Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Hacking

Une mise à jour Adobe Lightroom efface les photos

Voilà qui est fâcheux pour les utilisateurs de l’application Adobe Lightroom pour iPhone et iPad. La dernière mise à jour effacé les photos des utilisateurs.

Abracadabra… plus de photos ! La dernière mise à jour pour Adobe Lightroom à destination des iPhone et Ipad a effacé les photos des utilisateurs. Un étonnant bug qu’Adobe a rapidement corrigé, mais le mal était fait pour de nombreux utilisateurs. « Certains clients qui ont mis à jour vers Lightroom 5.4.0 sur iPhone et iPad peuvent perdre des photos et / ou des préréglages. Cela a affecté les clients utilisant Lightroom mobile sans abonnement au cloud Adobe. Cela a également affecté les clients du cloud Lightroom avec des photos et des préréglages qui n’avaient pas encore été synchronisés avec le cloud Adobe.« 

Les utilisateurs de l’outil dédié aux photos sous Android, MacOS et Windows n’ont pas connu cette faille. « L’installation de la version 5.4.1 ne restaurera pas les photos ou préréglages manquants pour les clients affectés par le problème introduit dans la version 5.4.0. » souligne Adobe en s’excusant du problème. « Nous savons que certains clients ont des photos et des préréglages qui ne sont pas récupérables. Nous savons à quel point cela sera frustrant et bouleversant pour les personnes touchées et nous nous excusons sincèrement.« 

Hacking

Mode d’emploi pour combattre les pirates de la Corée du Nord

Un mode d’emploi de l’armée américaine explique l’armée de la Corée du Nord et sa section hacking étatique.

La campagne médiatique militaire US à l’encontre de la Corée du Nord vient de voir apparaître, en ce mois d’août, un nouveau document du DoD, le Département de la Défense US, concernant les pirates informatiques de la Corée du Nord. On y apprend que l’armée américaine affirme que de nombreux pirates nord-coréens sont basés en dehors de la dictature locale, dans des pays comme la Biélorussie, la Chine, l’Inde, la Malaisie et la Russie. Une cyber armée forte de 6 000 e-soldats. De nombreux pirates affichés comme membre de l’armée de PyongYang ont été arrêtés en Thaïlande, Philippine ou encore en Chine.

Déjà, en 2011, des petites mains du Gold Farming (création de personnage dans des jeux vidéo pour les revendre) étaient arrêtées en Chine. Quinze pirates informatiques nord coréens. Ils pirataient la planète afin de récupérer des « dollars » pour Kim Jong-Li. Parmi leurs actions, de la revente d´or créés dans World of Warcraft.

Tactiques nord-Coréennes

Ce document de 332 pages est un manuel militaire baptisé « Tactiques nord-Coréennes ». Il a été rendu public en juillet 2020. Il revient surtout sur l’armée populaire coréenne et les tactiques conventionnelles. Un chapitre relate la section numérique de cette force armée. « La plupart des opérations de guerre électronique et dans le cyberespace ont lieu au sein de l’Unité d’orientation de la guerre cybernétique, plus connue sous le nom de Bureau 121″, explique l’armée américaine. Le Bureau 121 a connu une croissance exponentielle ces dernières années ». Toujours selon ce document, le Bureau 121 est passé « d’au moins 1 000 hackers d’élite en 2010 à plus de 6 000 membres aujourd’hui ». Des chiffres assez fantaisiste. Ce qui reste très étonnant pour un document militaire.

Par exemple, en 2013, un rapport du ministère sud-coréen de la Défense parlait déjà de 3 000 soldats pirates en 2013. En 2014, le DoD vendait déjà les black hat de Pyongyang comme « la 3e armée armée de hackers du monde » derrière la Russie et les États-Unis.

En 2014 déjà, l’Agence de Presse Reuters annonçait une armée de 6 000 soldats dédiés à la guerre électronique, au hacking … La source était des transfuges de Corée du Nord. Ils indiquaient alors que le Bureau 121 était composé « de certains des experts en informatique les plus talentueux de l’État, faisait partie du Bureau général de reconnaissance, une agence d’espionnage d’élite dirigée par l’armée« . Un ancien Nord Coréen ayant étudié dans une université informatique militaire partait d’une cyber armée forte de 1 800 hommes. Au même moment, d’autres transfuges annonçaient 1 200 hackers.

Le « North Korean Tactics » 2020 de l’Oncle Sam reprend des données diffusées dans un autre document baptisé lui aussi « north Korean Tactics » publié en 2001.

121 Office

Bref, les vrais chiffres sur cette armée de pirates restent et resteront flou. Une armée de pirates qui aurait été créée en 1998 à la demande de Kim Jong-il (une idée de son fils alors en Suisse ?). Un parfait fantasme pour la communication de la Corée du Nord, comme pour les Etats-Unis. Le New York Times indiquait en 2017 qu’il était estimé que 1700 soldats opéraient de la Corée du Nord, secondés par 5 000 autres, via l’étranger.

Pour rappel, après l’attaque de Sony en novembre 2014 imputée à la Corée du Nord, Barack Obama avait indiqué qu’une riposte à ce piratage était possible « dans un lieu, à l’heure et de la manière que nous choisirons ». Quelques jours plus tard, l’Internet de la Corée du Nord subissait une coupure via un DDoS (inonder un réseau de trafic jusqu’à ce qu’il s’effondre sous la charge) qui se sera jamais revendiqué. Les pirates de Sony avait indiqué ne pas être affilié au pays dont on leur affublé l’origine. En 2014, les pirates Nord Coréens avaient été accusés d’avoir infiltré l’informatique de la chaîné de TV Channel Four. Cette dernière devait diffuser une émission sur un chercheur britannique kidnappé à Pyongyang.

Fin juillet, échappant aux sanctions internationales visant à interrompre son programme d’armement nucléaire, la Corée du Nord a exploité des vulnérabilités présentes dans certaines parties du secteur bancaire de la République démocratique du Congo (RDC) afin d’accéder au système financier mondial, révèle un rapport d’enquête.

Depuis au moins 6 ans, le bureau 121 aurait en gestion au moins 6 000 soldats pirates. Autant dire qu’en 6 ans, ce chiffre a pu être multiplié par 2 … ou zéro. La bande passante locale est estimée à 2,5 gigabits. Il suffit de visiter un site comme celui de l’association des cuisiniers Nord Coréens (sic!) cooks.org.kp pour apprécier le débit ! Si à cela vous rajoutez les coupures de courant et un intranet (Kwangmyong) trés limité, les pirates Nord Coréens ont effectivement intérêt à agir de l’étranger !

The Andarial Group, Bluenoroff and Co

Le 121 Office n’est qu’une sub-division d’une organisation plus vaste comprenant « The Andarial Group ». Plus ou moins 1 600 soldats. La mission est de recueillir des informations en menant des reconnaissances sur les systèmes informatiques ennemis et la création d’une première évaluation de vulnérabilités. Ce groupe cartographie le réseau ennemi en vue d’une éventuelle attaque.

Ensuite, Le groupe Bluenoroff. 1 700 hommes et femmes dont la mission est de mener des actions de cybercriminalité financière en en se concentrant sur l’évaluation à long terme et l’exploitation des vulnérabilités des réseaux ennemis. Ce groupe exploite les systèmes à des fins de gain financier pour le régime ou pour prendre le contrôle du système.

Vient ensuite le Régiment de brouillage de guerre électronique. Situé à Pyongyang

Pour finir, le groupe Lazarus. Nombre inconnu de membres dont la mission est de créer un chaos social via des attaques informatiques. Ce groupe serait derrière l’attaque WannaCry en 2016 et 2017.

Deux fournisseurs d’Internet en Corée du Nord (Star Joint Ventures l’unique FAI du pays) : la Chine, via China Unicom et la Russe (depuis 2017) via TransTelekom. Même sauce pour la 3G avec l’unique opérateur Koryo link. La Corée du Nord dispose d’un peu plus de 1 024 IP officielles (175.45.176.0 à 175.45.179.255) pour 25 millions d’habitants et 115 sites web hébergés dans le pays. La compagnie aérienne Air Koryo était hébergée par exemple à Singapour avant de revenir dans un hébergement 100% locale.

Bref, des pirates informatiques étatiques qui ont pour mission de palier l’obsolescence des armes, radars et autres matériels de l’armée Nord Coréenne. L’armée de terre utilise encore des équipements avec plusieurs générations de retard sur ses ennemis potentiels.

Cybersécurité

Les compagnies aériennes face à l’usurpation d’identité par courriel

La pandémie de COVID-19 a entraîné l’arrêt brutal des voyages internationaux et, bien qu’un certain nombre de pays tentent d’assouplir leurs mesures, les restrictions restent encore majoritaires. Si le secteur du tourisme a toujours été une cible privilégiée pour les cybercriminels, la pandémie a offert de nouvelles raisons de cibler les voyageurs du monde entier : informations sur leurs réservations, recherche de nouveaux vols et conditions d’annulation. Les cybercriminels ont pu tirer parti de cette incertitude mondiale pour mettre en œuvre de nouvelles menaces.

L’email étant le principal vecteur utilisé par les cybercriminels pour propager une cyberattaque, vérifier le niveau de sécurité de ce canal est un bon indicateur du niveau de protection et du risque encouru pour une marque. Et le moyen le plus efficace pour contrôler ce niveau de sécurité consiste à observer la mise en œuvre du protocole DMARC (Domain-based Message Authentication, Reporting & Conformance) au sein des organisations à étudier.

Standard DMARC

Ce standard DMARC est l’équivalent d’un contrôle de passeport dans le monde de la sécurité des emails. Il vérifie que vous êtes bien celui que vous prétendez être en authentifiant correctement les expéditeurs par rapport aux normes DKIM (Domain Keys Identified Mail) et SPF (Sender Policy Framework) établies. Cette authentification protège les employés, les clients et leurs partenaires, contre les cybercriminels qui cherchent à usurper l’identité d’une marque de confiance.

Des employés de chez Proofpoint ont mené une analyse DMARC sur les 296 compagnies aériennes membres de l’Association internationale du transport aérien (IATA) – représentant 82 % du trafic aérien total, révèle aujourd’hui qu’une majorité de ces compagnies est fortement exposée au risque de cyberattaque :

61 % des compagnies aériennes n’ont pas de registre DMARC publié, les rendant plus vulnérables aux cybercriminels qui usurpent leur identité et augmentant le risque de fraude par email visant les consommateurs.

93 % des compagnies aériennes n’ont pas mis en œuvre l’intégralité de la protection DMARC, ce qui signifie que seuls 7 % des compagnies aériennes protègent de manière proactive leurs clients des emails frauduleux usurpant leur nom de domaine. L’email reste le vecteur principal de menace employé par les cybercriminels. Pourtant, l’ensemble des compagnies aériennes ne mettent pas suffisamment de moyens pour se protéger, s’exposant aux attaques de phishing ou campagnes d’usurpation d’identité.

A l’échelle mondiale

La Chine et l’Asie du Nord ont le plus faible niveau d’adoption du DMARC : 85 % des compagnies aériennes de ces régions n’ayant aucun nom de domaine enregistré, donc aucune visibilité sur l’utilisation non autorisée de leurs domaines. Viennent ensuite l’Asie Pacifique (70 %), l’Europe et le Moyen-Orient et l’Afrique (57 % dans les deux régions) et les Amériques (43 %).
En ce qui concerne la protection proactive de leurs clients contre la fraude par email, la Chine et l’Asie du Nord sont les plus mal loties, 100 % des transporteurs n’ayant pas mis en place la politique DMARC la plus stricte. Viennent ensuite l’Europe, le Moyen-Orient et l’Afrique (93 % dans les deux régions), et l’APAC et les Amériques (89 % dans les deux régions).

En Europe

Seules 43 compagnies sur 101 ont une politique DMARC publiée (43%), ce qui signifie que 57% n’ont aucune protection DMARC en place.
Seules 7 compagnies sur 101 (7 %) ont la mise en œuvre complète recommandée de DMARC pour protéger leurs clients contre les emails frauduleux usurpant leur nom de domaine. Cela signifie qu’un pourcentage alarmant de 93% n’a pas la sécurité requise en place pour empêcher les attaques frauduleuses d’atteindre les utilisateurs.

Il est primordial pour les compagnies aériennes et tous les autres secteurs de continuer leurs efforts pour sécuriser leur infrastructure et de mettre en place des défenses solides afin d’empêcher l’arrivée de nouvelles menaces.

backdoor, Cybersécurité

Chasse aux backdoors dans des appareils Cisco contrefaits

Une enquête met en lumière l’impact des composants contrefaits dans une infrastructure informatique. Et si derrière la copie se cachait une backdoor.

Des spécialistes de la sécurité matérielle viennent de publier un rapport détaillant une enquête concernant des commutateurs réseau contrefaits. L’enquête a conclu que les contrefaçons étaient conçues pour contourner les processus qui authentifient les composants du système.

L’équipe de sécurité matérielle de F-Secure Consulting a enquêté sur deux versions contrefaites différentes de commutateurs Cisco Catalyst série 2960-X. Les contrefaçons ont été découvertes par une société informatique après une mise à jour logicielle ratée. Une panne courante du matériel contrefait/modifié aux nouveaux logiciels.

D’abord, les enquêteurs ont découvert que si les contrefaçons ne possédaient pas de fonctionnalités de type « backdoor » (porte cachée), elles employaient néanmoins diverses mesures pour tromper les contrôles de sécurité. Par exemple, l’une des unités a exploité ce que l’équipe de recherche pense être une vulnérabilité logicielle non découverte auparavant pour miner les processus de démarrage sécurisés qui assurent une protection contre la falsification des microprogrammes.

« Nous avons découvert que les contrefaçons étaient construites pour contourner les mesures d’authentification, mais nous n’avons pas trouvé de preuves suggérant que les unités présentaient d’autres risques« , a déclaré Dmitry Janushkevich, consultant senior de l’équipe « Sécurité matérielle » de F-Secure Consulting, et auteur principal du rapport. « Les motifs des faussaires se limitaient probablement à gagner de l’argent en vendant les composants.« . Bref, il est indispensable de vérifier minutieusement tout matériel rentrant dans l’entreprise.

Derrière la contrefaçon

Ensuite, les contrefaçons étaient physiquement et opérationnellement similaires à un authentique commutateur Cisco. L’une des études techniques de l’unité suggère :

  • Les contrefacteurs investissent massivement dans la reproduction du design original de Cisco ;
  • Ils ont eu accès à une documentation technique propriétaire pour les aider à créer une copie convaincante.

« Les services de sécurité ne peuvent pas se permettre d’ignorer le matériel altéré/modifié. Ils doivent enquêter sur toutes les contrefaçons présentes dans la société« . Sans démolir le matériel et l’examiner de fond en comble, les organisations ne peuvent pas savoir si un dispositif modifié a eu un impact plus important sur la sécurité.

Enfin, l’impact peut être suffisamment important pour saper complètement les mesures de sécurité et de protection mises en place dans l’organisation.

Pour conclure, voici quelques conseils pour aider les organisations à se prémunir contre l’utilisation de composants contrefaits :

Procurez-vous tous vos composants auprès de revendeurs autorisés
Disposer de processus et de politiques internes clairs qui régissent les procédures de passation de marchés ;
S’assurer que tous les composants fonctionnent avec les derniers logiciels disponibles fournis par les fournisseurs ;
Notez les différences physiques entre les différentes unités d’un même produit, même si elles sont subtiles.

Communiqué de presse

Prospecter sur Linkedin via un bot

Comment générer de nouveaux contacts via le site de réseautage Linkedin. Développer son business en toute sécurité.

Je ne sais pas si vous êtes sur Linkedin, mais si c’est le cas, avez-vous remarqué cette hausse de demandes de mise en relation provenant de personnes « louches » à l’avatar très synthétique et aux premières demandes, en privée tout aussi inhumaine. Vous avez très certainement croisé un bot malveillant, aux intentions toutes aussi désagréables (collectes d’informations, diffusions de codes malveillants, …). Autant dire qu’il peut rapidement devenir compliqué de trouver les bons contacts pour son travail, son business, son relationnel professionnel.

Une société Française, Propsectin, propose une solution qui vous permettra de générer de vrais et nouveaux contacts qualifiés. Avec plus de 500 millions d’utilisateurs, automatiser cette tache via un outil efficace, facilitera cette prise de contact. D’autant plus que l’outil de cette entreprise Française permet de ne plus envoyer à la main, une par une, les demandes de contact. Ce qui ne vous empêchera pas de personnaliser votre message. Rien de plus énervant que de recevoir un message qui sent bon le robot. Intéressant, l’entreprise propose une extension pour le navigateur Chrome qui vous permettra d’automatiser tout en respectant les limites quotidiennes fixées par LinkedIn.

Compatible est une excellente alternative à des outils tels que Dux-Soup, Octopus CRM, LinkedHelper, PhantomBuster, Meet Alfred, Meet Linda, … Plusieurs tarifs sont proposés. Il existe une proposition gratuite. Elle est parfaite pour une recherche d’emploi. Elle permet de visiter et suivre des profils ; diffusion de messages personnalisés ; demandes d’invitations automatisées. Ensuite, trois tarifs, 9, 19 et 100€ par mois. Bien évidement avec des options plus poussées comme le nombre de messages illimités, la sécurité pour éviter d’envoyer deux invitations à la même personne ou encore la possibilité de créer des scénarios personnalisés.

Une vidéo de démonstration, ci-dessous, vous permet de vous donner une bonne idée de cet outil et de ses très nombreuses possibilités.

Pour visiter Propsectin ici.

Infiltration via Linkedin

Choisir ses de bons contacts est loin d’être chose aisée. D’autant plus que les malveillants usent de stratagème dès plus vicieux pour infiltrer les vies numériques de professionnels ciblés. Par exemple, en juin 2020, nous apprenions que des pirates s’étaient fait passer pour des recruteurs des sociétés aéronautiques Collins Aerospace and General Dynamics. Ils vont réussir, via cette usurpation, à piéger les utilisateurs et l’algorithme mis en place par le réseau social professionnel.

Une méthode qui aurait permis une infiltration dans des réseaux militaires basés en Europe. Par ce biais, et ces multiples rebonds, ils ont pu compromettre la vigilance, officiellement, de deux entreprises spécialisées en Europe. Admettons quand même que l’éducation et la formation à ce type de problématique du personnel semble avoir fait largement défaut… ou alors ces derniers n’ont rien écouter car « Cela n’arrive qu’aux autre ! ». Ils ont cliqué sur un lien proposé dans les messages et… paff ! De l’usurpation sur Linkedin qui ne date pas d’hier. Il devient indispensable d’en comprendre son fonctionnement pour s’en protéger. La Chine (après la Corée du Nord) a été montré plusieurs fois de la souris. Le « pays » aurait utilisée de faux comptes pour recruter des espions. Selon la défense US, des agents de service de renseignements américains auraient ainsi été recrutés de la sorte.

En exemple, Kevin P. Mallory, ancien agent de la CIA. Il a été condamné à 20 ans de prison pour avoir fourni des informations sensibles à un internaute pas comme les autres. Un espion chinois, passé par Linkedin. Il s’était fait passer pour un membre d’un groupe de réflexion économique Think-Tank.

Au premier trimestre 2019, Linkedin a orchestré un grand ménage. Plus de 21 millions de faux comptes avaient été bloqués. 3,4 millions de comptes ont été restreints car ils respectaient pas les règles du site de réseautage professionnel. A la même date, 85 600 profils avaient été détectés comme faux ou ne respectant pas les règles de Linkedin. En juin 2019, l’avatar Katie Jones, un faux compte avec une photographie de profil créée via une intelligence artificielle avaient réussi des mises en relation avec des politiciens de Washington.

Cybersécurité, double authentification

Un centre de contact pour palier les escrocs du web

Un centres de contact pour palier les escrocs du web

Parmi les nombreuses méthodes d’infiltrations pirates, le téléphone. Des pirates, tel que le groupe Sekhmet n’hésitent pas à téléphoner aux entreprises sous cyber attaque pour les faire chanter. Et pourquoi ne pas faire appel à un centre d’appel pour filtrer les premiers contacts.

Fraude au faux virement (FoVI), collecte d’informations, chantage … les fraudes par le biais d’un appel téléphonique sont aussi nombreuses que les lames dans un couteau Suisse. Des groupes de pirates informatiques, comme les opérateurs du ransomware (rançongiciel) Sekhmet le disent eux même : « We can’t say for sure but we think that we are the first group that tries to contact the companies by phone as soon as possible after the incident » – (Nous ne pouvons pas le dire avec certitude, mais nous pensons être le premier groupe à essayer de contacter les entreprises par téléphone le plus rapidement possible après l’incident.)

Bref, former son personnel aux questions de cyber sécurité est indispensable. Une notion qui doit inclure la gestion des appels téléphoniques. Faire appel à un centre de contact peut-être une solution. Nous nous sommes penchés sur Odigo, un des leaders mondiaux des centres de contact as a service (CCAAS) et de l’expérience client. Un de leur article de blog revient sur le télétravail, la cyber sécurité et les informations à fournir lors d’un appel téléphonique.

Hervé Leroux, le directeur marketing & communication d’Odigo explique qu’en matière de sécurité, il est indéniable qu’à l’ère du RGPD, l’usage du cloud soulève de nombreux enjeux autour de sujets tels que le stockage, la rétention, la portabilité, l’accessibilité en continue, mais aussi bien sûr la protection des données. « Nous offrons une sécurité améliorée, renforcées. Peu importe le lieu d’actions des agents.« 

Deux certifications indispensables, ISO-27001 & ISO-9001. L’opérateur du centre doit impérativement respecter les normes spécifiques de l’industrie : traitement des cartes bleues (norme PCI DSS), les données de santé (HDS).

Des équipes d’un centre d’appel qui n’ont pas accès aux « secrets » de l’entreprise : téléphone de la direction, adresses mails de la DRH, code wifi, systèmes utilisés en interne … pour ne citer que ces quatre exemples pouvant être recherchés par les pirates sans parler d’une protection active des appelants.

Chiffrement, Cybersécurité

La menace cyber la plus présente pour les MSP

Les rançongiciels, la menace cyber la plus présente pour les PME. Les décideurs MSP qui gèrent les systèmes informatiques des petites et moyennes entreprises face à un danger très présent.

Un ransomware (ou rançongiciel en français) est un logiciel informatique malveillant qui prend en otage les données et/ou fichiers. Ce logiciel chiffre et bloque les fichiers que contiennent un ordinateur et demande une rançon en échange d’une clé qui permet de les déchiffrer.

Les PME, une cible de choix pour les pirates informatiques

En général, les grandes entreprises ont des systèmes de sécurité plus avancés, alors que les petites entreprises n’ont pas les moyens et les ressources pour sérieusement sécuriser leur parc informatique. Et les hackers l’ont bien compris.

Le nombre d’attaques de rançongiciels contre les PME est en augmentation. Quatre-vingt-cinq pour cent des MSP ont signalé des attaques contre des PME en 2019, contre 79 pour cent des MSP qui ont signalé la même chose en 2018.

De plus, il existe une réelle déconnexion sur l’importance des ransomwares en tant que menace. 89% des MSP indiquent que les PME devraient être très préoccupées par la menace des ransomwares. Cependant, seulement 28% des MSP déclarent que les PME sont très préoccupées par la menace.

Les MSP également dans le viseur

Les MSP sont également une cible privilégiée des attaques de ransomwares. Quatre MSP sur cinq déclarent être de plus en plus ciblés par des attaquants.

Cependant, seulement la moitié des MSP ont une expertise externe disponible pour les aider en cas d’attaque à grande échelle contre eux ou leurs clients.

«Les MSP doivent donner le ton à leurs clients PME lorsqu’il s’agit de se préparer et de répondre aux attaques de ransomwares», a déclaré Ryan Weeks, directeur de la sécurité de l’information chez Datto.

Comment s’en protéger ?

Il existe de nombreuses recommandations pour diminuer le risque d’attaque telles que former les employés aux risques de cybersécurité, mettre à jour les systèmes, renforcer les politiques de mots de passe etc. Cependant, et surtout en sécurité informatique, le risque zéro n’existe pas.

Il existe trois scenarios de défense pour ce type d’attaque :

  • Atténuation des risques: Il s’agit de mettre en place des solutions pour diminuer le risque d’attaque. L’authentification multifacteur est l’un des contrôles les plus efficaces pour se protéger contre les accès non autorisés.
  • Préparation d’un processus de récupération: Ici, il s’agit de se préparer en cas d’attaque et de réagir après l’attaque. Il ne faut surtout pas payer la rançon car vous n’êtes pas sûrs de récupérer vos données. Votre plus belle arme est d’effectuer une sauvegarde régulière de vos données afin de s’assurer de récupérer l’intégralité de vos données.
  • Détection et approche proactive: Cette approche consiste à détecter et arrêter l’attaque avant que tout dommage ne soit causé. Si vous avez en place un système pour détecter les attaques de ransomware, vous pouvez y mettre un stop avant le chiffrement de vos données.

En savoir plus…

Pour en savoir plus sur ce sujet, n’hésitez pas à vous inscrire gratuitement à la conférence en ligne organisée par BeMSP puis à participer à la session animée par FileAudit le 7 juillet à 14h30 : « Sécuriser simplement les PME contre les activités malveillantes en mode MSP ».

Intervenants :

backdoor, Chiffrement, Cybersécurité

Tycoon, le ransomware qui infiltre les petites et moyennes entreprises dans les domaines de l’éducation et du logiciel

Le rançongiciel Tycoon tente d’infiltrer de petites et moyennes entreprises dans les domaines de l’éducation et du logiciel.

La société Blackberry Research & Intelligence vient de publier une étude concernant le ransomware Tycoon. La découverte d’une « nouvelle » souche montre que les attaquants deviennent de plus en plus créatifs et ont des programmes R&D qui ne se cachent plus.

Jusqu’à présent, les acteurs de cette menace ont utilisé ce rançongiciel pour infiltrer de petites et moyennes entreprises dans les domaines de l’éducation et du logiciel. Ce code malveillant utilise un format d’image inhabituel afin de passer inaperçu (Java IMAGE). Il verrouille les accès des administrateurs systèmes en attaquant leur contrôleur de domaine et leurs serveurs de fichiers. La typologie des victimes et le texte de rançon suggèrent un lien avec le ransomware Dharma/CrySIS.

Les pirates désactivent les solutions anti-malware à l’aide de l’utilitaire ProcessHacker. Ensuite, ils modifient les mots de passe des serveurs Active Directory. Cela laisse la victime incapable d’accéder aux systèmes infiltrés.

Le rançongiciel Tycoon se présente sous la forme d’une archive ZIP contenant une version JRE (Trojanized Java Runtime Environment). Le malware est compilé dans un fichier image Java (JIMAGE) situé dans lib\modules.

Il semble exister plusieurs versions de ce code malveillant. Il rajoute comme extension aux documents pris en otage : .grinch ou encore .thanos.

Les victimes, des cibles classiques. Plus fragile à une cyber attaque et plus à même de payer face à la perte de toutes leurs données. A lire, à ce sujet, une technique employée par les pirates opérateurs du ransomware Sodinokibi, découverte par la société en cyber sécurité de Montréal The 8 Brains, à destination des particuliers, PME et étudiants.

Cybersécurité

Des applications VPN frauduleuses pour iOS tentent d’escroquer les utilisateurs

Mise en garde contre les applications « fleeceware » sur l’App Store d’Apple et partage quelques conseils pour éviter de se faire escroquer par ces applications

Fleeceware – Découverte de trois applications qui surfacturent les utilisateurs, ne fournissent pas les services dont elles font la promotion et semblent être des « fleecewares ». Les applications sont disponibles sur l’App Store d’Apple sous la dénomination Beetle VPN, Buckler VPN et Hat VPN Pro. Selon les données de Sensor Tower, une société spécialisée dans les renseignements et l’analyse marketing des applications mobiles, les applications ont été téléchargées plus de 420 000, 271 000 et 96 000 fois, respectivement, entre avril 2019 et mai 2020.

Les applications se font passer pour des applications VPN, facturant 9,99 dollars US (un peu moins de 9 euros) par semaine pour un abonnement une fois que leur essai gratuit de trois jours a expiré. Les applications affichent toutes des notes hautes, allant de 4,6 à 4,8, accompagnées de commentaires positifs. Des avis écrits de la même manière. Des messages comme potentiellement factices. Parmi les critiques élogieuses, se trouvent quelques commentaires qui mettent en garde contre ces escroqueries. Les politiques de confidentialité des applications sont également très similaires en termes de langage et de structure.

 Les chercheurs d’Avast ont installé les trois applications et sont parvenus à acheter des abonnements pour chacune d’entre elles. Cependant, lorsqu’ils ont essayé d’utiliser les VPN, les applications ne proposaient à nouveau que des options payantes. Après le nouvel achat, les chercheurs apprennent qu’ils ont déjà un abonnement. Mais pas de connexion VPN avec aucune des applications.

Zone crise des escrocs

Les applications fleeceware se situent dans une zone grise, car elles ne sont pas malveillantes en soi, elles font simplement payer aux utilisateurs des sommes faramineuses pour des abonnements hebdomadaires, mensuels ou annuels donnant accès à des fonctionnalités qui devraient être proposées à des coûts beaucoup moins élevés.

‘ »es applications ne présentent pas un caractère malveillant ; elles contournent les processus de filtrage pour intégrer les « app stores » officiels auxquels les utilisateurs font confiance. De nombreuses personnes se tournent vers les applications VPN pour protéger leurs données lorsqu’elles travaillent à distance, ce qui montre à quel point il est important pour les utilisateurs de faire des recherches sur ce type d’applications avant de les installer, notamment pour savoir qui est à l’origine du produit, leurs antécédents avec d’autres services et les avis des utilisateurs, ainsi que leur expérience en matière d’applications de sécurité et de confidentialité  » indique Nikolaos Chrysaidos, Directeur sécurité et intelligence mobile chez Avast.

Comment les utilisateurs peuvent-ils reconnaître les applications « fleeceware » ?

Les applications « fleeceware » peuvent prendre n’importe quelle forme. Les commentaires qui s’y rapportent semblent souvent factices. Des utilisateurs emploient des formulations telles que « Sensationnel » ou « J’adore ». Les commentaires authentiques indiquent le plus souvent que l’application ne fonctionne pas. Qu’elle fait payer aux utilisateurs des sommes importantes à leur insu.

Les applications « fleeceware » offrent généralement un essai gratuit de trois à sept jours, mais elles peuvent exiger des utilisateurs qu’ils saisissent leurs informations de paiement avant le début de l’essai, et elles facturent ensuite automatiquement des sommes exorbitantes au terme de la période d’essai.

 Les utilisateurs doivent bien prendre connaissance des modalités applicables à l’issue de la période d’essai d’une application et du montant des frais qui seront facturés après une période gratuite, afin de vérifier si ces frais seront automatiquement déduits de leur carte bancaire de façon permanente, sauf s’ils annulent l’abonnement.

Cybersécurité, double authentification

Les connexions VPN ont besoin de 2FA

Comment l’authentification à deux facteurs sécurise votre réseau VPN

L’authentification à deux facteurs (2FA) empêche les pirates d’accéder à votre réseau à l’aide d’identifiants compromis. La 2FA oblige les utilisateurs à valider leur identité en présentant un deuxième facteur de sécurité en plus de leur mot de passe. Au moment de la connexion à un réseau d’entreprise, les utilisateurs doivent d’abord saisir leurs informations d’identification Active Directory, suivies d’un mot de passe à usage unique (OTP) basé sur le temps ou HMAC. Cet OTP (un code numérique) est affiché sur quelque chose qu’un utilisateur «possède», comme par exemple une application pour smartphone spécialisée appelée authentificateur ou un jeton matériel programmable type Token2 ou YubiKey.

L’une des idées clés derrière la 2FA est qu’il est extrêmement difficile d’usurper l’identité d’un utilisateur sans avoir accès à ce deuxième facteur. Cela signifie que même si des pirates informatiques parviennent à voler tous les noms d’utilisateur et mots de passe de vos employés, ils ne pourront toujours pas accéder à votre VPN car ils ne disposent pas du code 2FA.

Il s’agit d’une couche de sécurité supplémentaire contre les accès non autorisés à vos systèmes.

Comment UserLock rend la 2FA plus facile et sécurisée pour vos sessions VPN

L’une des principales critiques à l’encontre de la 2FA est le fait que ce soit complexe et qu’elle oblige l’utilisateur à prendre des mesures supplémentaires – ce que les utilisateurs n’apprécient pas.

UserLock présente une solution 2FA qui est à la fois sécurisée et facile à utiliser. La dernière version bêta du logiciel vient d’être publiée, et elle permet désormais d’appliquer la 2FA aux connexions VPN.

UserLock s’associe de manière transparente à Active Directory pour faciliter l’implémentation de l’authentification multifacteur dans toute une organisation.

UserLock prend en charge la MFA via des applications d’authentification qui incluent Google Authenticator, Microsoft Authenticator et LastPass Authenticator, ou des jetons matériels programmables tels que YubiKey et Token2.

Bien qu’il n’y ait pas de sécurité absolue, il est juste de dire qu’avec UserLock, vous obtenez un équilibre parfait entre sécurité et convivialité.