaques sans fichiers, les cybercriminels déploient de plus en plus de menaces non détectables via les filtres de sécurité classiques, car elles peuvent être exécutées en mémoire d’un système, résider dans la base de registre ou usurper des outils légitimes. Les kits d’exploits reviennent également en force, avec une augmentation de 136 % en comparaison de la même période en 2018.
Attaque Fileless
Les malwares destinés au minage de cryptomonnaies demeurent la menace la plus détectée au premier semestre 2019 et touchent de plus en plus les serveurs et les environnements Cloud. Autre prévision corroborée : le nombre de routeurs impliqués dans de potentielles attaques entrantes a bondi de 64 % comparé au premier semestre 2018, avec davantage de variantes de Mirai recherchant des appareils vulnérables.
En outre, le nombre de stratagèmes d’extorsion numérique connaît une hausse de 319 % par rapport au second semestre 2018, ce qui concorde avec les projections précédentes. Les attaques de type BEC (Business Email Compromise) constituent toujours une menace substantielle, avec une augmentation de 52 % des cas détectés comparativement aux six derniers mois. Les fichiers, e-mails et URL liés aux ransomwares continuent également de se multiplier (+77 % au cours de la même période).
Au total, 26,8 milliards de menaces au cours du premier semestre 2019 ont été bloquées, soit 6 milliards de plus qu’à la même période l’année dernière. À noter que, dans 91 % des cas, l’e-mail a été le vecteur d’infection des réseaux d’entreprises. (Rapport)
Après vous avoir proposé de découvrir les méthodes de double authentification offertes sur le web, Google ou encore la Yubico, voici la présentation de la Solo Tap Hacker de chez Solokeys !
Les tests que nous vous proposons sur les matériels de cybersécurité vous plaisent. Vos messages nous font plaisir et nous incitent à vous en proposer d’autres. Après vous avoir fait découvrir la double authentification de Google, Facebook, Linkedin, de l’administration d’un site web sous WordPress. Après la découverte des clés 2FA/FIDO de chez Yubico ou encore la Titan Security Key de chez Google. Voici le test de la Solokeys.
Solokeys, kesako
La solution de cybersécurité Solokeys à le goût de la clé de chez Google ; la couleur de la clé de chez Yubiko mais sa force se cache ailleurs. Cette double authentification physique tire sa force de sa communauté. C’est la première Fido Security Key open source. Bilan, les « codeurs » qui veulent mettre leur nez dans l’objet et sa programmation sont attendus les bras ouverts. Plusieurs versions sont proposées. J’ai testé la SOLO (USB) et la SOLO TAP (USB et le sans contact). Il est possible de recevoir la clé en mode « développeur ». Compter 20€ pour la SOLO ; 35€ pour la TAP. La version « je mets mes doigts dedans » coûte 20euros.
Test de la Solokeys
Le packaging arrive par la poste dans une enveloppe à bulle. J’avoue que pour avoir eu des colis de ce type arriver dans le même type d’enveloppe me laisse des sueurs froides sur le front. Je me souviens encore de cette enveloppe à bulle… et les traces de roues de ce qui semblait être une moto. L’objet à l’intérieur était littéralement DÉFONCÉ !
En ce qui concerne la SoloKeys, pas de problème. Le colis est arrivé en 20 jours après le paiement.
Les clés sont dans une seconde enveloppe métallisée, celle qui protègent les appareils électroniques de l’électricité statique. Selon la clé, vous recevrez dans votre colis la clé nue et deux protections en caoutchouc. A noter que j’ai cassé une des clés commandées rien qu’en tentant de mettre la protection noire. La clé à fait… crick, crack. Je mettrais cela sur mon petit côté « gros doigts de bourrin ». Une fois la seconde clé protégée par sa ganse rouge, son utilisation est fort simple. D’ailleurs, la page proposant sa mise en route est l’une des plus claire rencontrée. Pour authentifier la clé, il suffit de se rendre dans les espaces de Validation en deux étapes et activer la clé. Google c’est par ici ; Facebook c’est par là.
La SoloKeys est très simple d’utilisation… et modifiable. Son code est open source.
Résistance et confiance ?
La force de la Solo keys réside dans son code source ouvert. Son matériel (fabrication) l’est tout autant. Autre détail loin d’être négligeable, surtout pour ceux qui craignent les Américains, les Russes, la Corée du Nord et les extraterrestres, le processeur et le circuit imprimé sont fabriqués et programmés en Europe. Côté résistance physique. Comme déjà indiqué, j’ai « cassé » une clé en voulant la placer dans son étui en latex. J’en ai cassé une autre en voulant l’accrocher à un porte clé. Côté étanchéité. Un passage en machine à laver n’a pas altérée le fonctionnement de la clé.
En conclusion. La Solokeys Une excellente alternative pour ceux qui ne souhaitent pas passer par les géants du secteur. La double authentification étant un outil indispensable dans votre panoplie cybersécurité.
960 000 ordinateurs de part le monde désinfectés du code malveillant Retadup par le centre de lutte contre les criminalités numériques de la Gendarmerie Nationale.
Les militaires du centre de lutte contre les criminalités numériques (C3N) ont frappé fort en faisant taire le code malveillant Retadup. Après une prise de contrôle du serveur permettant de contrôler plus de 960 000 machines de part le monde, les cyber gendarmes ont désinfectés les machines zombies.
Un sacré coup de frein aux actions malveillantes d’un groupe de pirates connus pour agir de Palestine.
Retadup est un cheval de Troie permettant de surveiller un ordinateur, intercepter les frappes claviers. Il peut aussi mettre la main sur les données financières, dont des cryptomonnaies. ZATAZ explique que la furtivité du logiciel pirate fait de lui un code malveillant redoutable.
Retour en force du spam via l’agenda Google. Une attaque que les malveillants ressortent de leur tiroir.
Plusieurs lecteurs de Data Security Breach se sont étonnés de mystérieux messages apparus dans leur agenda Google. Des rendez-vous proposant des rencontres via des sites pour adultes.
Bref, un spam et des publicités non sollicités via ce support.
La technique est assez simple, elle permet des phishings efficace.
L’interlocuteur malveillant annonce un rendez-vous avec vous. Si vous avez mal configuré votre compte Agenda, le rendez-vous s’affiche dans votre agenda. J’avoue profiter de cette option chez des potes qui utilisent l’enceinte connectée Google et l’Agenda. Cela permet d’énoncer des rendez-vous… particuliers !
Ce qui est intéressant est que l’alerte mail termine dans les spams. Mais l’Agenda valide l’invitation. En juin 2019, Kaspersky se faisait l’écho de ce spam.
Originalité des pirates
Les menaces de spam et de phishing qui exploitent des vecteurs d’attaque non traditionnels peuvent être lucratives pour les criminels, car elles peuvent souvent tromper avec succès des utilisateurs qui pourraient ne pas craindre une attaque plus évidente.
Cela est particulièrement vrai en ce qui concerne les services légitimes de confiance, tels que les fonctionnalités de calendrier de messagerie, qui peuvent être exploitées via ce qu’on appelle le « phishing de calendrier« .
Dans cette attaque, les agenda se retrouvent avec des rendez-vous qui se répètent sur 7 jours.
La force de Google étant aussi la géolocalisation. Les spammeurs intègrent des invitations personnalisées selon votre localisation. Bilan, les annonces affichent l’Apple Store le plus proche de chez vous pour être plus convaincant.
Pour vous protéger, rien de plus simple.
Désactivez l’ajout automatique d’invitations à votre calendrier. Pour ce faire, ouvrez Google Agenda, cliquez sur les paramètres, puis sur Paramètres d’événement.
Pour l’option « ajouter automatiquement des invitations« , cliquez sur le menu déroulant et sélectionnez « Non, ne montrer que les invitations auxquelles j’ai répondu« .
En dessous, dans la section Options d’affichage, assurez-vous que la case « Afficher les événements refusés » ne soit PAS cochée, à moins que vous ne souhaitiez spécifiquement les afficher.
Castrum.io, une jeune pousse de la cybersécurité Française propose une solution pour sécuriser vos transferts de fichiers. Découverte !
Castrum est un projet 100% Français. Mission, permettre une sécurité optimale dans le transfert de fichier.
L’idée est apparue en 2016 via la SSII Ex Algebra. Depuis, la jeune pousse de la cybersécurité a mûri son projet au point que des cabinets d’avocats utilisent ce service.
Castrum.io se veut un projet permettant de proposer un système de gestion de fichier, un peu à la Dropbox. Mission, partager des fichiers, tout en gardant le contrôle total sur le partage.
« Nous sommes parti d’un constat simple,explique Michel Gashet, les partages de fichiers débutent très souvent par un mail, non chiffré. Perte complète du contrôle, l’information reste dans la boite électronique du destinataire« . Bilan, Castrum se propose de servir d’espace de stockage sécurisé afin de partager vos fichiers.
Il est possible de paramétrer un mot de passe pour accéder au fichier (Il n’est pas envoyé dans le mail qui communique le lien d’accès). Le diffuseur doit partager le mot de passe par un autre moyen de contact de confiance : téléphone, remise en main propre.
Une durée d’expiration du lien (valide un mois, par exemple); un nombre d’accès autorisé (pas plus d’un certain nombre). Et même la possibilité d’autodétruire le fichier quand son partage a expiré.
L’hébergement se fait uniquement en France. Chaque client à son propre serveur. Les disques sont chiffrés.
Comment ça marche ?
Après la connexion, vous choisissez le fichier à partager. Taille maximale de ce dernier, 1Go (dans la version démo). Une taille qui pourra évoluer selon les besoins. Un studio de création graphique utilisateur diffuse du 8Go sans problème.
Vous l’envoyez sur votre serveur sécurisé Castrum.
Il ne reste plus qu’à envoyer un mail ou de récupérer le lien de téléchargement. Une adresse web codée à communiquer à votre contact.
Les actions s’affichent dans votre administration. « Le fichier « 92829 », partagé le 27/08/2019, n’a pas encore été chargé. Quand ce dernier a été vu, votre admin l’affiche avec le nombre de téléchargement. J’avoue que rajouter l’heure et la zone géographique du téléchargement pourrait rassurer. En cas d’interception, cela pourrait être un détail important d’action rapide. L’heure est cependant disponible dans l’espace « fichier partagé ».
Côté coût, 38 euros HT/mois pour 500 fichiers partagés par jour, maximum 2 Go par fichier. Parfait pour une PME/PMI qui souhaite utiliser un canal chiffré et contrôlé de bout en bout (exemple d’utilisation moyen pour une PME). « Un nombre de fichier qui peut évoluer sans surcoût« .
Bref, une idée qui germe de manière fort sympathique. Castrum est RGPD-ready. Le site vous simplifie toutes les étapes pour le respect des données personnelles. Parmi les projets à venir, l’accès aux logs plus poussés des fichiers partagés comme permettre d’avoir des preuves d’accès aux fichiers et de la moindre action sur le compte.
Les services secrets ukrainiens viennent de mettre la main sur du matériel pirate dans la seconde centrale nucléaire du pays. Quelqu’un minait de la cryptomonnaie.
Ce n’est pas un cas unique, la Russie et de nombreuses universités ont déjà eu à faire à ce genre d’infiltration. La seconde centrale nucléaire d’Ukraine était exploitée par un pirate pas comme les autres. Les services secrets du pays ont découvert du matériel permettant de miner des cryptomonnaies. L’usine, située à Yuzhnoukrainsk, hébergeait six cartes vidéo Radeon RX 470.
Du matos caché dans une aile administrative. Elle n’était pas en lien direct avec la centrale. Le fait d’utiliser les ressources de la société est un délit.
Le même jour, des perquisitions effectuées dans les locaux utilisés par l’unité militaire 3044 (Garde nationale de l’Ukraine – Éd.), Située sur le territoire de la centrale nucléaire du sud de l’Ukraine. À la suite de la recherche, 16 cartes vidéo, une unité centrale avec le numéro d’inventaire de l’unité militaire, sept disques durs, deux disques SSD, un lecteur flash USB et un routeur saisis .
De fuites…
2017, les activistes du mouvement éclair mobilisateur #fuckresponsibledisclosure initié par l’Ukernian Cyber Alliance constatent des problèmes de sécurité chez Energoatom.
Décembre 2017, l’hacktiviste Dmitry Orlov signale une fuite de données à la centrale nucléaire de Zaporizhzhya. Accès libre à la documentation interne.
Octobre 2018, Alexander Galouchtchenko, expert en sécurité, découvre des documents liés aux travaux de la centrale nucléaire.
19 mars 2019, la police ouvre une procédure pénale pour un cas d’ingérence dans le fonctionnement du réseau de la centrale. Trois employés du département de la sécurité nucléaire impliqués.
Et demain ?
En 2015, Data Security Breach vous expliquait comment des chercheurs s’inquiétaient des installations. De plus et plus dépendantes des systèmes numériques. la sensibilisation de haut niveau des menaces liées à la cybersécurité stagne. « Les récentes attaques de grande envergure ont soulevé de nouvelles inquiétudes concernant les failles de sécurité des cyber d’installations nucléaires », commentait le rapport.
Pour de nombreuses normes de conformité, vous devez être en mesure de répondre à certaines questions comme « Qui a accédé à quel fichier ? Quels changements ont eu lieu ? ». Pour des raisons évidentes de sécurité, vous devez être capable d’identifier facilement une activité sur vos fichiers et dossiers partagés les plus sensibles et de réagir en cas de menace. Explication par notre partenaire IS Decisions.
FileAudit offre à la fois aux professionnels de l’informatique une visibilité optimale les données de l’entreprise, mais également une possibilité de réagir rapidement aux événements.
Trouver les derniers fichiers consultés/modifiés
Une fois l’audit configuré, je peux voir en temps réel les accès qui se produisent sur les partages que j’ai sélectionnés, à partir de l’observateur d’accès.
Je peux voir la date et l’heure, le fichier ou le dossier auquel on a accédé, le type d’accès, le refus ou l’octroi, l’utilisateur qui a tenté d’accéder au fichier, la machine à partir de laquelle l’accès a été effectué avec son adresse IP et le serveur sur lequel le fichier est stocké.
Surveiller les accès refusés
Lorsque je suis sur l’observateur d’accès, je peux facilement voir qu’il existe des accès refusés à certains dossiers. Je peux donc aller de l’avant et examiner de plus près ce dossier pour voir qui a tenté d’y accédé. Nous prendrons ici l’exemple d’un utilisateur dénommé Alice et de dossiers appelés « Accounting » et « Peopleopps ».
Je vais ensuite regarder de plus près l’activité générale de cet utilisateur en cliquant sur son nom d’utilisateur. J’obtiens un tableau de bord de l’activité d’Alice des derniers jours et semaines.
Cela me permet de voir s’il y a eu beaucoup d’accès refusé par cet utilisateur. Je peux faire défiler davantage et voir tous ces accès vers tous ces fichiers et dossiers qui ont été lus à la même heure le même jour. S’ils se sont produits simultanément, cela peut m’amener à penser qu’Alice sélectionne un grand nombre de fichiers et les copie sur un lecteur externe ou éventuellement sur son bureau.
Une fois cette vue détaillée obtenue, je peux l’exporter au format PDF au cas où je souhaiterais l’envoyer à un responsable ou au cas où d’autres alertes viendraient de cet utilisateur.
Définir des alertes
La prochaine étape que je souhaite mettre en place consiste à envoyer des alertes proactives au cas où de tels accès se reproduiraient. Je peux donc accéder à l’onglet d’alertes et à partir de là créer mes alertes.
Ce que je vais faire en premier lieu, c’est créer une alerte d’accès unique pour les accès refusés sur les dossiers sensibles Accounting et Peopleops.
Très facilement, il me suffit de sélectionner le statut d’accès « refusé », de laisser tous les types d’accès et d’entrer l’utilisateur Alice. Il faut ensuite sélectionner les deux chemins que nous avons vus précédemment, Accounting et Peopleopps et valider. Je peux enfin simplement choisir le destinataire de l’e-mail et je peux également ajouter un canal Slack où tous les administrateurs recevront des messages afin qu’ils puissent les voir également.
La deuxième alerte que je vais mettre en place s’agit d’une alerte d’accès en masse pour Alice, en raison de l’activité sur plusieurs fichiers ou dossiers accédés en même temps, montrant qu’elle pourrait copier ou déplacer un grand nombre de fichier.
Je vais laisser le statut et les types d’accès, je vais juste ajouter ici à nouveau notre utilisateur Alice et je vais définir un seuil que je vais définir assez bas. Je vais dire que si 25 fichiers ou dossiers sont consultés en l’espace de 30 secondes, j’aimerais que cette alerte soit déclenchée. Pour les chemins à surveiller, je vais mettre tout ce qui est audité, je ne vais pas exclure d’heures, mais je vais ajouter les destinataires de l’e-mail et choisir les mêmes qu’auparavant, l’e-mail de l’administrateur et mon canal Slack qui reçoit toutes ces alertes. Il suffit de valider, sauvegarder cette alerte et maintenant, j’ai la configuration de mes deux alertes.
Réagir aux alertes d’accès suspects
En plus de la surveillance en temps réel et de l’identification des menaces, vous devez être en mesure d’agir sur les menaces potentielles.
FileAudit peut réagir immédiatement à une alerte sans avoir à attendre que le service informatique intervienne. Un script personnalisé peut être créé et exécuté chaque fois qu’une alerte spécifique est déclenchée.
Je peux par exemple arrêter la machine d’Alice ou bien la déconnecter. Cela me permet d’agir sur les menaces potentielles avant que tout dommage ne soit causé.
C’est ainsi que vous pouvez utiliser FileAudit pour voir les accès sur vos fichiers ou vos dossiers, générer des rapports, configurer des alertes de manière proactive et réagir en cas de comportement suspect sur votre réseau.
Intrusions : Un chercheur en cybersécurité a identifié un défaut de sécurité susceptible de transformer des centaines de milliers d’équilibreurs de charge en vecteurs de cyber attaques.
Des chercheurs en cybersécurité invitent les organisations utilisant l’équilibreur de charge BIG-IP de F5 Networks, à remédier aux problèmes de sécurité posés par plusieurs configurations.
BIG-IP est notamment populaire auprès des gouvernements, des banques et d’autres grandes entreprises. Mal configuré, cet équilibreur de charge peut servir de porte d’entrée pour les pirates informatiques. Ces derniers peuvent alors s’infiltrer sur les réseaux et effectuer de nombreuses attaques contre les entreprises et particuliers utilisant les services web gérés par le produit corrompu.
Le défaut de sécurité réside dans le langage de programmation Tcl utilisé pour définir les règles iRules (la fonctionnalité utilisée par BIG-IP pour diriger le trafic web entrant). Certaines pratiques de codage permettent aux hackers d’injecter des commandes Tcl arbitraires pouvant être exécutées dans le script Tcl cible.
Lorsqu’ils exploitent avec succès ces règles iRules mal configurées, les hackers peuvent utiliser le BIG-IP corrompu comme vecteur pour lancer d’autres attaques et réaliser des intrusions réseaux. Ils peuvent également intercepter et manipuler le trafic web, de manière à exposer des informations sensibles (identifiants, secrets d’application) ou à attaquer des utilisateurs des services web de l’organisation.
Exploiter un système vulnérable (CVE) peut parfois s’avérer aussi simple que d’entrer une commande ou une ligne de code dans le cadre d’une requête web : la technologie se charge du reste. Dans certains cas, le dispositif corrompu n’enregistre pas les actions du pirate informatique : aucune preuve de l’attaque ne peut alors être récupérée. Dans d’autres cas, le hacker peut effacer lui-même les logs retraçant ses opérations, entravant ainsi sérieusement tout travail d’enquête.
« Ce défaut de configuration est relativement sérieux puisqu’il permet au pirate d’opérer furtivement : il peut s’infiltrer, atteindre ses objectifs, puis effacer ses traces. Le problème est d’autant plus grave que, souvent, les entreprises ne sont pas aptes à identifier et résoudre les problèmes de sécurité cachés dans la chaîne d’approvisionnement logicielle », explique Christoffer Jerkeby, Senior Security Consultant chez F-Secure. « À moins de savoir quoi chercher, il est difficile d’anticiper un problème de sécurité de cette nature, ou pire, de le gérer en cas d’attaque.»
Christoffer Jerkeby a identifié plus de 300 000 instances actives de BIG-IP sur internet au cours de ses recherches mais il estime que, compte-tenu des limitations méthodologiques, le nombre réel pourrait être beaucoup plus élevé. (Note de la rédaction : les pirates n’ont pas attendu, depuis plusieurs semaines, via Shodan, le moteur de recherche, ils se servent allègrement).
Ce type de vulnérabilité n’est pas nouveau et est connu depuis un certain temps, tout comme d’autres vulnérabilités d’injection de commandes identifiées dans d’autres langages informatiques répandus. Toutes les entités utilisant BIG-IP ne sont pas concernées par ce problème de sécurité. Toutefois, cet équilibreur de charge est très répandu chez les organismes bancaires, les organisations gouvernementales et d’autres entités proposant des services en ligne très populaires. De ce fait, les enjeux sont grands et de nombreuses personnes sont concernées. Toutes les organisations utilisant cet équilibreur de charges doivent donc évaluer leur degré d’exposition.
« Si elles n’ont pas mené d’enquête approfondie sur cette technologie, il est fort probable que les entreprises utilisant cette technologie soient concernées par le problème. Même un professionnel extrêmement bien informé sur la sécurité peut laisser passer un tel défaut de configuration. Il est essentiel de sensibiliser les entreprises si nous souhaitons les aider à mieux se protéger contre ce vrai risque d’intrusion. »
Recommandations aux organisations
Il est possible de procéder à un balayage massif d’internet afin d’identifier et exploiter les instances vulnérables de cette technologie. Dans certains cas, ce processus peut même être automatisé. Ce problème de sécurité est donc susceptible d’attirer l’attention des chasseurs de bug bounty… et des pirates informatiques. De plus, des versions d’essai gratuites de BIG-IP sont proposées et il est possible d’accéder à une version cloud pour un coût minime, à partir d’AWS. F-Secure conseille donc aux organisations d’enquêter de manière proactive pour savoir si elles sont affectées ou non par ce défaut de sécurité, compte-tenu des risques encourus.
Christoffer Jerkeby a aidé à développer des outils libres et gratuits que les organisations peuvent utiliser pour identifier les configurations non sécurisées de leurs équilibreurs BIG-IP. Il souligne toutefois qu’il n’existe pas de solution miracle : les organisations doivent répondre elles-mêmes au problème.
« La bonne nouvelle, c’est que tous les utilisateurs ne sont pas affectés par ce défaut de sécurité. La mauvaise, c’est que ce type de problème ne peut pas être résolu par un simple patch ou une simple mise à jour : il appartient aux organisations de vérifier si elles ont ce problème et de le résoudre si c’est le cas», explique-t-il. « Quiconque utilise BIG-IP doit donc se montrer pro-actif.»
Des chercheurs découvrent une série de campagnes de spam ciblant spécifiquement la France. Ces campagnes distribuent un code malveillant baptisé Varenyky. À l’image de beaucoup d’autres bots de ce type, Varenyky peut bien sûr envoyer du spam ou voler des mots de passe. Mais là où il se distingue, c’est qu’il est aussi capable d’espionner les écrans de ses victimes lorsqu’elles regardent du contenu sexuel en ligne.
Cette campagne de spam est apparue sur le radar des chercheurs ESET lors d’un premier pic de distribution en mai 2019, et n’a pas cessé d’évoluer depuis. « Nous pensons que ce spambot est en plein développement, car il a considérablement changé depuis la première fois que nous l’avons vu. Comme toujours, nous recommandons aux utilisateurs d’être prudents lorsqu’ils ouvrent des pièces jointes de sources inconnues et de s’assurer que leur système et leurs logiciels de sécurité sont tous à jour », explique Alexis Dorais-Joncas, chercheur principal au centre de R&D ESET à Montréal.
Les victimes de Varenyky sont en effet infectées en ouvrant une pièce jointe malveillante reçue dans un spam.
Pour changer, écrit dans un très bon français, ce qui pourrait indiquer que ses opérateurs parlent couramment notre langue. Une fois ouvert, le document exécute la charge utile malveillante, qui amorce à son tour le processus d’infection.
Utilisation de Tor
Enfin, à la fin de l’infection, Varenyky se met au travail et lance le logiciel Tor.
Il établit une communication anonyme avec son serveur de Commandes & Contrôle. À partir de ce moment, l’activité criminelle à proprement parler peut commencer. Le code malveillant lancera deux tâches en parallèle : diffusion de spams. Exécution sur l’ordinateur de la victime des commandes reçues depuis son serveur contrôle.
« L’une de ses capacités les plus dangereuses est qu’il recherche des mots-clés spécifiques tels que le terme ‘bitcoin’ et des mots en correspondance avec la pornographie. détaille Alexis Dorais-Joncas. Varenyky commence alors à enregistrer l’écran de l’ordinateur et télécharge ensuite l’enregistrement sur le serveur C&C », ajoute le chercheur.
Les commandes dont disposent les opérateurs leur permettent en effet de prendre des captures d’écran, mais aussi de lire les textes qui s’y affichent.
Nous connaissions déjà bien entendu les fausses campagnes de sextorsion, dans lesquels les criminels ne détenaient pas réellement d’images incriminantes de la victime. Mais la diffusion de Varenyky pourrait très bien conduire cette fois à de véritables campagnes de ce type. Sans compter l’autofinancement en parallèle par la capacité de vol d’identifiants des portefeuilles Bitcoin.
« Il faut également ajouter que Varenyky est aussi capable de voler les mots de passe, grâce au déploiement d’une application potentiellement dangereuse », explique Alexis Dorais-Joncas.
Intéressant, mais étonnant ! Quel intérêt pour un code malveillant de filmer les sites pornos ! Il aurait été plus judicieux d’allumer la webcam présente pour filmer le visiteur. Une perte de temps, d’énergie et d’outil. Quel est la chance de tomber sur un internaute qui possède du Bitcoin et qui visite des sites pour adultes. Trop peu pour que cet outil soit rentable !
Les centres de recherche ESET ont mis à jour une vaste campagne de cyber-espionnage en cours contre des cibles très sensibles en Amérique latine. Plus de la moitié des ordinateurs attaqués appartiennent notamment aux forces militaires vénézuéliennes. Mais cette campagne cible également d’autres institutions nationales, allant de la police à l’éducation, en passant par les affaires étrangères.
La majorité des attaques (75 %) concerne le Venezuela, et 16 % l’Équateur, où les forces armées ont également été ciblées.
L’opération est attribuée au groupe Machete. Celui-ci aurait déjà dérobé Nonà ses victimes plusieurs giga-octets de documents confidentiels par semaine. La campagne est toujours très active et intervient à un moment où les tensions régionales s’exacerbent et où les tensions internationales entre les États-Unis et le Venezuela sont au plus fort.
Les chercheurs d’ESET ont suivi une nouvelle version des outils « Machete » (la boîte à outils du groupe) qui a été vue pour la première fois il y a un an. En seulement trois mois, de mars à mai 2019, ESET a ainsi pu observer plus de 50 ordinateurs victimes communiquer avec des serveurs de commandes et de contrôle (C&C) appartenant aux cyber-espions. Les chercheurs ont également pu observer les attaquants apporter régulièrement des modifications au malware, à son infrastructure et même aux campagnes de phishing en cours.
« Les opérateurs de Machete utilisent des techniques d’hameçonnage ciblé très efficaces. Leur longue série d’attaques, axées sur les pays d’Amérique latine, leur a permis de recueillir des renseignements et d’affiner leurs tactiques au fil des ans. Ils connaissent très bien leurs cibles, savent comment se fondre dans les communications régulières et quels documents sont les plus précieux à voler », explique Matias Porolli, chercheur en cybersécurité chez ESET. « Par exemple, les attaquants s’intéressent de près aux fichiers utilisés par les systèmes d’information géographique (SIG). Et ils exfiltrent en particulier ceux qui décrivent des routes de navigation et des positionnements exprimés à l’aide de grilles militaires », ajoute-t-il.
Les experts en sécurité de G DATA ont compté plus de 10 000 nouvelles applications malveillantes chaque jour au cours du premier semestre 2019. Près de 2 millions de nouvelles applications malveillantes au cours des six premiers mois de 2019. En moyenne cela représente une application infectée pour Android qui apparaît toutes les huit secondes.
Le nombre de nouvelles applications malveillantes pour les appareils Android a légèrement diminué au premier semestre 2019. Alors que les experts de G DATA avaient comptabilisé plus de 2 millions d’applications infectées entre janvier et juin 2018, ils en ont trouvé 1,85 million cette année. « Le risque pour les smartphones et autres appareils mobiles reste très élevé « , déclare Alexander Burris, chercheur mobile en chef chez G DATA. « Parce que les smartphones sont devenus des compagnons indispensables, ils sont une cible attrayante pour les cybercriminels. Les logiciels publicitaires ou de rançon, qui nuisent directement à l’utilisateur, sont particulièrement lucratifs. » Fin juin, le nombre total d’applications malveillantes connues s’élevait à près de 94,2 millions.
Trop de versions d’Android
Le potentiel de menace toujours élevé d’Android est favorisé par la forte fragmentation du système d’exploitation. Actuellement, seulement 10 % du parc Android dispose de la dernière version 9. Quant à Android 8 – Oreo – il est seulement utilisé sur 28 % des appareils en circulation. Cela signifie que près de 60 % des appareils utilisent encore des versions datant d’avant août 2017, autrement dit qui sont totalement obsolètes.
Le label Android One de Google tend à corriger ce problème. En optant pour un smartphone portant ce label, l’acheteur est assuré que son appareil recevra les mises à jour du système pendant 2 ans.
L’annonce de la conversion d’une grande partie de l’infrastructure de mise à jour vers la nouvelle version Android Q et de la mise à jour des composants du système indépendamment des surcouches des fabricants permet également d’espérer que le problème des mises à jour sera résolu à terme.
Appareils obsolètes et imports bon marché
Les systèmes d’exploitation et les smartphones obsolètes qui n’ont pas les correctifs les plus récents permettent aux pirates d’installer facilement des logiciels malveillants sur l’appareil. Les raisons de cette situation sont doubles : soit il n’y a pas de mises à jour pour l’appareil, soit les clients ne les installent pas. Mais il peut également arriver que des appareils bon marché importés d’Asie soient vendus avec des logiciels malveillants préinstallés. Ces logiciels malveillants, principalement des spywares, permettent au constructeur malhonnête de récolter des informations sur l’utilisateur et de monétiser ce client par l’affichage de publicités ou l’installation d’applications à son insu. Bref, un logiciel de supervision destiné aux DSI peut faire parti de l’arsenal pour surveiller les installations « bancales ».
Haro sur le Google Play
Depuis quelques mois, le Play store ne fait plus recette auprès des gros éditeurs. Epic Games avait lancé les hostilités l’ année dernière en choisissant de ne pas sortir son application Android sur la plateforme d’applications de Google. D’autres, tels que Tinder ou Netflix ont fait le choix de détourner le paiement vers leur propre boutique. La commission de 30 % demandée par Google ne passe plus… Si une telle tendance se confirmait, l’émergence de plateformes parallèles pourrait devenir une opportunité pour les cybercriminels.
Des pertes en millions
SimBad, Operation Sheep et Agent Smith sont trois exemples qui illustrent le succès des cybercriminels. 150 millions d’utilisateurs auraient une application Android avec le malware SimBad installé. La deuxième campagne de malware réussie est connue sous le nom d’Operation Sheep. Les applications infectées ont été téléchargées plus de 111 millions de fois. Toutes les applications se trouvent principalement dans les boutiques d’applications tierces. L’agent Smith est le nom de la troisième grande campagne. Elle a infecté 25 millions de smartphones en Asie. Une fois installé, l’agent remplace les applications par des clones infectés afin qu’ils affichent de la publicité. Bref, La transformation numérique des organisations doit prendre en compte ce genre de malveillance.
Je vous parlais, début août, de l’arrivée en France et au Canada de la Titan Security Key de chez Google. Voici le test complet de cette clé dédiée à la double authentification de vos comptes web.
Disponible aux USA depuis 2018, la Titan Security Key vient d’arriver sur les marchés Français et Canadien au 1er août 2019. Data Security Breach et ZATAZ vous proposent le test de cette clé de sécurité dédiée à la double authentification de vos comptes : mail, site web, …
Le package est efficace, solide et comme à chaque fois chez Google, qualitatif. On y apprend que le contenu est large avec deux clés, deux adaptateurs (usb, usb-c) et une rallonge usb. On découvre que le matériel est conçu par Google… assemblé en Chine. Les plus paranoïaques vont donc quitter ce test après ce point. Google + Chine vont leur donner des sueurs froides. Mais revenons plus sérieux. Une fois l’autocollant de sécurité décollé.
Il laisse le mot VOID sur la boîte afin de prouver sa non-ouverture. Le contenu apparaît sur deux étages. Deux notices, assurance et mode d’emploi. Ce dernier est simple, sans fioriture, efficace.
Titan Security Key : comment ça marche ?
Direction les sites que vous souhaitez protéger. Ils sont très nombreux aujourd’hui : Google, Facebook, Linkedin, … Nous allons orchestrer ce test pour protéger un compte Google, et donc Youtube, gMail, … Commençons par nous connecter au compte Google que nous souhaitons protéger. Mail et mot de passe suffisent. Direction l’espace sécurité, double authentification. Il suffit d’entrer la Titan Security Key pour coupler cette dernière à l’accès à protéger. Rien de plus simple. Une fois effectué, déconnexion automatique de votre compte sur tous vos appareils. Pour vous reconnecter, il suffira d’utiliser votre mot de passe et votre clé de sécurité.
Vous perdez vos clés ? Il est possible de reprendre la main en faisant une demande à Google, mais cette dernière, comme pour le cas des outils tels que Authy, prendre plusieurs jours (3 pour Authy). Il est possible de répliquer les fonctionnalités de protection dans un compte G Suite.
Sur smartphone, via le NFC et le Bluethooth
Vous possédez une tablette, un smartphone Android/iOS la Titan Security Key vous permet d’utiliser votre compte et la double authentification. Pour cela, trois méthodes: la clé et l’adaptateur ; le NFC de la clé ; le bluethooth.
Dans le premier cas, il suffit de rentrer la prise de la rallonge dans le smartphone. Deux embouts sont proposés : mini USB et USB-C.
Dans le second cas, branchez le NFC de votre téléphone et approchez la Titan Security Key.
Dernière possibilité, le bluetooth est allumé. Cliquez sur le bouton 5 secondes.
Pro et perso
Le matériel est robuste, résiste à l’eau, mais pas plus de 45 secondes immergées dans les toilettes (une erreur est site vite arrivée) pour la clé Bluetooth. La seconde clé fonctionne encore après 45 secondes dans un évier rempli d’eau chaude et produits vaisselles. La Titan Security Key, tout comme sa concurrente Yubico, seront des alliés loin d’être négligeable. Si un pirate vous vole vos identifiants de connexion, avec ce type de sécurité, même armé de vos sésames, le malveillant ne pourra accéder à vos données.
Je vous invite d’ailleurs à utiliser le Service Veille ZATAZ qui permet de détecter, dans les espaces pirates, les données qui ont pu vous être volés ces derniers heures, jours, semaines mois, années. Point fort de la Titan Security Key, la possibilité d’inscrire cette dernière au programme Advanced Protection « Le Programme Protection Avancée protège les comptes Google personnels des individus susceptibles de faire l’objet d’attaques ciblées : les journalistes, les activistes, les chefs d’entreprise et les équipes de campagnes électorales. » indique Google.
Sécurité renforcée et limitation des applications utilisables
A noter qu’une fois les clés activées, les autres facteurs d’authentification, tels que les codes envoyés par SMS ou l’application Google Authenticator, ne fonctionneront plus.
A gauche, la clé Yubico.
Les applications n’appartenant pas à Google sont limitées. Cela veut dire que les applications Mail, Contacts et Calendrier d’Apple, ainsi que le logiciel Thunderbird de Mozilla, continueront de fonctionner avec les comptes bénéficiant de la Protection avancée. De nombreuses autres applications n’appartenant pas à Google n’auront pas accès aux données de votre compte. Les mots de passe d’application sont HS. Vous ne pourrez plus générer de mots de passe via les mots de passe d’application.
Gros gors point noir. Vous avez une télévision connectée Android ? La clé ne fonctionne pas. Google Chrome est imposé. Bilan, vous ne pouvez plus profiter des « services » proposés comme Google Play, …
A noter aussi que les Google Home, les enceintes connectées ne fonctionne plus depuis l’installation de la clé !
Pour conclure, la Titan Security Key est vendue 55€. A voir dans le temps, comme par exemple, pour l’aspect électrique de la clé Bluethooth. Si cette dernière se recharge via la prise USB de votre ordinateur, aucune indication sur sa véritable durée de vie.
Au Moyen-Âge, l’attaque d’un château-fort avantageait la défense. Du haut des remparts, on pouvait observer les assaillants de loin. Ils ignoraient la structure des fortifications. Quant à elle, l’architecture bien connue du château-fort par les défenseurs brisait de nombreuses stratégies d’attaque. Mais depuis que les citadelles sont devenues numériques, les batailles cyber sécuritaires, à l’inverse avantagent nettement les attaquants et désarment les défenses. Bien souvent, les défenseurs ignorent leurs failles.
Les fortifications, les citadelles d’Internet sont devenues floues depuis l’arrivée des nouveaux systèmes d’information. Les menaces sont moins visibles. Surtout, il est possible pour un attaquant de frapper par un point A, puis par un point B le lendemain, en n’éveillant jamais les soupçons. Dans un contexte où l’on manque énormément de visibilité, comment contrer ces menaces ? 5 piliers indispensables à mettre en place.
1 – La sécurité périmétrique
Dans un monde informatique sans périmètre où les frontières sont devenues plus floues, la sécurité périmétrique reste toujours le premier rempart à mettre en place. C’est un prérequis essentiel dont on ne peut faire l’économie. Elle consiste à protéger la frontière externe de l’entreprise des menaces extérieures pour éviter ou limiter les infections (malwares, cheval de Troie, etc.). Les réflexes de base à adopter sont de bien paramétrer ses firewalls et d’être très sélectif et granulaire dans les autorisations de flux.
2 – La sécurité Endpoint
Elle permet de combattre directement l’infection une fois détectée grâce à des antivirus ciblés. Auparavant, la capacité de détecter des virus était une activité relativement facile, il suffisait de comparer ces virus à des bases de signatures prédéfinies. Aujourd’hui, de nouveaux malwares ont pris le relai et sont capable de « muter » afin d’éviter d’être détecté. On voit aussi des États Nations développer des virus « intraçables » car utilisant des failles encore inconnues. Face à ces menaces invisibles, les entreprises doivent se doter de solution de type Endpoint Detection and Response – EDR. Comparer des signatures n’est plus suffisant. Depuis, beaucoup de mécanismes ont été inventé, dont l’analyse comportementale, du machine learning en pre-execution, du sandboxing, qui se révèlent plus efficaces dans la détection des nouvelles menaces.
3 – La détection de menaces sur le réseau
Si la sécurité Endpoint et périmétriques sont indispensables et gèrent autant les frontières externes et internes du système d’information ; on sait bien, qu’elles sont insuffisantes sans une approche d’analyse côté réseau. La sécurité sur le réseau, consiste à détecter des comportements non conventionnels et retrouver les traces d’un attaquant sur le réseau de l’entreprise (logs, données, IA, etc.).
Elle se fait surtout à l’aide d’outils à base d’intelligence artificielle et de machine learning qui sont capables d’écrémer et de ressortir des informations suspectes dans un lot gigantesque de données grâce à l’automatisation. La prise de décision finale reste à l’appréciation d’un humain, mais qui aura gagné énormément de temps sur sa prise de décision et la collecte d’informations.
4 – L’Active Directory
L’Active Directory ou l’annuaire d’entreprise comme partie intégrante d’une attaque, est largement sous-estimé. Et par conséquent, il est sous protégé alors que les cyberattaques suivent généralement le même schéma. Après avoir franchi les défenses périmétriques, les hackers ciblent le coeur de l’entreprise. L’Active Directory leur permet d’avoir accès aux comptes de l’ensemble de l’entreprise, administrateurs et grands patrons compris. Le but ? S’emparer des comptes à hauts-privilèges pour pouvoir, par exemple, diffuser un ransomware à l’ensemble de l’entreprise.
5 – La sensibilisation des utilisateurs
On dit souvent que les failles sécuritaires modernes se situent toujours entre l’écran et le clavier. C’est vrai. Les scénarios se suivent et se ressemblent. Monsieur tout le monde prend possession de son ordinateur, ouvre ses mails, clique sur une pièce jointe et contamine son entreprise. En effet, l’être humain demeure le premier facteur d’infection. En conséquence, chaque entreprise doit réduire les risques liés aux mauvais comportements des utilisateurs. La solution est simple : former les mauvais élèves « clique à tout » grâce à des mises en situations, questionnaires ou vidéos interactives.
La réalité est simple : il est difficile d’être proactif en défense et de devancer les attaques. La cybersécurité a souvent un temps de retard par rapport aux nouvelles menaces. C’est presque toujours face à de nouvelles attaques que la défense réagit et adapte ses systèmes de défense. D’où la nécessité dans ce contexte, d’assurer a minima ces arrières avec ces piliers, de sensibiliser et de réaliser un important travail de veille technologique pour limiter les pots cassés. (par David Clarys, NewTech Manager Europe du Sud chez Exclusive Networks)
Le vol d’identifiants par hameçonnage est l’une des causes les plus courantes d’atteinte à la sécurité informatique. Les clés de sécurité offrent la meilleure protection contre ce type d’attaques. La clé de sécurité Titan de Google disponible en France.
Mise à jour : DataSecurityBreach.fr vous propose le test complet de cette clé ICI.
L’an dernier, Google Cloud a lancé les clés de sécurité Titan aux États-Unis. À partir de ce 1er août, les clés de sécurité Titan sont disponibles sur le Google Store en France. Elle est vendue 55 € TTC. Elles sont désormais également disponibles au Canada, au Japon et au Royaume-Uni.
Les clés de sécurité Titan sont munies d’ une puce qui inclut un firmware conçu par Google pour vérifier l’intégrité des clés.
Chaque clé intègre les normes FIDO pour vérifier de façon cryptographique l’identité de l’utilisateur et l’URL de la page de connexion. Cela empêche ainsi un pirate d’accéder à son compte. Même si celui-ci est amené à fournir son identifiant et et mot de passe.
Les clés de sécurité conviennent à tout utilisateur ou entreprise soucieux de la sécurité.
Titan
Les clés Titan sont disponibles par pack de deux : une USB/NFC et une Bluetooth. Pour configurer ses clés de sécurité depuis son compte personnel ou professionnel Google, il suffit de se connecter pour accéder à la page de vérification en deux étapes.
En outre, il est possible de s’inscrire au programme de protection avancée. Cela offre la sécurité Google la plus solide pour toute personne exposée à des attaques ciblées. Les clés de sécurité Titan peuvent également être utilisées pour tous les sites et services compatibles avec les clés sécurité FIDO, notamment Coinbase, Dropbox, Facebook, GitHub, Salesforce, Stripe, Twitter, etc.
Des clés pour G Suite et Google Cloud Platform (GCP) peuvent être employées.
Les rançongiciels pour Android sont peut-être en baisse depuis 2017, mais ils n’ont pas disparu pour autant. Des chercheurs ont récemment découvert une nouvelle famille de logiciels de rançon, Android/Filecoder.C. En utilisant les listes de contacts des victimes, il tente de se propager par SMS en envoyant des liens malveillants.
Ce nouveau ransomware tout d’abord distribué ses liens malveillants via des fils de discussion sur la thématique pornographique du site Reddit. Le profil d’utilisateur utilisé a été signalé par ESET, mais est toujours actif à l’heure actuelle. La campagne a également brièvement ciblé le forum « XDA developers », destiné aux développeurs Android ; Après avoir été alertés, les opérateurs ont retiré les messages malveillants.
La campagne que nous avons découverte est de faible envergure et plutôt amateur. De plus, le logiciel lui-même est défectueux — surtout en ce qui concerne le chiffrement. Tous les fichiers peuvent être récupérés sans payer de rançon. Cependant, si ses auteurs corrigent les failles et que la distribution prend de l’ampleur, ce nouveau logiciel de rançon pourrait devenir une menace sérieuse.
Ce malware se distingue par son mécanisme de diffusion. Avant de commencer à chiffrer les fichiers de sa victime, il envoie un lot de SMS aux contacts de la victime, les incitant à cliquer sur un lien malveillant menant au fichier d’installation du rançongiciel. « En théorie, cela peut conduire à un afflux d’infections — d’autant plus que le message peut être envoyé en 42 langues. Heureusement, même les utilisateurs les moins sensibilisés doivent remarquer que les messages sont mal traduits. Certaines versions n’ont même aucun sens ! », explique Lukáš Štefanko de che ESET.
Outre son mécanisme de diffusion, Android/Filecoder.C présente quelques anomalies dans son chiffrement. Il exclut les grandes archives (plus de 50 Mo) et les petites images (moins de 150 Ko), et sa liste des types de fichiers à cibler contient de nombreuses entrées sans rapport avec Android, tout en n’ayant pas certaines extensions typiques pour ce système. En fait, cette liste semble provenir du célèbre ransomware WannaCry.
Il y a aussi d’autres éléments intrigants : contrairement aux logiciels de rançon Android classiques, Android/Filecoder.C n’empêche pas l’utilisateur d’accéder à l’appareil en verrouillant l’écran. De plus, la rançon n’est pas prédéfinie, mais créée dynamiquement en utilisant l’ID utilisateur attribué au moment de l’infection. Ce processus se traduit par un montant de rançon aléatoire compris entre 0,01 et 0,02 BTC.
Il s’agit d’une pratique inédite, probablement destinée à attribuer les paiements aux victimes. « Cette tâche est généralement résolue en créant un portefeuille Bitcoin unique pour chaque victime. Mais ici l’attaquant n’utilise qu’un seul portefeuille Bitcoin », observe Lukáš Štefanko.
Une étude tente d’expliquer pourquoi les attaques contre les applications ont la plupart du temps lieu au niveau de l’accès, contournant des processus d’authentification et d’autorisation légitimes. Les attaques par force brute sont généralement définies par, soit dix tentatives de connexion successives infructueuses, ou plus, en moins d’une minute, soit 100 tentatives infructueuses en 24 heures.
Accès ou ne pas avoir d’accès ! Les pirates se posent toujours la question.
En 2018, l’équipe de réponse aux incidents de sécurité de F5 (SIRT, Security Incident Response Team) indiquait que les attaques par force brute à l’encontre des clients de F51 représentaient 18 % du nombre total d’attaques et 19 % des incidents traités.
De toutes les attaques enregistrées par le SIRT qui ont eu lieu dans la région EMEA l’année dernière, 43,5 % étaient des attaques par force brute.
Le Canada arrive juste derrière (41,7 % des attaques enregistrées), suivi des États-Unis (33,3 %) et de la région APAC (9,5 %).
Le secteur des services publics a été le plus touché, 50 % de tous les incidents ayant pris la forme d’attaques par force brute, suivi des services financiers (47,8 %) et de l’industrie de de la santé (41,7 %).
L’éducation (27,3 %) et les fournisseurs de services (25 %) étaient aussi dans la ligne de mire.
« Selon la robustesse des capacités de surveillance, les attaques par force brute peuvent sembler inoffensives, comme une connexion légitime avec un nom d’utilisateur et un mot de passe corrects», explique Ray Pompon, principal évangéliste en recherche sur les menaces chez F5 Networks. « Les attaques de cette nature peuvent être difficiles à détecter car, en ce qui concerne le système, le hacker semble être l’utilisateur légitime.»
Attaques massives
Toute application nécessitant une authentification peut potentiellement subir des attaques par force brute, mais le F5 Labs a surtout observé des attaques se concentrant sur l’Authentification via formulaire HTTP (29 % des attaques enregistrées dans le monde). Attaques contre les formulaires d’authentification Web dans le navigateur. Sachant que la plupart des connexions traditionnelles sur le Web prennent cette forme.
Outlook Web Access (17,5 %), Office 365 (12 %), ADFS (17,5 %).
Attaques contre les protocoles d’authentification utilisés pour les serveurs Exchange et Active Directory Federation Services de Microsoft. Ces services n’étant pas accessibles via un navigateur, les utilisateurs s’authentifient auprès d’eux via des applications tierces.
En raison des fonctionnalités d’authentification unique (Single Sign-On) d’Active Directory Federation Services, les attaques d’accès réussies contre ces protocoles ont aussi un impact sur la messagerie électronique, ainsi que sur des Intranets entiers et des volumes importants d’informations sensibles.
SSH/SFTP (18 %). Les attaques d’accès SSH et SFTP sont parmi les plus courantes, ce qui est en partie dû au fait qu’une authentification SSH réussie est souvent un moyen rapide d’obtenir des privilèges administrateur. Les attaques par force brute SSH sont extrêmement prisées des cybercriminels étant donné que de nombreux systèmes continuent d’utiliser des informations d’identification par défaut pour plus de commodité.
S-FTP (6 %). Les attaques S-FTP par force brute sont dangereuses, car elles permettent d’implanter des malwares offrant un large éventail de possibilités, comme l’élévation des privilèges, l’enregistrement des frappes clavier, ainsi que d’autres formes de surveillance et de pénétration du réseau.
Messagerie électronique
La messagerie électronique est globalement le service le plus sujet aux attaques par force brute. Pour les entreprises qui ne dépendent pas fortement du commerce électronique, les ressources les plus précieuses stockées loin du périmètre réseau, derrière plusieurs couches de contrôle. Dans ce cas, la messagerie électronique constitue bien souvent un excellent point de départ pour dérober des données et accéder aux outils nécessaires pour mener une attaque de grande ampleur.
Les attaques relatives aux atteintes à la protection des données identifient également la messagerie électronique comme une cible principale. Elles figurent parmi les deux principales sous-catégories liées au vol d’accès, représentant 39 % des violations d’accès et 34,6 % des causes d’attaques. Le mail est directement en cause dans plus d’un tiers des déclarations de piratage.
Bien se protéger
Selon le rapport Application Protection Report 2019, se protéger contre les attaques au niveau de l’accès représente encore un défi majeur pour de nombreuses entreprises. L’authentification à plusieurs facteurs peut se révéler difficile à mettre en œuvre et n’est pas toujours réalisable dans les délais impartis. Fait inquiétant, bien que les mots de passe n’offrent généralement pas une protection suffisante, le rapport Application Protection Report 2018 de F5 indique que 75 % des entreprises continuent d’utiliser de simples combinaisons nom d’utilisateur/mot de passe pour l’accès à leurs applications Web critiques.
« Même s’il faut s’attendre à ce que les tactiques d’attaque d’accès évoluent en même temps que les technologies de défense, les principes de base d’une bonne protection demeureront essentiels à l’avenir », indique Ray Pompon de chez F5. « Pour commencer, les entreprises doivent s’assurer que leur système peut au moins détecter les attaques par force brute. L’un des principaux problèmes est que la confidentialité et l’intégrité se trouvent parfois en porte-à-faux avec la disponibilité. Il est important de mettre en place des mécanismes de réinitialisation pour l’entreprise et ses utilisateurs. Et ne pas se contenter de définir quelques alarmes de pare-feu pour les tentatives d’attaque par force brute. Il est important de tester les contrôles de surveillance et de réponse, exécuter des tests de scénarios de réponse aux incidents et créer des playbooks de réponse aux incidents pour pouvoir réagir de manière rapide et fiable. »
La société Proofpoint, spécialiste de la mise en conformité et cybersécurité, a publié son rapport 2019 sur la fraude au nom de domaine. L’étude dévoile les dernières tendances, les stratégies et les activités des cybercriminels. Une analyse approfondie des données collectées sur une période de douze mois dans la base de données de domaines actifs de l’entreprise. Elle contient plus de 350 millions de domaines et représente pratiquement tous les domaines sur le Web.
Chasse aux domaines frauduleux ! À l’instar de nombreuses autres méthodes d’attaque très populaires aujourd’hui, la fraude au nom de domaine cible des individus plutôt que des infrastructures en faisant appel à l’ingénierie sociale, terme connu aussi sous Social Engineering, pour amener les utilisateurs à croire que les domaines auxquels ils accèdent sont légitimes. Du fait du peu d’obstacles à l’enregistrement des noms de domaine et de la facilité d’exécution, il est essentiel que les sociétés restent vigilantes face aux domaines suspects et illégaux susceptibles de présenter un risque pour leur marque et leurs clients.
Hausse de 11%
Entre le 1er trimestre et le 4ème trimestre 2018, le nombre d’enregistrements de noms de domaines frauduleux a connu une hausse de 11%. Presque tous les domaines frauduleux détectés restent actifs et prêts à l’attaque, plus de 90% d’entre eux étant associés à un serveur actif.
Parmi ces domaines frauduleux, plus de 15% ont des enregistrements Mail Exchanger (MX), ce qui signifie qu’ils envoient et/ou reçoivent des e-mails. Un sur quatre dispose également de certificats de sécurité, c’est bien plus que ce que l’on peut observer dans le paysage global des domaines. Or, de nombreux internautes les assimilent de ce fait à tort comme des domaines légitimes et sûrs.
Les domaines frauduleux utilisent souvent les mêmes domaines de premier niveau (TLD), offices d’enregistrement et serveurs Web que les domaines légitimes afin d’imiter les marques et abuser les utilisateurs. Ces facteurs, ainsi que la forte proportion de serveurs Web actifs, qui sont nombreux à posséder des certificats SSL valides, renforcent la perception de légitimité des domaines frauduleux, augmentant ainsi le potentiel de nombreuses attaques, notamment les fraudes par virement électronique, le phishing, les ventes de produits de contrefaçon et autres escroqueries.
Quand le HTTPS sert aux pirates
Plus de 85% des grandes marques de vente au détail ont identifié des domaines vendant des versions contrefaites de leurs produits. Les marques de vente au détail en décomptent en moyenne plus de 200. D’ailleurs, les domaines vendant des produits de contrefaçon possèdent plus de certificats de sécurité que d’autres types de domaines frauduleux, ce qui les rend légitimes aux yeux des clients.
96% des sociétés ont trouvé des correspondances exactes de leur domaine avec un TLD différent (par exemple, « .net » au lieu de « .com ») et 76% ont identifié des domaines « similaires » se faisant passer pour leur marque. La plupart des secteurs et des zones géographiques sont touchés.
Les domaines frauduleux utilisent l’e-mail pour mieux cibler les attaques. Pour 94% des sociétés observées, Proofpoint a identifié au moins un domaine frauduleux se faisant passer pour leur marque et envoyant des e-mails. De nombreux domaines frauduleux ont envoyé de faibles volumes d’e-mails, un comportement typiquement associé à des attaques hautement ciblées et basées sur l’ingénierie sociale. Les cybercriminels se faisant passer pour des marques de vente au détail facilement reconnaissables (en particulier celles ayant des chaînes d’approvisionnement complexes) ont envoyé des volumes d’e-mail beaucoup plus importants, ce qui laisse suggérer des attaques plus généralisées contre les clients et les partenaires.
Des facteurs comme l’introduction de nouveaux TLD créent des opportunités pour les cybercriminels. En 2018, l’introduction de nouveaux TLD, tels que .app et .icu,, a créé de nouvelles opportunités pour l’enregistrement de domaines frauduleux. Proofpoint a constaté que les cybercriminels exploitaient ces nouveaux TLD pour enregistrer des noms ressemblant à des domaines « .com » qui appartiennent déjà à de grandes marques.
Des chercheurs ont mené une enquêtes sur l’état de la sécurité des applications des plus grandes banques du monde. Un des outils posséde une faille connue depuis 2011.
Les nouvelles recherches de la société ImmuniWeb va faire grincer des dents dans le petit monde bancaire. Ils ont étudié la sécurité, la confidentialité et la conformité des applications des plus grandes institutions financières mondiales figurant dans la liste S&P Global 2019. Le résultat a de quoi étonner. En ce qui concerne la conformité, 85 applications Web de banque en ligne ont échoué au test de conformité GDPR ; 49 banque en ligne ont échoué au test de conformité PCI DSS ; 25 app ne sont pas protégées par un WAF.
Vulnérabilités de sécurité
Dans cette étude, on découvre que sept applications Web de banque en ligne contiennent des vulnérabilités connues et exploitables.
La plus ancienne vulnérabilité est connue depuis 2011. 92% des applications bancaires mobiles contiennent au moins une vulnérabilité à risque moyen.
100% des banques ont des problèmes de sécurité ou des problèmes liés aux sous-domaines oubliés.
Pour finir, concernant la sécurité du site web, seuls 3 portails sur 100 affichaient la note la plus élevée «A+» pour le « chiffrement SSL et la sécurité des sites Web». Dans ce top 3, on trouve un Suisse (credit-suisse.com), un Danois (danskebank.com) et un Suédois (handelsbanken.se).
Pendant ce temps, dans le commerce 2.0
De son côté, le laboratoire Pradeo a étudié 38 applications mobiles d’e-commerce les plus téléchargées au monde. Le rapport montre qu’elles envoient les données personnelles des utilisateurs via de nombreuses connexions non sécurisées (pourcentages précis dans l’article) et présentent en moyenne 13 vulnérabilités de code, dont certaines ayant un haut niveau de sévérité.
Des chercheurs ont récemment découvert un exploit Windows de type zero-day utilisé dans le cadre d’une attaque très ciblée en Europe de l’Est. Cet exploit reposait sur une vulnérabilité inédite d’escalade des privilèges locaux sur Windows.
La découverte a été signée par des chercheurs de l’éditeur de solutions de sécurité informatique ESET. L’exploit ne fonctionnait cependant que sur certaines versions plus anciennes de Windows. À partir de Windows 8, en effet, un processus utilisateur n’est plus autorisé à mapper la page NULL, ce qui est un prérequis nécessaire à la réussite de cette attaque. Mais cela n’empêche pas d’être face à une faille dangereuse. D’autant plus qu’il existe encore de nombreux utilisateurs de Windows 7 (le 0day fonctionne aussi sous Windows Server 2008) et que cette monture de l’OS de Microsoft ne sera plus sécurisé par des mises à jour d’ici le 14 janvier 2020. Les utilisateurs qui utilisent encore le Service Pack 1 de Windows 7 devraient envisager une mise à jour vers de nouveaux systèmes d’exploitation.
La vulnérabilité exploitée se trouve dans win32k.sys et, comme d’autres de la même famille, utilise le menu contextuel pour son déploiement. « Par exemple, l’exploit d’escalade des privilèges locaux du groupe Sednit que nous avons analysé en 2017 utilisait déjà des objets de menu et des techniques d’exploitation très similaires à celle-ci », explique Anton Cherepanov, le chercheur à l’origine de la découverte. La vulnérabilité a été référencée CVE-2019-1132.
A noter que Windows XP et Windows Server 2003 sont également vulnérables, mais ces versions ne sont plus supportées par Microsoft… et il serait fou de penser que des entreprises travaillent encore avec ces deux OS !
Buhtrap
Les pirates, derrière cette infiltration ? Le groupe APT « Buhtrap« , spécialisé dans les opérations d’espionnage en Europe de l’est et en Asie centrale. Le groupe Buhtrap est bien connu pour son ciblage d’institutions financières et d’entreprises russes. Cependant, depuis la fin 2015, nous assistons à une évolution intéressante : alors que les outils utilisés jusqu’à présent par le groupe n’avaient qu’une vocation purement criminelle (et lucrative, donc), ceux-ci ont été enrichis de logiciels malveillants dédiés à l’espionnage.
Il est toujours difficile d’attribuer une campagne à un acteur particulier lorsque le code source de ses outils est librement disponible sur le web. Cependant, comme le changement de cible s’est produit avant la fuite du code source, nous avons évalué avec une grande confiance que les personnes à l’origine des premières attaques contre les entreprises et les banques à l’aide du logiciel malveillant Buhtrap sont également impliquées dans le ciblage des institutions gouvernementales à des fins d’espionnage. « Il n’est pas clair si un ou plusieurs membres de ce groupe ont décidé de changer d’orientation et pour quelles raisons, mais c’est certainement quelque chose que nous sommes susceptibles d’observer plus régulièrement à l’avenir. » termine Jean-Ian Boutin, chercher en cybersécurité chez ESET.
En ce qui concerne cette campagne spécifique, le logiciel malveillant contenait un intercepteur de frappes clavier destiné à dérober les mots de passe, qui tente notamment de récupérer les identifiants des clients de messagerie, des navigateurs, etc. pour les envoyer à un serveur de commande et de contrôle. Ce logiciel malveillant offre également à ses opérateurs un accès complet au système compromis.
Le mot de passe est probablement la mesure de sécurité la plus courante et la plus utilisée, mais c’est également la plus vulnérable. En effet, l’’utilisation d’identifiants internes compromis par un attaquant externe représente, selon Verizon et son Data Breach Investigations Report 2018, la menace la plus courante dans les violations de données. C’est pourquoi de plus en plus d’entreprises mettent en place l’authentification multifacteur (MFA) en complément des mots de passe pour le contrôle des accès.
L’authentification multifacteur, connu sous le 3 lettres MFA, est un système de sécurité qui fait appel à plusieurs méthodes d’authentification pour vérifier l’identité de l’utilisateur qui souhaite se connecter. Il a pour objectif de mettre en place plusieurs couches de protection, afin de rendre plus difficile l’accès d’une personne non autorisée à un réseau. Ainsi, même si le pirate parvient à déchiffrer l’un des facteurs, il lui reste encore au moins un obstacle à franchir avant de pouvoir atteindre sa cible.
Comme l’explique Helpnet Security (IS Decision), dans les colonnes de ZATAZ, l’authentification multifacteur présente de nombreux avantages. D’abord la sécurité renforcée de votre réseau. Un Pirate doit disposer de l’ensemble des facteurs requis par le système lors de la connexion, sans quoi il ne pourra pas accéder au compte.
Mise en conformité
Ensuite, la mise en conformité: Un grand nombre de normes contraignent certaines entreprises à implémenter l’authentification multifacteur pour la protection d’informations sensibles (données financières ou à caractère personnel). Même si parfois la norme ne mentionne pas clairement la méthode MFA, elle insiste parfois sur le besoin d’un processus d’authentification renforcée. En d’autres termes, l’authentification multifacteur.
Enfin, les connexions simplifiées: Au premier abord, l’authentification multifacteur semble compliquer les connexions. Mais, en réalité, la protection renforcée qu’offre cette méthode permet aux entreprises d’utiliser des options de connexion plus avancées comme l’authentification unique (SSO).
Adobe a publié des correctifs pour Bridge CC, Experience Manager et Dreamweaver. Trois vulnérabilités sont corrigées dans Experience Manager tandis qu’une vulnérabilité est résolue dans Bridge et Dreamweaver. Aucune d’entre elles n’est considérée comme critique et le niveau de vulnérabilité le plus élevé pour chaque logiciel concerné est Important.
Ce mois-ci Microsoft résout 77 vulnérabilités dont 15 classées comme critiques. Parmi ces dernières, 11 affectent les moteurs de scripts et les navigateurs tandis que les quatre autres concernent le serveur DHCP, GDI+, l’infrastructure .NET et l’ensemble des outils de développement logiciel Azure DevOps Server (anciennement Team Foundation Server).
En outre, Microsoft a publié des correctifs importants pour deux vulnérabilités activement exploitées facilitant une élévation de privilèges, ainsi que pour une exécution de code à distance sur SQL Server. Microsoft a également diffusé deux avis de sécurité concernant des vulnérabilités affectant Outlook sur le web et le noyau Linux. Concernant Adobe, l’éditeur vient tout juste de publier des correctifs pour Bridge CC, Experience Manager et Dreamweaver.
Correctifs pour postes de travail
Déployer des patches pour les moteurs de script, les navigateurs, GDI+ et l’Infrastructure .NET est une priorité pour les équipements de type poste de travail, c’est-à-dire tout système utilisé pour accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multi-utilisateurs utilisés comme postes de travail distants.
Exécution de code RCE sur le serveur DHCP
Une vulnérabilité par exécution de code à distance (RCE) (CVE-2019-0785) est présente sur le serveur DHCP de Microsoft lorsque ce dernier est configuré pour une reprise après incident. Un attaquant ayant un accès depuis le réseau au serveur DHCP dédié à la reprise après incident pourrait ainsi exécuter du code de manière arbitraire. Ce correctif doit donc être déployé en priorité sur tous les systèmes exécutant un serveur DHCP en mode Reprise après incident.
Attaques actives sur l’élévation de privilèges
Microsoft a publié des patches pour deux vulnérabilités facilitant une élévation de privilèges (CVE-2019-1132 et CVE-2019-0880) dans Win32k et splwow64 et qui ont été exploitées en aveugle. Même s’ils sont classés comme Importants, ces correctifs sont en fait prioritaires car une association avec d’autres vulnérabilités pourrait fournir un accès complet au système à un cyberattaquant.
Exécution de code RCE sur le serveur SQL
Le Patch Tuesday de ce mois-ci résout également une vulnérabilité par exécution de code à distance (CVE-2019-1068) au sein du serveur Microsoft SQL Server. Classée comme Importante, cette vulnérabilité exige une authentification. Cependant, si elle est associée à une injection de code SQL, un cyberattaquant risque de compromettre complètement le serveur.
Azure DevOps Server (anciennement Team Foundation Server)
L’ensemble d’outils de développement logiciel Azure DevOps Server (ex-Team Foundation Server – TFS) est affecté par une vulnérabilité par exécution de code à distance (CVE-2019-1072) qui est exploitée via des téléchargements de fichiers malveillants. En effet, quiconque télécharge un fichier vers un serveur peut exécuter du code via un compte Azure DevOps/TFS. Sont également concernés les utilisateurs anonymes si le serveur est configuré pour accepter ces derniers. Ce correctif est donc une priorité pour toutes les installations Azure DevOps ou TFS.
Script XSS dans Outlook sur le web
Microsoft a publié un avis de sécurité pour une vulnérabilité à base de scripts intersite (XSS) dans Outlook sur le web (anciennement OWA). Cette vulnérabilité permet à un attaquant d’envoyer un fichier SVG malveillant, même si l’utilisateur ciblé doit ouvrir ce fichier d’image vectorielle directement en le glissant vers un nouvel onglet ou en copiant l’URL dans un nouvel onglet. Même si ce scénario d’attaque reste improbable, Microsoft recommande de bloquer les fichiers au format SVG. (Publié par Jimmy Graham dans The Laws of Vulnerabilities)
Les réglementations (loi de programmation militaire, RGPD…) et le besoin de confiance numérique ont incité les entreprises à développer une véritable culture du risque et à investir massivement dans des dispositifs de cybersécurité. Toutefois, si 100% des entreprises du CAC 40 agissent désormais en matière de cybersécurité, plaçant ainsi la France dans le peloton de tête des pays les plus actifs sur le sujet, la portée du risque sur l’activité des entreprises est encore sous-évaluée. Une réalité qui se constate aussi dans les innovations technologiques des entreprises, qui font souvent l’impasse sur la cybersécurité. C’est ce que révèle une étude du cabinet Wavestone sur les niveaux de maturité des entreprises dans le domaine de la cybersécurité. Pour cette nouvelle édition, les experts ont analysé les communications financières (notamment via leur rapport annuel et leur document de référence), publiés au 1er juin 2019, de 260 entreprises cotées dans le principal indice boursier des pays où Wavestone est présent : CAC 40, Dow Jones, FTSE 100, BEL20, SMI, HSI. Les résultats de cette étude unique donnent un aperçu du niveau de maturité déclaré des entreprises et de son évolution, sur différents aspects : implication des comités exécutifs, investissements en cybersécurité, RGPD…
Cybersécurité : Le CAC 40 progresse encore…
Pour évaluer le niveau de maturité des entreprises dans le domaine de la cybersécurité, les équipes du cabinet ont mis au point le financial communication cybermaturity index. Celui-ci permet d’évaluer les enjeux et les risques, la gouvernance et la réglementation, ainsi que les actions de protection mises en place dans les entreprises. Sur la base de cet index, les entreprises du CAC 40, qui étaient en dessous de la moyenne en 2017, progressent en 2018 (10,07/20 + 1,07 VS 2017).
Ainsi, ce sont 100 % des entreprises du CAC 40 qui mentionnent les enjeux de sécurité dans leur rapport annuel et qui se mobilisent sur le sujet de la protection des données personnelles (RGPD) (+42 points VS 2017). Ce sujet majeur pour les entreprises concerne désormais une majorité des comités exécutifs : 50% (+25 points VS 2017) des groupes du CAC 40 adressent la problématique de la cybersécurité au niveau du comité exécutif.
Une prise de conscience qui se constate aussi dans la nette progression de la prise de fonction de DPO (Data Protection Officer) dans les entreprises (52,5 % en 2018 VS 13% en 2017).
Plus encore qu’en 2017, les secteurs de la finance (14,77 % / +3,89 ptsVS 2017) et des technologies de l’information (12,05% / +0,89 pts VS 2017) sont les locomotives du niveau de maturité des entreprises du CAC 40.
… et caracole en tête des entreprises les plus matures dans la prévention des cyber-risques dans le monde
Parmi les 260 entreprises analysées sur les 6 places de marché (CAC 40, Dow Jones, FTSE 100, BEL20, SMI, HSI), le CAC 40 se place dans le peloton de tête des entreprises les plus matures sur la prise en compte de la cybersécurité dans les communications financières (10,07/20), juste derrière les Etats-Unis (10,15/20).
Si la France et les Etats-Unis s’illustrent dans le secteur de la finance, c’est le secteur des technologies de l’information qui dominent au Royaume-Uni et en Belgique.
Les résultats dévoilent aussi des cultures et des pratiques différentes autour de la cybersécurité : c’est aux Etats-Unis que l’implication du COMEX sur les problématiques en lien avec la cybersécurité est le plus fréquemment citée dans les rapports d’activité des entreprises (83%), devant le Royaume-Uni (61%), la France et la Belgique (50%). D’autre part, avec 46% de mentions faites sur les niveaux d’investissements en matière de cybersécurité, le Royaume-Uni valorise les investissements via des programmes de cybersécurité, contre 30% à 35% en France et aux Etats-Unis et 15% en Belgique.
Avec l’entrée en vigueur du règlement général sur la protection des données européen (RGPD), les entreprises françaises du CAC 40 mettent la Privacy à l’honneur, en affichant leurs ambitions sur la problématique dans l’ensemble de leurs rapports d’activité.
Alors que l’exemple français aurait pu susciter un éveil des autres pays européens sur la mise en place du RGPD, ce sont finalement les Etats-Unis (87%) qui se rapprochent de la France (100%) dans le domaine de la Privacy, suivis par la Belgique (75%) et le Royaume-Uni (71%).
Des investissements conséquents sur des programmes de cybersécurité, des actions en cybersécurité plus rares dans les technologies innovantes
Si les rapports d’activités font rarement mention des niveaux d’investissements engagés par les entreprises du CAC 40, le cabinet Wavestone a observé une augmentation des entreprises qui font état d’investissements conséquents dans des programmes de sécurité (35% / +22,5 pts VS 2017). Pourtant, dans le même temps, les entreprises font preuve d’un certain attentisme lorsqu’il s’agit d’investir dans des plans d’actions unitaires (45% en 2018 / – 35 pts VS 2017).
En témoignent aussi, des programmes d’innovation qui font toujours l’impasse sur la cybersécurité. En effet, alors que les projets liés à la 5G font leur apparition dans les entreprises du CAC 40, seul 1 projet fait le lien avec la cybersécurité. Une tendance qui se confirme aussi dans les domaines de l’IoT et de l’IA où seuls 2 chantiers sont liés à la cybersécurité, alors que le nombre de projets innovants ne cesse de croître dans ces domaines (58% pour l’IA / +12 pts VS 2017 – 45% pour l’IOT / +10 pts VS 2017). La cybersécurité reste toujours absente des projets dans le domaine de la Blockchain.
« Même si les résultats montrent une progression de la prise en compte de la cybersécurité, la France et le CAC40 restent en retrait sur la mobilisation effective des fonctions dirigeantes de l’entreprise. Alors que c’est une condition sine qua none au succès des programmes de cybersécurité ! », déclare Gérôme Billois, Partner cybersécurité et confiance numérique au sein de Wavestone.
Olvid, un nouvel outil de sécurisation de vos conversations. Mission : chiffrer vos messages mobiles sans risque de fuite de données !
Depuis quelques jours nous testons Olvid, un outil dédié aux smartphones (Android, iOS). Mission d’Olvid, permettre de communiquer avec ses collègues, proches, familles en mode chiffré.
Une application lancée en décembre 2018 sous l’impulsion de deux docteurs en cryptographie : Thomas Baignères et Matthieu Finiasz.
Olvid est sous la « protection » d’Agoranov, un incubateur fondé par l’ENS, Paristech, Dauphine Université Paris, Sorbonne Université, Inria et sponsorisé par le Ministère de l’enseignement supérieur, de la recherche et de l’innovation, l’Île de France, la Mairie de Paris et le Fonds social européen de l’Union européenne. A noter que Matthieu Finiasz est enseignant pour ENSTA-ParisTech.
Olvid
Il existe déjà de nombreux outils tels que Whatsapp (à bannir), Telegram (méfiance, on ne connait pas le code source et il semble exister une master key), Signal, … Olvid annonce être différent. Aucune trace sur les serveurs. Pas de fuite de données, pas d’espionnage, pas de données personnelles, anonymat complet. La versoin 0.7.3 pour Android ne dépasse pas les 6Mo.
Sécurisé, oui mais …
Bon, pour être très honnête, l’espionnage reste possible dans la mesure ou un logiciel espion a été installé dans votre appareil, à l’image de Cerberus. Mais le problème viendrait de la non maîtrise de votre téléphone, pas d’Olvid.
En ce qui concerne les communications, plus de risque. Le chiffrement rend illisible les conversations. « Contrairement à l’intégralité des autres messageries, la sécurité de vos communications ne dépend plus d’un serveur. explique les fondateurs de cet outil. Notre serveur se fait hacker ? Peu importe… la sécurité des communications est préservée. »
A tester sans attendre
L’outil réclame quatre informations nom, prénom, société et votre poste au sein de cette société. Vous pouvez, bien évidement mettre ce que bon vous semble. Une fois les données enregistrée, l’application produit un QRCode. Une information à transmettre à vos contacts par mail. Votre correspondant, qui doit installer sur son smartphone Olvid, photographie le QRCode reçu, si ce dernier reçoit l’invitation via un courriel lu sur un ordinateur. Un lien permet d’accéder directement au répertoire Olvid.
Aucun numéro de téléphone, adresse mail ne sont réclamés. Bref, seuls vos contacts autorisés connaissent votre présence dans l’outil.
Olvid est gratuite pour le moment. La bonne occasion de le tester (Android / iOS).
L’opération récente de la Chine contre des sociétés de téléphonie cellulaire – appelée « opération Soft Cell » – fait partie d’une campagne d’espionnage qui exploite les accès aux comptes à privilèges. La compromission des identifiants reste en effet l’arme de choix des cyber-attaquants et est un modèle d’attaque récurrent.
Ce phénomène a débuté lorsque Edward Snowden a révélé l’opération Socialist, une campagne de la CIA et du Global Communication Headquarters (GCHQ) britannique, qui aurait tenté de prendre le contrôle d’un réseau majeur : Belgacom, société de télécommunications belge. Cet accès aurait permis aux agences de renseignements d’obtenir les métadonnées nécessaires pour suivre à la trace des individus spécifiques.
Pour Lavi Lazarovitz, responsable de l’équipe de recherche en sécurité du CyberArk Labs, Soft Cell trouve son origine ailleurs – l’APT 10, un groupe de cyber-espionnage chinois – mais son modèle d’exécution est très similaire : « L’opération Socialist, à l’instar de Soft Cell, a exploité les accès à privilèges pour prendre le contrôle des systèmes de télécommunications, en restant dans l’ombre. Aucune de ces attaques n’a eu besoin d’exploiter des vulnérabilités, ou d’utiliser des outils sophistiqués et agressifs, chers à développer. Dans les deux cas, les groupes ont compromis des accès à privilèges de l’organisation, c’est-à-dire les comptes d’administrateurs de domaine disposant de droits sur un domaine entier, ce qui les rend extrêmement pertinents pour les attaquants.«
Comptes administrateurs, accès à privilège et pirates
Les comptes d’administrateurs de domaine, et autres accès à privilèges bien connus, sont généralement contrôlés et surveillés de près. Cependant, il reste bien souvent des vulnérabilités exploitables. Les attaquants ont probablement visé des « administrateurs fantômes », c’est-à-dire des accès à privilèges qui ne sont pas répertoriés dans l’Active Directory, les rendant invisibles et donc ignorés par les équipes de sécurité des organisations. Ces types de comptes disposent de privilèges particuliers, qui permettent à un attaquant de contrôler des réseaux complets, sans être associés à un groupe de privilèges. En conséquence, l’attaque laisse peu de traces, tout en offrant de la souplesse au hacker. Lors de l’opération Soft Cell, les cybercriminels ont lancé un service VPN pour obtenir un accès fantôme au réseau, potentiellement basé sur des comptes d’administrateurs fantômes.
Le recours à ces derniers n’est pas le seul raccourci utilisé par les assaillants des opérations Soft Cell et Socialist. Dans ces deux cas, les attaques contre les sociétés de télécommunications ont visé la chaîne logistique. En effet, tout comme les usines de fabrication de hardwares, les éditeurs de logiciels qui fournissent des mises à jour de produits, ou des serveurs de réseau de trafic internet, sont vulnérables aux attaques de la chaîne logistique.
Jérôme Robert de la société Alsid, commente « On ne peut qu’être consterné devant l’ampleur de cette brèche, mais il faut bien admettre que l’avènement d’un incident de cette nature était inéluctable. Notre industrie, dans son ensemble, a investi des centaines de milliards d’euros dans la protection des postes, des réseaux, et des données tout en restant résolument aveugle au danger que représente l’insécurité d’Active Directory. Ce douloureux rappel à l’ordre doit alerter les entreprises et les industries qui doivent sortir la tête du sable et prendre cette menace à bras le corps ! C’est une cyber-bombe à retardement, et le minuteur touche à sa fin« .
Cette stratégie d’attaque est même devenue courante. De nombreux cybercriminels redirigent leurs efforts : au lieu de cibler directement des organisations bien sécurisées, ils visent désormais leurs chaînes logistiques qui le sont moins. Les hackers, souhaitant accéder discrètement et en continu aux données et à l’IP d’une entreprise, n’envoient plus massivement des emails de phishing et préfèrent compromettre le matériel de la société. Les pirates qui souhaitent accéder aux métadonnées, à la localisation et aux appels d’un individu pendant une période plus longue peuvent alors remplacer l’exposition coûteuse d’une vulnérabilité de WhatsApp par la compromission du téléphone d’un individu spécifique.
L’Afnic renforce et facilite le traitement des plaintes pour usurpation d’identité des noms de domaine en .fr. Des démarches simples, en 2 clics, directement depuis le site de l’Afnic.
Depuis 2017, l’Afnic a recensé 102 plaintes d’usurpation d’identité de personnes physiques relatives à l’enregistrement d’un nom de domaine en .fr. L’usurpation d’identité survient lorsqu’une personne enregistre un ou des noms de domaine sous l’identité d’un tiers (personne physique). Dans la majorité des cas, il s’agit là d’un acte de malveillance à des fins de cybercriminalité : escroquerie, vente de produits contrefaits, arnaques aux entreprises, diffamation, etc.
Si le nombre de plaintes recensées est relativement faible au regard des 3,4 millions de noms de domaine enregistrés en .fr, ces pratiques peuvent avoir des impacts lourds de conséquences pour les victimes. Malheureusement, ces faits sont portés à leur connaissance de manière souvent brutale, par lettre recommandée émanant d’un cabinet d’avocat, une plainte ou une assignation signifiée par un huissier de justice…
Pour lutter contre ces usurpations d’identité, l’Afnic a édité une fiche pratique « Lutter contre l’usurpation d’identité » et a mis en place une procédure simple en deux étapes :
1ère étape « La demande d’accès à ses informations dans la base Whois », qui recense l’ensemble des noms de domaine gérés par l’Afnic (.fr, .pm, .re, .tf, .wf et .yt.).
Si cette étape est facultative, elle est vivement conseillée : elle permet en effet de connaître le ou les nom(s) de domaine enregistré(s) avec les informations personnelles des victimes.
Fort de ces informations, il faudra alors déposer une plainte auprès du commissariat de police ou de la gendarmerie les plus proches.
2nde étape « La demande de suppression de ses informations usurpées dans la base Whois » : cette étape permet d’obtenir la suppression du ou des nom(s) de domaine enregistré(s) sous des identifiants (appelés NIC-HANDLE) comportant les données usurpées. Cette demande doit être obligatoirement accompagnée d’une plainte pour usurpation d’identité.
Dès réception de cette demande, l’Afnic agit dans les meilleurs délais pour que le bureau d’enregistrement en charge du ou des nom(s) de domaine concerné(s) supprime les informations personnelles ainsi que le nom de domaine frauduleusement enregistré. Ces deux démarches sont directement accessibles depuis le site de l’Afnic, à la rubrique « Actions et procédures ».
Rappelons que l’usurpation d’identité est un délit pénalement sanctionné par un an d’emprisonnement et d’une amende de 15 000 euros.
L’enquête terrain inédite menée par l’IRT SystemX auprès de PME et TPE françaises, victimes de cyberattaques, dévoile l’impact réel des cyber-préjudices et fait voler en éclats deux grandes croyances communément admises : le nombre de cyberattaques réussies s’avère bien supérieur aux estimations habituellement rendues publiques, tandis que le coût moyen des cyberattaques se révèle en revanche beaucoup plus faible que supposé. Zoom sur les 9 principaux enseignements de cette étude.
SystemX, unique IRT dédié à l’ingénierie numérique des systèmes du futur, dévoile les principaux enseignements de sa première enquête terrain menée sur 3 ans* auprès de plus de 60 entreprises françaises**, principalement des PME/TPE de moins de 50 personnes, victimes de cyberattaques. Toutes les régions et secteurs economiques sont représentés. L’objectif de cette enquête était de mesurer les préjudices causés au tissu économique, puis d’élaborer des modèles de calcul des coûts ainsi que de l’exposition d’une entreprise au risque Elle a également permis de collecter des signaux faibles, annonciateurs de nouvelles tendances, et notamment d’évolutions à attendre sur le mode opératoire de certaines formes d’attaques
Parmi les catégories d’attaques étudiées, le rançonnage par cryptovirus et les fraudes au président et faux ordres de virement prennent la plus grande place. Ont également été rencontrées : l’escroquerie au faux support technique, la prise de contrôle de messagerie, le piratage téléphonique, la fraude aux sentiments, l’usurpation d’identité, la mauvaise protection des caméras, la captation de nom de domaine, le défaçage ou encore le vol de compte bancaire. A noter la grande rareté des attaques DDos par déni de service contre des PME, ce qui constitue l’un des résultats inattendus de cette enquête et confirme que ce type d’attaque résulte avant tout d’un ciblage intentionné de la part d’un tiers.
« Cette enquête terrain est inédite en France : elle transmet une vision profondément renouvelée des attaques informatiques notamment grâce à une précision des chiffres jamais atteinte. Initiée dans le cadre du projetEIC (Environnement pour l’Interopérabilité et l’Intégration en Cybersécurité), elle remet en cause les chiffrages habituels, ce qui modifie la vision à porter sur le cyber-risque », explique Gilles Desoblin, Responsable de la thématique Défense et Sécurité, IRT SystemX.
Parmi les principaux enseignements de cette enquête
– La fréquence des attaques réussies en matière de cryptovirus est plus haute que supposée jusqu’alors : pour une PME de moins de 50 salariés, la probabilité d’être victime ne se mesure annuellement plus en pour mille mais en pour cent, se situant entre 2 et 5% (soit entre 100 000 et 250 000 entités par an). Elles ne se situent donc plus dans la catégorie des événements rares.
– Le coût moyen d’une attaque par cryptovirus est inférieur à ce qu’il est généralement communiqué via les médias : en effet, le coût moyen pour une TPE s’évalue actuellement en milliers d’euros par attaque réussie, en non en dizaines, centaines voire en millions d’euros. A noter que la progression des coûts n’est pas proportionnée seulement à celle de la taille d’une entreprise, mais dépend d’autres facteurs parfois inattendus tels que le mode de gestion des ressources humaines .
– La médiane constatée (de l’ordre du millier d’euros) est basse et se situe nettement au-dessous de la moyenne, ce qui signifie qu’un grand nombre d’attaques réussies trouvent des solutions à faible prix, particulièrement quand les sauvegardes ne sont pas affectées.
– Toujours concernant les cryptovirus, les coûts additionnés subis par l’ensemble des victimes de moins de 50 employés – entreprises ou associations – en France s’élèvent à un montant supérieur à 700 millions d’euros par an.
– Dans cette observation de transfert de richesse, le gain enregistré par les pirates déroge à l’image communément admise. La sortie de capitaux, due conjointement aux cryptovirus et aux fraudes aux président – soit plus de 200 millions d’euros -, masque des modèles économiques très différents entre ces formes de criminalité. Les calculs réalisés au sujet des cryptovirus font ressortir un ratio entre l’argent rançonné (sommes versées) et le préjudice total de l’ordre de 1/25 chez les PME/TPE. A contrario, les fraudes au président, malgré leur recours accentué à des acteurs humains et à l’ingénierie sociale, laissent entrevoir des marges finales plus élevées.
– L’étude dévoile également la sous-estimation du préjudice humain occasionné par ces attaques (fragilisation des personnes, perte de cohésion de groupe), avec la nécessité d’assister les décideurs pendant cette phase où ils doivent mener des arbitrages en situation de forte incertitude.
– A contrario, le préjudice sur l’image des entreprises touchées est surestimé, puisqu’il est souvent superficiel et passager, sauf si cela coïncide avec un temps fort de la société (lancement de nouveau produit ou événement-jalon important).
– Si les relations entre entreprises partenaires se sont confirmées être l’une des principales failles en cas d’attaque et de leurre, par exemple en matière de rançonnage avec des courriers du type « facture modifée » ou de fausses adresses bancaires (FOVI), l’observation plus fouillée fait ressortir qu’une partie très importante des coûts d’attaque provient de la déficience d’acteurs de l’écosystème de l’entreprise : prestataire ou éditeur informatique, opérateur télécom, fournisseur de messagerie, électricien, banquier, etc. Il est apparu que ces déficiences ou le manque de réactivité de nombre de ces acteurs alimentent le risque dans des proportions au moins comparables à celles engendrées par les déficiences internes.
– Enfin, contrairement à l’image d’une sécurité informatique qui s’obtiendrait par de forts investissements, l’étude souligne que la majorité des préjudices observés aurait pu être évitée ou atténuée par des modes de protection à coût modeste, et par une série de bonnes pratiques accessibles à la plupart des entreprises.
*Réalisée entre 2016 et 2019
** Entreprises invididuelles, TPE et PME de moins de 50 personnes et secteur associatif
Depuis quelques heures, vous recevez d’étonnantes factures ne correspondant à aucuns de vos achats. Explication de la malveillance cachée derrière cette missive électronique.
L’annonce des factures envoyée à plusieurs centaines de milliers d’exemplaires s’affiche assez simplement. En objet, le nom d’un site web. Le contenu du courriel vous affirme une commande en cours. « Votre commande numéro 1585432 d’un montant de 734€ a bien été encaissée par notre système de paiement. »
Un message qui a de quoi inquiéter. Plus de 700€ (certains autres courriels annoncent 300, 500, 700€). Comment est-ce possible ? piratage de votre compte bancaires ? Erreur d’une banque en votre défaveur ? Pas d’inquiétude. Il s’agit d’une arnaque. Ne cliquez pas, Data Security Breach l’a fait pour vous.
Fausse facture, faux sondage, vrai piège
En fait de facture, le lien proposé dans ce mystérieux courriel a pour mission de vous diriger vers un faux sondage. Mission, vous faire croire que vous allez pouvoir remporter une smartphone de dernière génération (iPhone, Samsung) pour la modique somme de 1€. Il faut lire les petites lignes pour comprendre le fonctionnement de ce – cadeau – : « Tous les nouveaux clients participent au tirage au sort du produit promotionnel […] Cette offre spéciale s’accompagne d’une période d’essai de 3 jours pour un service d’abonnement. »
C’est ici que le piège se referme. Pour recevoir votre téléphone, on vous réclame 1 euro de frais. Pour les payer, fournir son numéro de carte bancaire… et au bout de trois jours… vous voilà abonné pour 70 euros par mois.
Système marketing licite, les règles sont affichées, par particulièrement discutable. Derrière cette fausse facture et ce faux sondage, le site GaMoMu. Un espace appartenant à une habituée du genre, la société Chypriote CORIMANT LIMITED.
Pensé pour les utilisateurs, ce label permet aux acteurs de l’IoT de vérifier la sécurité d’une solution mettant en œuvre des objets connectés. Il constitue un indicateur fiable et indépendant pour les futurs acquéreurs ou usagers, professionnels comme particuliers.
La société digital.security, premier CERT européen dédié à la sécurité des objets connectés, annonce le lancement du programme de labellisation IoT Qualified as Secured (IQS), le premier programme de labellisation pour les acteurs de l’Internet des Objets (IoT) désireux de faire vérifier, par un tiers indépendant, la sécurité de leurs solutions IoT.
Avec plus de 14 milliards d’appareils IoT en circulation en 2019 et 25 milliards prévus d’ici 2021* les objets connectés sont devenus une cible privilégiée pour les cybercriminels. Ces derniers peuvent accéder physiquement à l’objet et mener des attaques sur les composants et les données personnelles ou sensibles, ou en prendre le contrôle à distance par le biais de la radio logicielle.
A qui s’adresse ce programme ?
IoT Qualified as Secured, ou IQS, permet aux industriels de l’IoT de vérifier la sécurité de leur solution mettant en œuvre des objets connectés. Matérialisé par le pictogramme IQS, c’est également un gage de sécurité pour les futurs acquéreurs ou usagers, entreprises comme particuliers.
Ses caractéristiques
Applicable à l’ensemble des secteurs économiques, le label IQS repose sur un référentiel intégrant à la fois les standards nationaux et internationaux de sécurité, les bonnes pratiques dites « d’hygiène de sécurité », et les exigences issues du retour d’expérience de digital.security.
Le cœur du label IQS est constitué d’une plate-forme d’évaluation de la sécurité des objets connectés -appelée EvalUbik – véritable banc de test permettant de mettre un objet connecté en condition d’utilisation paramétrable et contrôlée.
Deux niveaux de labellisation sont délivrés : standard et avancé.
Le label est délivré pour une durée de 2 ans aux solutions IoT (objets et services associés) respectant un ensemble d’exigences de sécurité publiées (entre 25 et 30 selon le niveau de labellisation).
La volonté de digital.security est de couvrir de façon objective et mesurable la grande majorité des exigences requises dans les pays de l’Union Européenne. La logique de millésime du label permet de le faire évoluer au rythme de la mise en place des règlements et des standards européens afin de permettre à tout acteur IoT d’inscrire sa démarche sécurité dans la durée.
Processus de labellisation
Le Comité de Labellisation, composé d’experts en cybersécurité indépendants de digital.security, confronte le rapport d’évaluation anonymisé au référentiel retenu pour accorder le certificat de labellisation.
Un référentiel d’exigences de sécurité adapté à l’IoT
Fruit des standards et des bonnes pratiques communément admises pour sécuriser les Systèmes d‘Information, complété du retour d’expérience des audits IoT réalisés par digital.security, le référentiel d’exigences de sécurité du label IQS couvre les thématiques suivantes :
La protection des échanges de données (PED)
Protection des socles techniques (PST)
La sécurisatoin de l’accès aux données (PAD)
Traçabilité (TRA)
L’ensemble des composants de la solution IoT candidate au label sont soumis au référentiel : les objets connectés, les protocoles de communication, les serveurs accessibles sur Internet et les applications fournies aux utilisateurs.
« Il n’y a pas d’innovation réussie sans maîtrise des risques», déclare Jean-Claude Tapia, président de digital.security. « Dans un marché mondial qui privilégie le time-to-market à un développement maîtrisé, il était essentiel pour nous de créer le premier label de référence sur la sécurité des objets connectés qui révolutionnent la façon dont les agents économiques et sociaux interagissent. Avec le lancement du label IQS, notre objectif, en tant que premier CERT IoT, est d’accompagner durablement cette révolution numérique pour le bénéfice de toutes les parties prenantes. », conclut Jean-Claude Tapia.
Actualités cybersécurité, protections des données pour PME/PMI/TPE
