Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Fuite de données

40 opérateurs de ransomwares décortiqués

En décembre 2020, le blog ZATAZ présentait une enquête de plus d’un an concernant les maîtres chanteurs du web officiant derrière un ransomware. L’analyse et les fichiers viennent d’être mis à jour.

Plus de 40 groupes analysés, les actions des pirates et de leurs victimes décortiquées. L’étude de ZATAZ concernant les opérateurs de ransomware fait froid dans le dos tant le nombre de victimes est important. Cette étude, baptisée « Ransomware 365 » vient d’être mise à jour.

Il est possible de récupérer, pour chaque groupe (Doppel, Sodinokibi, Cl0p, Nifilim, P2K, Netwalker, Avaddon, Egregor, Mountlocker, Darkside, Conti, 777, Everest, Ragnarok, Banbuk …) un dossier reprenant les secteurs, les pays, les entreprises touchées.

Si le mois de janvier semble avoir été « plus calme« , de nouveaux groupes sont apparus alors que d’autres, comme Egregor et Sodinokibi, pourtant très actifs, ont totalement disparu du darkweb (et du web). « Arrêtés, à la retraite ou en cours de changement de méthodes » indique ZATAZ.

Securite informatique

Un centre hospitalier Belge malmené par une cyberattaque

Le Centre hospitalier Belge de la ville de Tournai impactée par une cyberattaque.

Le centre hospitalier Belge de Tournai, commune Belge à la frontière Franco-Belge, victime d’une attaque informatique qui a imposé à l’administration de l’entreprise de santé de stopper toutes ses opérations de soin non urgentes. Une cyberattaque qui ressemble à un ransomware, mais selon la communication interne, aucune demande de rançon n’aurait été réclamée.

80 des 300 serveurs informatiques du CH ont été impactés. Plus aucun accès aux données informatiques, imposant aux personnels de consulter les dossiers papiers. La communication indique aussi qu’aucun vol informatique n’a été constaté. Une centaine d’opérations a été annulée lundi. Etonnante cyberattaque ! L’intérêt des pirates ? Ne rien voler ? Ne pas demander d’argent ?

Voilà une action, mais ce n’est que mon expérience qui parle, que ce poker menteur risque de voir un perdant, les patients.

Mise à jour, Patch

83 vulnérabilités dont 10 critiques, une vulnérabilité Zero Day et correctifs Adobe

Le premier Patch Tuesday de l’année permet de résoudre 50 vulnérabilités. Les 10 vulnérabilités critiques concernent les codecs Windows, Office, des extensions vidéo HEVC, le runtime RPC ainsi que les postes de travail. Pour sa part, Adobe a publié des correctifs pour Photoshop, Campaign Classic, InCopy, Illustrator, Captivate, Bridge et Animate.

Correctifs pour les postes de travail

Le déploiement de patches pour Office et Edge est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Les serveurs multi-utilisateurs faisant office de postes de travail distants sont également concernés.

Zero Day par exécution de code à distance dans Microsoft Defender

Microsoft corrige la vulnérabilité par exécution de code à distance (CVE-2021-1647) dans Defender en publiant un correctif pour Microsoft Malware Protection Engine. Microsoft a déclaré que cette vulnérabilité était exploitée avant que des correctifs ne soient disponibles. Ce correctif doit être déployé en priorité.

Élévation de privilèges avec le processus splwow64

Même si Microsoft précise que ce problème (CVE-2021-1648) concerne une vulnérabilité par élévation de privilèges, cette faille peut être exploitée pour divulguer des informations et plus particulièrement de la mémoire non initialisée. Microsoft a déclaré que cette vulnérabilité n’a pas été exploitée en mode aveugle, même si les détails la concernant sont disponibles publiquement.

Adobe

Adobe publie des correctifs pour de nombreuses vulnérabilités dans Adobe PhotoshopIllustratorAnimate, Campaign, InCopy, Captivate et Bridge. Les correctifs pour Adobe Campaign sont de Priorité 2 tandis que les autres patches sont de Priorité 3Même si aucune des vulnérabilités rapportées par Adobe n’est a priori activement attaquée pour l’instant, tous les correctifs doivent être déployés en priorité sur les systèmes où ces produits sont installés. (Par Animesh Jain, Directrice des produits Signatures des vulnérabilités chez Qualys)

Fuite de données

Six groupes de ransomwares ont disparu du darkweb

Voilà qui est très intéressant. De nombreux groupes opérateurs de ransomwares viennent de disparaitre du darkweb. Leurs différents sites ne répondent plus.

Le FBI ? Interpol ? Un pur hasard ? Une envie de se racheter et d’arrêter le massacre ? Les pirates informatiques, partenaires/membres des groupes Egregor, Doppel, Sodinokibi, Netwalker, AKO, CONTI n’ont plus de site web. Des espaces cachés dans le darkweb, via Tor, ou tout simplement sur la toile, sur le web.

Tout a débuté avec Egregor, début janvier, puis AKo, Sodinokibi.

Ce 9 janvier 2021, CONTI et Sodinokibi ont suivi cette vague silencieuse.

Les prochaines heures/jours nous diront si, enfin, nous sommes débarrassés de ces malveillants du web.

Détail intéressant, le 8 janvier, le FBI diffusait une note sur le groupe Egregor. Un hasard !

A eux six, comme l’a expliqué zataz.com dans en enquête qui a durée 1 an, plus de 840 chantages d’entreprises (plus de 200 pour Egregor).

Des menaces de divulgations de données volées lors d’infiltration et de prise d’otages de l’informatique et fichiers des victimes rançonnées.

Mise à jour : les pirates du groupe Doppel sont revenus. Ils en ont profité pour diffuser les données de leur derniére victime en date, le groupe Belge Brustor.

Cybersécurité

Faux site Cdiscount, vrai piége pirate

Depuis quelques jours, le site cdiscount.com.recapitulatif-cds.com vous propose d’annuler une commande que vous auriez pu effectuer. Attention piège à pirate !

Plusieurs lecteurs de ZATAZ m’ont indiqué avoir été la cible d’une tentative de phishing rondement menée. Un courriel annonce qu’une commande effectuée chez CDiscount, une boutique en ligne française, est confirmée. Seulement, les lecteurs n’ont rien commandé.

La missive propose d’annuler cette commande. Bien évidemment, comme il n’y a pas eu d’achat, l’incitation au clic « annuler commande » est efficace.

Derrière, un hameçonnage pas comme les autres.

Le faux site CDiscount est installé en Malaisie. Chaque courriel envoyé contient de vraies informations concernant les internautes récepteurs de la lettre usurpatrice (identité, adresse postale, numéro de téléphone).

J’ai d’ailleurs découvert qu’en modifiant l’url pirate, d’autres coordonnées apparaissaient.

Les malveillants ont collecté des informations sur leurs potentielles victimes. L’ingénierie sociale peut alors commencer !

Prudence, l’adresse cdiscount.com.recapitulatif-cds.com n’est pas un site de l’enseigne. Créée le 4 janvier 2021, elle dirige vers Google si l’url est incomplet, sans le pseudo numéro de client.

BYOD

Géolocalisation de véhicules, l’avenir routier ?

De plus en plus de véhicule sont équipés d’un système de géolocalisation. De la voiture de « monsieur tout le monde » et son GPS, en passant par des supports professionnels offrant la possibilité de suivre et sécuriser sa flotte de livraison en temps réel. Comment fonctionne ces systèmes ? Sont-ils de confiance ?

Depuis le 31 mars 2018, tous les véhicules neufs doivent être équipés d’un système de géolocalisation et d’appel des urgences en cas d’accident. Un système baptisé eCall. L’avantage de ce système de géolocalisation, un contact immédiat avec le centre de secours le plus proche. eCall permet aux pompiers, par exemple, de retrouver l’emplacement exact du véhicule et des passagers en danger.

Le parc automobile datant d’avant mars 2018 n’est pas concerné. L’autre inconvénient, les erreurs de manipulation et les potentiels bugs. Un système qui n’a pas pour vocation de tracer les véhicules, mais de lancer un « SOS » en cas de besoin.

Deux appels sont lancés, le premier, baptisé le Public Safety Answering Point (il est automatique) et le second, via la voix des passagers, dans la mesure où ces derniers sont dans la capacité de parler.

Suivi par GPS

L’autre système de « suivi » que les véhicules peuvent embarquer, le GPS de géolocalisation en temps réel. Ici, ce système intéressera surtout les entreprises. Le projet Web Fleet est l’un de ces systèmes permettant de connecter un véhicule (voiture, camion, fourgonnette …) au régulateur de l’entreprise (bureau, entrepôt …).

Ce produit de géolocalisation prend la forme d’un boitier baptisé LINK. Il est exploitable via un logiciel, baptisé WebFleet, en charge de la gestion des véhicules équipés du GPS.

Via cet outil, il est possible de suivre le chemin parcouru, par exemple, par un camion. Connaître ses points de passage, ses arrêts, le rediriger en cas de bouchons routiers.

Un outil qui devient très vite un allier dans les choix opérationnels de l’entreprise utilisatrice. Webfleet permet aussi de connaitre la vitesse de chaque véhicule et d’être alerté en cas d’accident. L’accéléromètre embarqué permet cette interaction sécuritaire.

Cybersécurité

64% des entreprises ont plus de 1 000 dossiers sensibles auxquels l’ensemble de leurs employés ont un accès libre

Voici un nouveau rapport qui permet de comprendre l’un des gros malaises au sein de nos entreprises. Six entreprises sur 10 laisseraient accés à l’ensemble de leurs employés à plus de 1 000 dossiers sensibles.

Ce rapport vise les risques liés aux systèmes de fichiers. Un volume énorme, on parle ici de de quatre milliards de fichiers dans 56 grandes organisations en France, USA, Angleterre ou encore Allemagne. Le secteur financier compte parmi les plus matures en matière de cybersécurité, mais il n’en demeure pas moins que les entreprises de services financiers sont parmi les plus visées par des cyberattaques, indique le rapport de Varonis, du fait des données sensibles qu’elles collectent auprès de leurs clients.

Cette étude met en lumière que les données des sociétés questionnées sont encore très largement exposées à des failles, menaces internes ou encore des attaques par ransomware. Des données qui mettent également sous la pression d’une non-conformité aux réglementations, telles que le RGPD, ou encore la norme PCI-DSS spécifique au monde bancaire.

Des données, comme les courriels, qui peuvent trés rapidement, dans les mains de pirates, finir en pourriel/spam (définition du spam) ou encore en spear phishing, un hameçonnage de données ciblées.

Dans les organisations analysées, en moyenne 10,8 millions de dossiers sont accessibles à tous les employés. Cela atteint jusqu’à 20 millions dans les plus grands groupes (plus de 1500 employés). En moyenne, un(e) employé(e) d’une société de services financiers a accès à 13% du total des dossiers de l’entreprise. Dans les petites entreprises (entre 1 et 500 employés pour ce rapport), un employé a en moyenne accès à plus d’un demi-million de fichiers, et ainsi une liberté illimitée de consulter, copier, déplacer et modifier les données qu’ils contiennent. Le problème est d’autant plus grave que plus de 20% de ces fichiers comportent des données sensibles sur des employés ou clients.

Au sein de ces dossiers, se trouvent de nombreuses données sensibles : 64% des entreprises analysées ont plus de 1000 dossiers sensibles auxquels l’ensemble de leurs employés ont un accès libre. En moyenne, 69 % des données au sein de sociétés du secteur financiers sont « obsolètes », c’est-à-dire non consultées depuis plus de 90 jours. Ces données incluent souvent des données critiques, et elles sont ainsi tout autant exposées à des failles, et devraient faire l’objet d’une gestion appropriée (archivage sécurisé, suppression). Autre chiffre important : dans 59% des entreprises analysées, Varonis a identifié plus de 500 mots de passe qui n’expirent jamais. (le rapport)

Hacking

Que faire pour éviter « l’après-ransomware » ?

Retenez une chose, pendant l’attaque, pendant qu’ils sont en train de chiffrer tous vos fichiers, les pirates continuent  leur travail. Dans de plus en plus de cas aujourd’hui, l’activité principale d’une attaque de ransomware se passe avant et après l’attaque.

Les pirates ne se contentent pas de juste infiltrer votre machine, ils analysent ensuite tous vos documents volés. Lorsqu’on parle de ransomware aujourd’hui, il ne s’agit plus du simple chiffrement des informations, il s’agit d’un accès pour ensuite tout autoriser. Les opérateurs de ransomwares  sont devenus maître de votre machine et ils comptent bien vous faire chanter.

Comme le rappelle IS Decisions, il y a un état d’esprit marketing flagrant face à la malveillance mise en place. La première étape consiste à prendre en otages les machines et les fichiers par chiffrement puis à vous demander de payer le déchiffrement de ces fichiers.

La deuxième étape consiste à menacer de divulguer les informations volées pour alerter les autorités. Avec les réglementations de type RGPD et la possibilité de lourdes amendes pour non-divulgation d’attaques, cette deuxième étape est de plus en plus courante.

La troisième étape consiste à vendre aux enchères les données volées pour les entreprises qui n’ont pas payé aux deux premières tentatives de chantage.

Comment se protéger ? La sécurité informatique à 100% n’existe malheureusement pas. C’est pourquoi il faut être organisé à l’avance afin d’être prêt pour le jour où ce genre de catastrophe se produit. Que faut-il faire ? Que ne faut-il surtout pas faire ? Il faut mettre en place des mesures préventives et proactives clés afin de fournir des couches supplémentaires de défense contre les attaques de ransomwares.

A découvrir ici.

Mise à jour, Patch

112 vulnérabilités dont 17 critiques affectant notamment les codecs Windows, le système NFS de fichiers en réseau et les postes de travail, ainsi que des correctifs Adobe

Le Patch Tuesday de ce mois de novembre 2020 traite 112 vulnérabilités dont 17 classées comme critiques. Ces 17 vulnérabilités critiques concernent les codecs Windows, le système NFS de fichiers en réseau, Sharepoint, le spouler d’impression Windows ainsi que les postes de travail. De son côté, Adobe a publié des correctifs pour Acrobat Connect et Adobe Reader pour Android.

Corriger les vulnérabilités affectant les codecs Windows, GDI+, les navigateurs, Office et Exchange Server sont une priorité pour les équipements de type poste de travail, c’est-à-dire tout système utilisé pour accéder à la messagerie ou à Internet depuis un navigateur. Les serveurs multi-utilisateurs faisant office de postes de travail distants sont également concernés.

RCE dans SharePoint

Microsoft a corrigé six vulnérabilités dans SharePoint dont l’une est susceptible de déclencher une exécution de code à distance.(CVE-2020-17061). Trois de ces vulnérabilités ((CVE-2020-17016, CVE-2020-17015 et CVE-2020-17060) provoquent des problèmes d’émulation tandis que deux autres (CVE-2020-16979, CVE-2020-17017) entraînent des divulgations d’informations. La dernière (CVE-2020-17061) est une vulnérabilité par exécution de code à distance. Pour cette raison, il est hautement recommandé de privilégier l’application de ces correctifs sur tous les déploiements SharePoint.
Élévation de privilèges au sein du noyau Windows

Même si elle n’est indiquée que comme importante, une vulnérabilité est exploitée de manière active (CVE-2020-17087) dans Microsoft Windows. Cette vulnérabilité facilitant l’élévation de privilèges a été divulguée publiquement par Google fin octobre. Selon Mateusz Jurczyk et Sergei Glazunov, chercheurs en sécurité de l’équipe Project Zero de Google, ce bug permet à un attaquant de remonter des privilèges dans Windows. Ce correctif doit être déployé en priorité sur tous les équipements Windows.

RCE dans le système de fichiers en réseau (NFS) de Windows

Microsoft a corrigé une vulnérabilité (CVE-2020-17051) dans le système NFS (Network File System) de Windows. Cette CVE, qui a obtenu une score CVSS de 9,8, se caractérise par une attaque peu complexe à lancer et ne nécessitant pas l’interaction de l’utilisateur. Cette vulnérabilité peut éventuellement se propager sous la forme de ver et doit donc être résolue en priorité.
RCE dans le service de spouleur d’impression

Microsoft a également corrigé une vulnérabilité par exécution de code à distance (CVE-2020-17042) dans le spouleur d’impression qui est susceptible d’entraîner une élévation de privilèges. L’exploitation de cette vulnérabilité exige l’interaction de l’utilisateur, mais elle se caractérise par une attaque de faible complexité, ce qui augmente le risque de compromission. Ce correctif doit être déployé en priorité.

Adobe

Adobe a publié des correctifs pour résoudre de nombreuses vulnérabilités au sein du Reader pour Android et d’ Adobe Connect. Les patches pour Reader et Connect sont de Priorité 3.

Même si aucune des vulnérabilités rapportées par Adobe n’est a priori activement attaquée pour l’instant, tous les correctifs doivent être déployés en priorité sur les systèmes où ces produits sont installés.

Cybersécurité

Télétravail & confinement : la sauvegarde et la protection des données doivent aller de pair

Nous devons faire à nouveau face à une période difficile de confinement. Malgré une généralisation du télétravail sur l’ensemble du territoire, beaucoup d’entreprises se déchargent encore de la responsabilité du respect de la protection des données des télétravailleurs. Grâce à des formations, à des règles claires et à certaines mesures IT, les risques liés au télétravail peuvent être considérablement réduits.

En France, les départements IT de nombreuses entreprises ont fait passer les collaborateurs en télétravail dans un délai particulièrement court. Cependant, la hâte avec laquelle ces équipes ont dû développer de nouvelles méthodes de travail à partir de rien a généré de nouveaux risques numériques pour les employés et leurs données. Par conséquent, deux tendances ont émergé suite à la mise en place du télétravail. Premièrement, le nombre d’attaques visant les nouveaux modèles de travail sont de plus en plus nombreuses[1]. Ensuite, les responsables chargés de la protection des données indiquent que les télétravailleurs respectent rarement les règles dédiées à la protection de données que ce soit par volonté ou encore par manque de moyens techniques.

En effet, leur domicile devenant leur nouveau lieu de travail, certains collaborateurs n’ont pas les ressources nécessaires pour stocker, sécuriser, ou encore transférer les données. De plus, il leur est parfois difficile de respecter les réglementations mises en place par les entreprises en matière d’emplacement de sauvegarde des données ou de gestion de données confidentielles dans un contexte familial, par exemple. Le manque de connaissance des risques et des règles montre que les employés ne sont ni suffisamment informés de la marche à suivre, ni formés aux bonnes pratiques.

Comme il est impossible pour les entreprises de contrôler le comportement de leurs collaborateurs en télétravail, des formations, un rappel des règles clair et la mise en place de solutions techniques simples semblent être les outils les plus appropriés pour assurer une bonne gestion de données. Car en effet, rappelons que l‘entreprise reste responsable du respect de la protection des données et des exigences légales (RGPD) et peut être condamnée à une amende en cas de violation.

Des improvisations qui ouvrent la voie aux attaques

Le manque de temps et d’équipements (en ordinateurs portables notamment) ont obligé les entreprises à tolérer la connexion d’appareils privés au réseau de l’entreprise. Mais cela n’est malheureusement pas sans conséquences. En effet, le niveau de sécurité des appareils privés est généralement inférieur à celui du réseau d’entreprise, notamment parce que les logiciels et le matériel n’y sont pas normalisés et que les programmes ne font pas l’objet de correctifs ou de mises à jour uniformes. De plus, milieu professionnel et privé ont désormais des frontières bien plus floues : les employés utilisent des données et des services privés en parallèle de ceux mis à disposition par l’entreprise sur les dispositifs professionnels, qui plus est sur des dispositifs généralement situés en dehors de l’environnement sécurisé. Dans ces conditions, le risque d’infection et de perte de données est plus important.

Une récente mise en garde communiquée par Interpol souligne l’intérêt des hackers à utiliser le contexte du coronavirus et du télétravail pour arriver à leurs fins. Ils utilisent par exemple des noms trompeurs et en lien avec l’épidémie dans le titre des pièces jointes pour inciter les collaborateurs à cliquer et à ouvrir la porte à un logiciel malveillant comme un ransomware. Les acteurs malveillants recherchent spécifiquement les points faibles des nouveaux outils de communication afin d’attaquer les systèmes des entreprises, des autorités et des universités. Avec un nombre de télétravailleurs plus important que jamais, les services informatiques sont à nouveau fortement sollicités et réagiront certainement plus lentement en cas d’urgence, malgré les apprentissages tirés de la première vague de l’épidémie – et du premier confinement.

Chaque nouvelle application numérique génère un nombre important de nouvelles données et duplique par conséquent la quantité de lieux de stockage. Cet aspect, loin d’être anodin, a d’importantes conséquences sur l’IT : l’absence de règles claires concernant l’endroit et la manière de stocker les données combinés à un concept de gestion et à une sécurité des données non adaptés – induisant une grande disparité des lieux de stockage de données, favorisent l’apparition d’angles mort au sein du paysage informatique.

À l’heure actuelle, une entreprise ne connaît le contenu que d’environ la moitié de ses données. Alors, il y a de fortes chances que cette même entreprise ne soit pas en mesure d’identifier celles ayant pu lui être volées en cas d’attaque. Pour éviter une telle situation, quelques de règles de bases sont à mettre en place :

  • Les collaborateurs ont besoin de règles claires quant au lieu et à la manière dont ils doivent stocker les données importantes. Ils comprendront, notamment au cours de formations dédiées, qu’il est indispensable de stocker les données de valeur sur des systèmes de stockage mis en place par l’entreprise dans le cloud et que celles-ci ne doivent être conservées que dans des endroits sécurisés.
  • Il n’existe pas d’alternative à la connaissance des employés sur les risques d’attaque par ransomware et à celle de la conduite à tenir dans ce type de situationLes attaques évoluant de façon perpétuelle, ces connaissances doivent être actualisées à intervalles réguliers.
  • Les hackers arrivent parfois à leurs fins, malgré un système de défense rodé et perfectionné. En connaissance du risque, les équipes IT doivent avoir une réelle visibilité et connaissance des données, leur lieu de stockage et selon quelles exigences réglementaires elles doivent être conservées. Ces aspects sont d’autant plus importants que l’environnement est de plus en plus numérique et que le télétravail favorise les échanges de données en dehors du réseau de l’entreprise.
  • Un système de restauration est indispensable, que ce soit pour palier une attaque ou encore une mauvaise manipulation des employés (suppression, falsification, etc.). Une sauvegarde des données menée par une plateforme unique permettra la prise en compte de l’ensemble des dispositifs de stockage et par conséquent une récupération des données plus efficace. (par Jean-Pierre Boushira, Vice President South Region chez Veritas Technologies)